Новости в мире ИБ

Linux-системы в 2021 году будут атаковать чаще.
Linux-системы в 2021 году будут атаковать чаще.
От этого могут пострадать в первую очередь государственные учреждения и организации, озабоченные вопросами импортозамещения.
Специалисты компании IBM опубликовали отчет, согласно которому кибератаки на операционные системы, основанные на Linux, в 2021 году будут происходить чаще. Тенденция к этому прослеживается уже сейчас: в 2020 году количество вредоносных программ, написанных специально под Linux-системы увеличилось на 40% по сравнению с предыдущим.

Согласно все тому же отчету, облачная инфраструктура также станет чаще атаковаться киберпреступниками. Взламывая такие облака, злоумышленники могут майнить криптовалюту за счёт организации, что делает их очень желанной целью, особенно после роста курса электронной валюты.

Пострадать от этого могут в первую очередь государственные учреждения и организации, озабоченные вопросами импортозамещения и использующие отечественные дистрибутивы на базе Linux. Для противодействия новым атакам ФСТЭК России планирует создать специальный исследовательский центр, в задачи которого который будет входить проверка безопасности операционных систем на базе Linux. Проект обойдется государству в 300 млн. рублей.
Подробнее
Великобритания намерена использовать ИИ для повышения национальной безопасности.
Великобритания намерена использовать ИИ для повышения национальной безопасности.
Это позволит спецслужбам управлять огромными объемами данных и улучшить процесс принятия решений.
Директор Центра правительственной связи (Government Communications Headquarters, GCHQ) Великобритании Джереми Флеминг (Jeremy Fleming) заявил о намерении использовать ИИ для повышения национальной безопасности. Это позволит сократить регулярно возрастающую нагрузку на сотрудников спецслужб, помочь им в управлении огромными объемами сложных данных и улучшить процесс принятия решений.

По его словам, GCHQ же оказывает бесценную помощь во многих задачах ведомства. Флеминг видит в этой технологии большие перспективы для общества, процветания и безопасности. К примеру, ИИ может помочь быстрее выявлять вредоносное ПО, эффективнее бороться с дезинформацией и дипфейками при помощи автоматической проверки фактов.

Для скорейшего внедрения технологий искусственного интеллекта в работу GCHQ поддерживает различные партнерские отношения со стартапами в этой сфере. Также ведомство сотрудничает с Научно-исследовательским институтом Алана Тьюринга, который и был основан для продвижения исследований в этой области.
Подробнее
Сразу четыре новые группировки атаковали АСУ ТП в 2020 году.
Сразу четыре новые группировки атаковали АСУ ТП в 2020 году.
Злоумышленники используют вредоносное ПО и фишинговые письма для кражи данных и захвата контроля над системами.
Отчет о кибербезопасности АСУ ТП в 2020 году опубликовала исследовательская компания Dragos. В нем, в частности, рассказывается о четырех новых преступных группировках, которые использовали вредоносное ПО и фишинговые письма для кражи данных и захвата контроля над системами.
Злоумышленники из STIBNITE преимущественно были нацелены на электроэнергетические организации Азербайджана, однако у специалистов Dragos есть основания полагать, что теперь киберпреступники нацелились оператора ветряных электростанций в Украине. Для кражи данных они использовали вредонос PoetRAT.

Жертвами группировки VANADINITE стали компании в энергетическом, производственном и транспортном секторах в Северной Америке, Азии, Европе и Австралии. Целью злоумышленников также стала кража информации, в частности, связанная с процессами и дизайном АСУ ТП. Члены VANADINITE могут быть связаны с группировками Winnti и LEAD, а также вымогательским ПО ColdLock.

Хакеры из TALONITE используют фишинговые письма и трояны удаленного доступа, такие как LookBack и FlowCloud, для атак на организации в электроэнергетическом секторе США.
А члены группировки KAMACITE помимо того, что также нацелены на американские энергетические компании, еще и помогают другим злоумышленникам.
Подробнее
VPN-серверы Powerhouse Management используются для усиления DDoS-атак.
VPN-серверы Powerhouse Management используются для усиления DDoS-атак.
Пока максимальная мощность обнаруженных атак составляет 22 Гбит/с.
Исследователь безопасности под ником Phenomite рассказал изданию ZDNet о возможности использования серверов американского VPN-провайдера Powerhouse Management для усиления DDoS-атак в 40 раз. Несмотря на то, что ему не удалось найти ни одного открытого сервера, на пробный запрос в 1 байт некоторые из них ответили усилением трафика.

Причиной этого, по словам исследователя, является доступный из интернета UDP-порт 20811, который используют службы Outfox и VyprVPN. Поскольку протокол UDP и источник запроса можно сфальсифицировать, подставив IP-адрес мишени, он может быть использован для усиления DDoS-атак. Злоумышленники также уже обнаружили эту возможность и, на текущий момент, максимальная мощность обнаруженных атак составляет 22 Гбит/с.

Провайдер пока не ответила на сообщения экспертов. Всего выявлено 1520 серверов Powerhouse, которые могут быть использованы киберпреступниками. Сетевым администраторам рекомендуется заблокировать входящий трафик из сетей VPN-провайдера (AS21926 и AS22363) или отсеивать UDP-пакеты с портом отправителя 20811.
Подробнее
Пользователи Accellion FTA стали жертвами хакерской группировки FIN11.
Пользователи Accellion FTA стали жертвами хакерской группировки FIN11.
Из-за инцидента производитель планирует прекратить поддержку FTA 30 апреля 2021 года.
В декабре прошлого года пользователи ПО для обмена файлами производства Accellion стали жертвами киберпреступников. Это стало возможным благодаря уязвимостям в FTA, которые, по заверениям компании, были срочным образом исправлены, в результате чего число пострадавших удалось сократить до 100 из 300 клиентов. Из-за инцидента производитель высказал намерение прекратить поддержку FTA 30 апреля 2021 года.

Теперь специалисты FireEye Mandiant установили, что за нападениями стояла хакерская группировка FIN11. Она считается ответвлением другой группы TA505. Сами же члены FIN11, в основном, занимаются атаками с использованием вымогательского ПО.

Эксперты установили, что первоначальный доступ к сетям клиентов Accellion злоумышленникам удалось получить с помощью SQL-инъекции через уязвимость в FTA. В конечном итоге они разворачивали web-оболочку DEWMODE, которая позволяла хакерам получать список доступных файлов и соответствующие им метаданные из базы данных MySQL, а также загружать сами файлы. Спустя несколько недель появились первые попытки вымогательства.
Подробнее
Киберпреступники научились прятать IP-адреса командных серверов с помощью блокчейна.
Киберпреступники научились прятать IP-адреса командных серверов с помощью блокчейна.
По словам специалистов, это простой, но эффективный способ избежать отключения резервных серверов правоохранительными органами.
Эксперты ИБ-фирмы Akamai рассказали о длительной вредоносной кампании по добыче криптовалюты, в которой биткойн-транзакции используются для маскировки адресов резервных C&C-серверов. Такой метод затрудняет отключение командных серверов ботнета правоохранительными органами. Сама методика сокрытия IP-адресов в блокчейне характеризуется специалистами простой, но эффективной.

Новые варианты вредоносного ПО для майнинга криптовалюты были обнаружены в декабре прошлого года. В них полученные API данные кошелька использовались для расчета IP-адреса, цель которого – сохранения постоянства в системе. Таким образом, злоумышленники смогли обфусцировать и хранить данные конфигурации в блокчейне.

Данные кошелька преобразовываются в IP-адрес при помощи четырех bash-скриптов. Они отправляют HTTP-запрос API проводника блокчейна для данного кошелька. Затем наименьшее заранее определенное значение биткойна из двух последних транзакций конвертируются в IP-адрес резервного командного сервера.
Подробнее
Агентству по защите окружающей среды потребуется больше года на устранение последствий атаки вымогателей.
Агентству по защите окружающей среды потребуется больше года на устранение последствий атаки вымогателей.
В декабре прошлого года операторы вредоноса Conti зашифровали системы SEPA и похитили 1,2 ГБ данных.
Директор шотландского Агентства по защите окружающей среды (Scottish Environmental Protection Agency, SEPA) сообщил, что на восстановление систем организации после атаки киберпреступников потребуется больше года. В лучшем случае все сможет полноценно заработать в 2022 году.

Расследование инцидента продолжается. Напомним, что накануне католического Рождества системы SEPA были атакованы с использованием вымогательского ПО Conti. Злоумышленникам удалось зашифровать системы организации и выкрасть 1,2 ГБ файлов, включая базы данных, договоры и стратегические документы. После того, как Агентство отказалось сотрудничать со злоумышленниками, они опубликовали украденные сведения в даркнете.

Инцидент оказал огромное влияние на инфраструктуру SEPA, на его внутренние системы и сервисы. Организация работает над восстановлением и параллельным расследованием инцидента при поддержке правительства Шотландии, шотландской полиции и национального центра кибербезопасности.

Подробнее
В России создан цифровой сервис для отслеживания криптовалютных операций.
В России создан цифровой сервис для отслеживания криптовалютных операций.
Работы по его созданию были запущены в рамках борьбы с оборотом наркотиков.
Директор Федеральной службы по финансовому мониторингу Юрий Чиханчин в рамках встречи с Президентом России отчитался о создании в стране цифрового сервиса для отслеживания криптовалютных операций. Основная его цель – выявление движения средств, инициированного преступниками, и борьба с оборотом наркотиков.

Преступники предпочитают использовать электронные системы платежей и криптовалюту, из-за чего обнаружить их транзакции бывает проблематично. Механизм «Прозрачный блокчейн» позволяет увидеть такие операции с криптовалютой и сейчас ведомство активно занимается разработкой признаков и критериев для определения факта правонарушения по одному только движению средств.

Глава Росфинмониторинга отметил содействие коллег за рубежом: Финляндии, Люксембурга, Лихтенштейна, Белоруссии, Мальты и других. Данный проект находится на контроле у Правительства и при поддержке Минцифры должен быть окончательно доработан в этом году.
Подробнее
Хакерская группировка APT32 атакует вьетнамских правозащитников.
Хакерская группировка APT32 атакует вьетнамских правозащитников.
Киберпреступники могли читать и писать документы в скомпрометированных системах, запускать вредоносные инструменты и программы, а также отслеживать действия своих жертв.
Лаборатория безопасности Amnesty International представила отчет, согласно которому хакерская группа APT32 координировала несколько шпионских атак на вьетнамских правозащитников в период с февраля 2018 года по ноябрь 2020 года. Программы, используемые хакерами APT32, позволяли им читать и писать документы в скомпрометированных системах, запускать вредоносные инструменты и отслеживать действия своих жертв.

Злоумышленники загрузили и развернули элементы Cobalt Strike, чтобы получить постоянный удаленный доступ к скомпрометированным системам. В случае жертв, которые использовали Mac, операторы APT32 использовали бэкдор macOS, обнаруженный TrendMicro в предыдущих атаках на вьетнамские цели. Он предназначен для предоставления злоумышленникам возможности загружать, выгружать и выполнять произвольные файлы и команды. Основную же угрозу в кампании представляли фишинговые письма, а окончательная полезная нагрузка была установлена на компьютерах под управлением Windows с помощью загрузчика KERRDOWN.

APT32 (OceanLotus, SeaLotus) – это поддерживаемая вьетнамским правительством передовая группа постоянной угрозы, нацеленная на иностранные компании, вьетнамские правозащитные организации и активистов, а также Всемирные научно-исследовательские институты и СМИ. Совсем недавно APT32 попыталась собрать разведданные о продолжающемся кризисе COVID-19 с помощью фишинговых атак, нацеленных на Министерство по чрезвычайным ситуациям Китая и правительство провинции Ухань. FireEye также описывает эту группу как "поддерживающую интересы Вьетнамского государства", поскольку ее целенаправленные операции против журналистов и членов вьетнамской диаспоры угрожают свободе слова и политической активности.
Подробнее
Количество атак с использованием искаженного префикса URL выросло на 6000%.
Количество атак с использованием искаженного префикса URL выросло на 6000%.
Этот метод позволяет злоумышленникам обходить стандартные средства защиты.
Исследователи из GreatHorn сообщают о почти 6000% скачке в атаках, использующих искаженные префиксы URL. Резкий рост начался с января по начало февраля этого года. В этом случае фишинговым письмам удается обойти средства защиты и при этом выглядеть достаточно правдоподобно. Чтобы обнаружить такую атаку, нужно быть предельно внимательным. Вместо стандартных протоколов, таких как «http://» или «https://», злоумышленники используют «http:/\».

Данный тип атак фактически является вариацией тайпсквоттинга – распространенной фишинговой тактики, когда общеизвестные названия компаний и сервисов пишутся неправильно, например, «amozon.com». Конечная цель таких атак – обман невнимательных пользователей. Сейчас такая явная подмена, скорее всего, будет замечена, поэтому злоумышленники придумывают новые вариации. На косые же черты в URL-адресах, как правило, не обращают внимание ни браузеры, ни сканеры, ни пользователи.

В отчете GreatHorn ИБ-отделам рекомендуется искать в своей электронной почте сообщения, содержащие URL-адреса, которые соответствуют шаблону угроз (http:/\), и удалять все совпадения. Сделать это можно при помощи сторонних решений, способных выполнять более детальный анализ.
Подробнее
Underwriters Laboratories стала жертвой вымогательского ПО.
Underwriters Laboratories стала жертвой вымогательского ПО.
Сертификационной компании пришлось отключить свои системы.
Неизвестные злоумышленники атаковали компанию Underwriters Laboratories, которая специализируется на стандартизации и сертификации в области техники безопасности. Нападение с использованием вымогательского ПО затронуло устройства в центре обработки данных.

В компании приняли решение не платить выкуп злоумышленникам и восстанавливать зашифрованные данные из резервных копий. В то же время, Underwriters Laboratories пришлось отключить свои системы, что привело к приостановлению работы.

На данный момент проводится расследование инцидента. Специалисты пытаются точно определить какие данные были затронуты. Если будет установлено, что перед шифрованием чьи-либо сведения были украдены, компания обязуется уведомить об этом всех заинтересованных.
Подробнее
Учетные записи RIPE NCC Access попытались взломать.
Учетные записи RIPE NCC Access попытались взломать.
Специалисты организации предотвратили атаку, однако посоветовали ее членам включить двухфакторную аутентификацию.
Специалистам некоммерческой организации RIPE NCC удалось предотвратить атаку на свой SSO-сервис RIPE NCC Access. Деятельность фирмы заключается в управлении и назначении адресов IPv4 и IPv6 для Европы, Среднего Востока и некоторых стран Центральной Азии.

Представители организации сообщили, что их сервис единого входа (SSO) подвергся попытке взлома с использованием подстановки учетных данных (credential stuffing). По их же словам, ни одна учетная запись в итоге не была скомпрометирована.

Расследование инцидента продолжается. Членам организации рекомендовано включить двухфакторную аутентификацию в учетных записях RIPE NCC Access, чтобы обезопасить аккаунты от вероятных нападений.
Подробнее
Домен Google используется для кражи данных банковских карт.
Домен Google используется для кражи данных банковских карт.
Он позволяет злоумышленникам обойти сканеры вредоносных программ и Content Security Policy.
Киберпреступники используют платформу Google Apps Script для внедрения вредоносных скриптов на страницы интернет-магазинов. Их цель – кража банковских и любых других конфиденциальных сведений, вводимых пользователями на страницах заказов.

Злоумышленники используют домен script.google.com, который автоматически добавляется торговыми площадками в белые списки, как и другие поддомены Google. Таким образом хакерам удается обойти сканеры вредоносных программ и Content Security Policy, чтобы внедрить на сайты веб-скиммер для кражи данных. Как правило, это обычный JavaScript, встроенный непосредственно в страницы торговых площадок.

Сначала украденные данные отправляются в приложение Google Apps Script через домен script.google.com. Затем перенаправляются на подконтрольный злоумышленникам analit.tech, расположенный в Израиле.
Подробнее
Американские города стали жертвами хакеров после атаки на платежный процессор AFTS.
Американские города стали жертвами хакеров после атаки на платежный процессор AFTS.
Уведомления о компрометации данных выпустили Киркленд, Линнвуд, Монро, Сиэтл и Редмонд.

Атака вымогателей на широко используемый платежный процессор ATFS вызвала компрометацию данных в многочисленных городах и агентствах Калифорнии и Вашингтона (США). Automatic Funds Transfer Services используется ими также в качестве службы проверки адресов. Поскольку данные, используемые для выставления счетов и проверки клиентов широки и разнообразны, эта атака может иметь массовые и широко распространенные последствия.

Нападение произошло примерно 3 февраля, когда киберпреступная группа, известная как Cuba Ransomware, украла незашифрованные файлы и внедрила программу-вымогателя. Это привело к значительному нарушению бизнес-операций AFTS. На данный момент веб-сайт AFTS и все связанные с ним обработки платежей недоступны из-за технических проблем. На своей странице утечки данных, кубинские хакеры утверждают, что похитили финансовые документы, переписку с банковскими служащими, информацию о движениях счетов, балансовые отчеты и налоговые документы.

Из-за большого количества данных, предположительно украденных группировкой Cuba Ransomware, города, использующие AFTS в качестве своего платежного процессора или службы проверки адресов, начали сообщать о компрометации данных. Потенциально украденные сведения варьируются в зависимости от города или агентства, но могут включать имена, адреса, номера телефонов, номерные знаки автомобилей, VIN, информацию о кредитных картах, отсканированные бумажные чеки и платежные реквизиты. Подобные уведомления уже выпустили города Киркленд, Линнвуд, Монро, Сиэтл и Редмонд, а также Калифорнийский департамент автотранспортных средств и Лейквудский Водный округ.
Подробнее
Российские ученые обновили мировой рекорд эффективности систем квантовой криптографии.
Российские ученые обновили мировой рекорд эффективности систем квантовой криптографии.
Два их открытия окажут влияние на отрасли, где требуется высокий уровень информационной безопасности.

Российские ученые сделали два открытия в области квантовой криптографии, которые позволили обновить мировой рекорд эффективности классических алгоритмов постобработки для квантового распределения ключей. В исследованиях приняли участие специалисты центра компетенций НТИ «Квантовые коммуникации» НИТУ «МИСиС», Российского квантового центра и ИБ-компании QRate.

Конечная цель обоих открытий – обеспечение безопасной связи. Ученые разработали новый алгоритм синхронизации информации, основанный на полярных кодах. Он более устойчив к шумам окружающей среды и может стабильно работать в реальных условиях. Во втором исследовании ученым удалось уменьшить часть генерируемых квантами закрытых ключей до значений ниже 1%. Подробнее с первым открытием можно ознакомиться в издании IEEE Communication Letters, со вторым – в IEEE Transactions on Information Theory.

С помощью квантового распределения ключей две стороны, соединенные по открытому каналу связи, могут создавать общий, известный только им, случайный ключ шифрования. Оба открытия в перспективе окажут влияние на отрасли, где требуется высокий уровень информационной безопасности. Благодаря им скорость генерации ключей увеличится, а стоимость интеграции оборудования уменьшится.
Подробнее
Банковский троян Javali использует легитимный файл антивируса Avira.
Банковский троян Javali использует легитимный файл антивируса Avira.
Благодаря ему злоумышленникам удается загрузить вредоносную библиотеку в память устройства.
Исследователи безопасности сообщают о новых функциях, полученных банковским трояном Javali. Вредонос начал задействовать компоненты легитимных антивирусных продуктов, в частности, Avira. Файл Avira.exe позволяет злоумышленникам загрузить в память библиотеку Avira.OE.NativeCore.dll, которая является вредоносной копией стандартного элемента системы.

Троян распространяется преимущественно при помощи фишинговых писем. Они доставляют на устройство жертвы файлы в форматах VBS, JScript и MSI, которые в дальнейшем загружают из облака сам троян. Javali внедряется непосредственно в память системы. Для обеспечения автозапуска троян иногда создает ключ реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.

Javali – это банковский троян, активный по крайней мере с 2017 года. Разработан киберпреступниками из Латинской Америки и похож на другие вредоносы из этого региона. Основными целями Javali являются организации банковского и финансового сектора.
Подробнее
Microsoft предупреждает о росте количества атак с использованием веб-оболочек.
Microsoft предупреждает о росте количества атак с использованием веб-оболочек.
По сравнению с прошлым годом компания фиксирует вдвое больше подобных угроз на серверах.
Компания Microsoft сообщает, что количество ежемесячных атак с использованием веб-оболочек (web shell) практически удвоилось с прошлого года. Каждый месяц на взломанных серверах обнаруживается в среднем 140 тыс. подобных вредоносных инструментов. Эта тенденция началась в августе 2020 года, а до того момента команда Microsoft Defender Advanced Threat Protecrion сообщала об ежемесячном обнаружении 77 тыс. оболочек.

Web shell – это инструменты, которые злоумышленники развертывают на взломанных серверах для получения или поддержания доступа. Они же позволяют удаленно выполнять произвольный код, перемещаться в сети или загружать дополнительное вредоносное ПО. Разворачиваются они в самых разных форматах: от плагинов приложений и фрагментов кода, встраиваемых в веб-приложения, до полноценных программ и сценариев.

В качестве превентивных мер, которые должны предотвратить подобные атаки, в компании посоветовали обратить внимание на устранение уязвимостей и неправильных настроек в веб-приложениях, развернуть последние обновления безопасности, реализовать надлежащую сегментацию сети периметра, исключить доступ к внутренним службам через нестандартные порты и чаще проверять журналы с веб-серверов.
Подробнее
Операторы вымогателя DoppelPaymer сообщают об успешной атаке на Hyundai Motor America.
Операторы вымогателя DoppelPaymer сообщают об успешной атаке на Hyundai Motor America.
Последние несколько дней ее дочерняя фирма Kia Motors America испытывает проблемы с работой сервисов, однако опровергает факт вмешательства хакеров.
Kia Motors America – американское подразделение южнокорейского автопроизводителя в последние несколько дней испытывает продолжительный сбой в работе систем. Он затронул портал Kia Owners, мобильные приложения UVO и ресурс для работы с клиентами.

В распоряжение издания BleepingComputer попала записка с требованием выкупа от группировки DoppelPaymer. В ней злоумышленники берут на себя ответственность за случившиеся сбои. Они утверждают, что им удалось взломать материнскую компанию Kia - Hyundai Motor America и похитить «огромный объем» данных. Злоумышленники угрожают опубликовать эти сведения, если в течение 2 - 3 недель им не будет заплачен выкуп на сумму порядка 20 млн. долларов в биткойнах. Задержка выкупа также увеличит его сумму на 10 млн. долларов.

В Kia Motors Corporation опровергают слухи об успешной хакерской атаке. В компании заявили, что слышали о сообщениях вымогателей, однако на данный момент нет никаких оснований им верить. Корпорация принесла извинения клиентам, которые столкнулись с проблемами, а также заверила, что ее специалисты работают над оперативным исправлением проблемы.
Подробнее
Рост цен на криптовалюту привел к уменьшению количества DDoS-атак.
Рост цен на криптовалюту привел к уменьшению количества DDoS-атак.
Операторы ботнетов перенаправили часть своих мощностей на майнинг.
Специалисты Лаборатории Касперского отметили снижение количества DDoS-атак на 31% в четвертом квартале 2020 года по сравнению с третьим. Они объяснили это ростом рынка криптовалюты, для майнинга которой операторы ботнетов перенаправили часть своих мощностей.

Статистика Kaspersky Security Network говорит о том же. Наравне со снижением количества DDoS-атак количество криптомайнеров, обнаруженных в 2020 году, с августа начало резко расти. К концу прошлого года количество активных майнеров установилось на отметке в 191-192 тысячи в месяц.

По поводу снижения количества DDoS-атак тоже не стоит обнадеживаться. Как сообщают эксперты, сокращение коснулось простых атак, не требующих серьезной подготовки и организации. Сложные же операции остались примерно на том же уровне. В целом же, по сравнению с концом 2019 года, в 2020 количество DDoS выросло на 10%.
Подробнее
Больше половины доходов киберпреступников отмывается через 270 блокчейн-адресов
Больше половины доходов киберпреступников отмывается через 270 блокчейн-адресов
Еще три года назад они использовали более широкий спектр сервисов.
Исследовательская компания Chainalysis опубликовала отчет, согласно которому зависимость киберпреступников от небольшой группы сервисов для отмывания денег продолжает расти. Так, 55% незаконных доходов проходит через 270 блокчейн-адресов. Обычно, это сервисы с дурной репутацией: онлайн-казино, сомнительные обменники и «миксеры» криптовалюты.

Исследователям удалось выяснить, что в 2020 году 75% средств, полученных в результате киберпреступной деятельности, прошли через 1867 адресов. Этот уровень концентрации выше, чем в 2019 году и, тем более, чем в 2017. Также удалось выяснить, что многие сервисы, задействованные в операциях по отмыванию денег, являются дочерними по отношению к более крупным легальным операторам.

В целом, как отмечают специалисты, возросший уровень концентрации – это хорошая новость. Злоумышленники различных группировок сильно зависят от небольшой инфраструктуры, которую можно нарушить несколькими операциями правоохранительных органов, тем самым перекрыв основной поток незаконных денежных средств.
Подробнее
Новая фишинговая кампания имитирует сообщения от портала «Госуслуги».
Новая фишинговая кампания имитирует сообщения от портала «Госуслуги».
В них содержится ссылка на поддельную страницу и даже угроза аннулировать доступ.
Специалисты Роскачества сообщают о новой фишинговой кампании, направленной на пользователей портала «Госуслуги». Поддельные электронные письма имитируют оригинальную рассылку сервиса: логотипы, шрифты и общую структуру. Целью злоумышленников является получение персональных и платежных данных россиян.

Опознать поддельное письмо можно по нескольким признакам. Текст сообщения содержит орфографические, стилистические и логические ошибки. Главная его цель, вызвать эмоцию у жертвы и вынудить ее перейти по встроенной ссылке. В мошеннических письмах идет речь об участии в бесплатном розыгрыше или получении социальных выплат от государства. Жертве даже угрожают аннулировать доступ к порталу, если не последует никакой реакции. Таких сообщений может прийти несколько подряд.

Кликнув по ссылке, пользователь перенаправляется на поддельный сайт, где ему, во-первых, необходимо ввести учетные данные для доступа к порталу «Госуслуги», а, во-вторых, заплатить «небольшую комиссию» для получения своего выигрыша или социальной выплаты. Таким образом, персональные и платежные данных жертвы попадают в руки киберпреступников.
Подробнее
Ключ для расшифровки SunCrypt повреждает файлы.
Ключ для расшифровки SunCrypt повреждает файлы.
Исследователь безопасности обратился к злоумышленникам с рекомендациями.
ИБ-специалист Майкл Гиллеспи (Michael Gillespie) обратился в своем Twitter-аккаунте к операторам шифровальщика SunCrypt. По его словам, ключ расшифровки, который злоумышленники предоставляют своим жертвам, не расшифровывает файлы, а просто повреждает их.

Причиной этого является то, что в кривой закрытого ключа Curve25519 не содержится ни одной действительной точки. Решить эту проблему можно добавлением простого хэша или оригинального кода аутентификации сообщений, использующего хеш-функции (он же HMAC), для проверки целостности файлов. Маркеры файлов, позволяющие определить версию, тоже помогли бы при расшифровке.

Другой ИБ-специалист, Эрик Тейлор (Eric Taylor), считает, что обращаться к операторам SunCrypt бессмысленно. Предыдущий опыт общения с ними убедил его, что злоумышленников интересует только выкуп, а корректная расшифровка файлов жертв не входит в их планы.
Подробнее
Французское агентство по кибербезопасности обвинило российских хакеров во взломах.
Французское агентство по кибербезопасности обвинило российских хакеров во взломах.
APT-группа Sandworm три года атаковала организации, предоставляющие услуги веб-хостинга.
Французское агентство по кибербезопасности (ANSSI) опубликовало подробный отчет о деятельности APT-группировки Sandworm, якобы связанной с российским правительством. По словам специалистов, жертвами злоумышленников стали организации, предоставляющие услуги веб-хостинга, которые использовали платформу Centreon, предназначенную для ИТ-мониторинга.

Первая жертва хакеров датируется концом 2017 года, а вредоносная кампания продолжалась до 2020 года. Платформа Centreon, разрабатываемая одноимённой французской компанией и схожая по своим возможностям с Orion от SolarWinds, стала точкой входа для злоумышленников. Киберпреступники атаковали установки, подключённые к Сети, либо обнаружив уязвимость, либо подобрав пароли от аккаунтов администраторов. В этом вопросе у специалистов ANSSI нет уверенности.  

В конечном итоге злоумышленникам удалось установить два вредоноса: веб-оболочку P.A.S. и бэкдор Exaramel. Они позволили киберпреступникам захватить полный контроль над системами жертв. Связать взломы Centreon с деятельностью Sandworm специалисты смогли из-за сходства этой и предыдущих кампаний злоумышленников.
Подробнее
Финская сеть психотерапевтических центров разорилась из-за утечки данных.
Финская сеть психотерапевтических центров разорилась из-за утечки данных.
Репутационный и финансовый ущерб вынудил компанию Vastaamo объявить себя банкротом.
В феврале 2021 года финская сеть психотерапевтических центров Vastaamo объявила себя банкротом. В прошлом году она признала факт крупной утечки данных клиентов, которую компания скрывала от общественности несколько лет.

Инцидент вскрылся, когда осенью прошлого года злоумышленники начали публиковать в открытом доступе персональные данные клиентов Vastaamo. Некоторые из них жаловались, что с ними связывались и требовали выкуп в размере 500 евро. Также стало известно, что утечка произошла еще в 2018 году и генеральный директор, на тот момент Вилле Тапио (Ville Tapio), с марта 2019 года знал об этом. В последствии он был уволен.

Изначально киберпреступники требовали от самой Vastaamo выкуп в размере 450 тыс. евро и переключились на клиентов, когда получили отказ. В распоряжении злоумышленников оказались личные данные 40 тыс. пациентов, включая записи сеансов у психотерапевтов. Компания не справилась с репутационным и финансовым ущербом, в результате чего заявила о банкротстве.
Подробнее
По оценкам главы Microsoft за атакой на SolarWinds стояла тысяча разработчиков.
По оценкам главы Microsoft за атакой на SolarWinds стояла тысяча разработчиков.
Он назвал данный инцидент «крупнейшей и наиболее сложной кибероперацией, которую когда-либо видел мир».
Брэд Смит, глава корпорации Microsoft, в эфире американского шоу «60 минут» назвал атаку на SolarWinds «крупнейшей и наиболее сложной кибероперацией, которую когда-либо видел мир». Проанализировав всю информацию, которую удалось собрать, специалисты компании пришли к выводу, что за нападением стояло около тысячи разработчиков. Именно столько специалистов, по мнению Смита, потребовалось бы для организации атаки.

Напомним, что в результате прошлогоднего нападения на IT-провайдера SolarWinds и добавления вредоносного кода в обновление платформы Orion пострадали Пентагон, армия, ФБР и Киберкомандование США, а также различные социальные службы и объекты здравоохранения. Позже появилась информация, что зараженная версия программы затронула 18 тыс. клиентов компании, включая Microsoft и Национальное управление по ядерной безопасности США. Большая часть всех затронутых вредоносом организаций находилась в США, однако пострадали также объекты в Канаде, Мексике, Бельгии, Испании, Великобритании, Израиле и ОАЭ.

Глава компании не стал выдвигать обвинения об организации атаки в чей-либо адрес. Однако отметил, что наблюдал подобную тактику в нападении на Украину, которое приписывается российским властям.
Подробнее
В России отмечают участившиеся атаки на банковские мобильные приложения.
В России отмечают участившиеся атаки на банковские мобильные приложения.
Центральный банк рекомендует финансовым организациям провести проверку сервисов ДБО на наличие уязвимостей.
На прошлой неделе Банк России разослал кредитным организациям предупреждение об участившихся случаях атак на юрлица с использованием систем дистанционного банковского обслуживания (ДБО). Ранее подобный тип атак использовался против физлиц.

Схема инцидента выглядит следующим образом. Злоумышленник заходит в мобильное приложение банка под легальным логином и паролем, переводит его в режим отладки, изучает порядок и структуру вызовов программного интерфейса приложения (API). Знание необходимых параметров позволяет атакующему сформировать запрос на перевод денежных средств со счета организации, который можно узнать из открытых источников. И хотя на данный момент никто не пострадал, как сообщает ЦБ, высокий уровень подготовки атак и знание особенностей обработки платежей банками делают такие инциденты чрезвычайно опасными.

В ЦБ отметили высокую вероятность повторных попыток реализации злоумышленниками подобных сценариев, поэтому банкам рекомендуется провести проверку сервисов ДБО и мобильных приложений на наличие уязвимостей. По словам ИБ-специалистов, проблема кроется в грубейших нарушениях принципов проектирования логики приложений, а из-за перспективности атак на API, киберпреступники продолжат развивать это направление.
Подробнее
Правоохранительным органам удалось задержать операторов Egregor.
Правоохранительным органам удалось задержать операторов Egregor.
Французская полиция отследила перевод выкупа злоумышленникам, находящимся в Украине.
Совместная операция правоохранительных органов Франции и Украины привела к задержанию нескольких клиентов Egregor. Это стало возможным благодаря отслеживанию выкупа, который был заплачен злоумышленникам одной из жертв.

Напомним, что Egregor работает по схеме «вымогатель как услуга». Хакеры договариваются с создателями вредоносного ПО об аренде программы и дальнейшем разделении выкупа. На плечи операторов ложится непосредственный взлом и развертывание целевых сетей, поэтому им достается порядка 70% от выкупа, а разработчикам – 30%.

В конце прошлого года на долю операторов Egregor приходилась треть от всех атак с использованием вымогательского ПО. Разработчиков вредоноса связывают с деятельностью группировки Maze, которая в прошлом октябре сообщила о прекращении незаконной деятельности. Об этом свидетельствуют схожесть большей части кода, а также одинаковые записки с требованиями о выкупе и одинаковые названия сайтов платежей.
Подробнее
Оформившие ипотеку россияне столкнулись с новой формой мошенничества.
Оформившие ипотеку россияне столкнулись с новой формой мошенничества.
Жертву по-прежнему пытаются ввести в заблуждение, однако с использованием новой легенды.
Сотрудники издания РИА Новости проверили и рассказали о новой мошеннической схеме, направленной на людей, оформивших ипотеку. Цель злоумышленников при этом осталась прежней – ввести свою жертву в заблуждение и заставить ее перевести денежные средства на подконтрольные счета.

Выглядит это следующим образом. Человеку звонит «представитель банка», который напоминает, что в ближайшее время наступит момент оплаты. Проблема заключается в том, что по той или иной причине перевод не может быть выполнен в стандартном порядке. Тогда этот «сотрудник» просит произвести оплату по ссылке, которую он пришлет, или обновленным реквизитам. Правдоподобность подобным звонкам придает то, что мошенник знает наименование банка, ФИО жертвы, дату и сумму платежа по ипотеке.

Технический директор компании «Газинформсервис» Николай Нашивочников отметил, что несмотря на новую легенду, методика злоумышленников осталась прежней. Он напомнил, что в подобных случаях не стоит торопиться, а любые изменения в реквизитах необходимо проверять, самостоятельно связавшись с официальными представителями кредитных организаций.
Подробнее
Злоумышленники придумали новый способ затруднить обнаружение фишинговых писем.
Злоумышленники придумали новый способ затруднить обнаружение фишинговых писем.
Они используют особенности современных ИБ-решений себе на пользу.
Специалисты компании BitDam рассказали о новых методиках, используемых киберпреступниками. Их цель – доставка вредоносных сообщений в электронные почтовые ящики пользователей.

С начала этого года злоумышленники активно стали использовать особенность защитных решений, которые обычно доверяют недавно созданным доменам электронной почты. Сейчас, для того, чтобы сообщение было автоматически помечено как вредоносное, домен, от которого оно исходит, тоже должен быть отмечен как опасный.

Другая особенность – это то как защитные решения реагируют на сообщения об ошибках. Они редко распознаются как подозрительные. Злоумышленники стали маскировать формировать свои фишинговые сообщения под уведомления об ошибках во вложениях электронной почты в сочетании с кнопками «Повторить». При ее нажатии пользователь переводится на вредоносный сайт с поддельной формой ввода учетных данных.
Подробнее
Электронные письма в преддверии Дня Святого Валентина распространяют вредоносное ПО.
Электронные письма в преддверии Дня Святого Валентина распространяют вредоносное ПО.
В частности, отмечаются письма от магазина нижнего белья Ajour Lingerie и цветочного магазина Rose World.
Исследователи безопасности сообщают о новой фишинг-атаке, связанной с приближением Дня Святого Валентина. Пользователи получают по электронной почте «подтверждения недавнего заказа» на цветы или нижнее белье, которые в конечном итоге приводит получателей к вредоносному документу, который выполняет вредоносную программу BazaLoader.

Одно из таких недавних писем было якобы от Ajour Lingerie, «интернет-магазина высококачественного нижнего белья», базирующегося в Нью-Йорке. В письме получателям предлагается проверить счет-фактуру и подтвердить свою покупку. Во вложенном документе была ссылка на поддельный веб-сайт, который практически ничем не отличается от оригинального. Если пользователи посещали эту страницу, им предоставлялась возможность ввести номер заказа в идентификатор. Затем страница контактов перенаправляла их на целевую страницу, которая была связана с листом Excel. Этот лист Excel содержал макросы, которые, если пользователь включит их, загрузят BazaLoader. Во втором письме была использована почти такая же методика, однако от лица цветочного магазина Rose World. Это письмо также ссылается на заказ из интернет-магазина и включает в себя PDF-документ с описанием заказа. Он также приводит пользователя к Excel-файлу с макросами, которые начнут загрузку вредоноса, если будут активированы.

Основной функцией BazaLoader, написанного на C++, является загрузка и выполнение дополнительных модулей. Вредонос впервые был замечен в апреле прошлого года, и с тех пор исследователи наблюдали по крайней мере шесть его вариантов. В последнее время специалисты обнаружили несколько кампаний BazaLoader, которые в значительной степени опирались на взаимодействие человека с различными сайтами, PDF-документами и сообщениями электронной почты.
Подробнее
Администратор Яндекса предоставлял несанкционированный доступ к почте пользователей.
Администратор Яндекса предоставлял несанкционированный доступ к почте пользователей.
В результате инцидента было скомпрометировано 4887 ящиков Яндекс.Почты.
Пресс-служба компании Яндекс сообщила об инциденте, в результате которого были скомпрометированы электронные почтовые ящики пользователей Яндекс.Почты. Обнаружив взлом, компания инициировала внутреннее расследование, а также сообщила о нем в правоохранительные органы.

Как сообщается в пресс-релизе, инцидент произошел по вине системного администратора. Он был одним из трех сотрудников, у которых есть право на доступ к почте пользователей для проведения работ по технической поддержке. Как выяснила служба безопасности Яндекса, он использовал это для предоставления несанкционированного доступа к почте 4887 пользователей.

В компании извинились перед пострадавшими и выслали им сообщения о необходимости смены пароля. Неавторизованный доступ в скомпрометированные ящики заблокирован. В Яндексе намерены пересмотреть положение сотрудников, обладающих административными правами такого уровня доступа, чтобы избежать подобных инцидентов в будущем.
Подробнее
Более 100 финансовых организаций подверглись DDoS-атакам в рамках одной кампании.
Более 100 финансовых организаций подверглись DDoS-атакам в рамках одной кампании.
Злоумышленники угрожали более разрушительными последствиями и ежедневным увеличением суммы требуемых денег.
Консорциум Financial Services Information Sharing and Analysis Center (FS-ISAC) рассказал о масштабной DDoS-кампании, от которой в конце прошлого года пострадали более 100 финансовых организаций. Среди них оказались фондовые биржи, потребительские банки, управляющие активами, клиринговые палаты, платежные компании и фирмы, занимающиеся кредитными рейтингами.

Злоумышленники требовали выкуп в размере от 200 до 350 тыс. долларов. В случае если жертва отказывалась сотрудничать, они угрожали более разрушительными последствиями и ежедневным увеличением суммы требуемых денег.

Доподлинно не известно кто стоял за организацией нападений, хотя злоумышленники в записках разным организациям выдавали себя за известные группировки, такие как Fancy Bear и Lazarus Group. В записках с угрозами злоумышленники также приписали себе DDoS-атаку на финансовую биржу Новой Зеландии, которая летом прошлого года была вынуждена приостановить свою работу из-за действий хакеров.
Подробнее
Технические логи Emsisoft находились в открытом доступе.
Технические логи Emsisoft находились в открытом доступе.
По словам компании, в базе данных не было конфиденциальных сведений, кроме 14 адресов электронной почты.
Поставщик антивирусных продуктов Emsisoft сообщил об инциденте, в результате которого третьи лица получили доступ к техническим логам компании. База данных была открыта в Сеть с 18 января по 3 февраля и была сразу же закрыта после того, как о проблеме стало известно. Причиной инцидента стала неправильная настройка.

Скомпрометированная информация предназначалась для тестовой системы. Она использовалась для оценки и бенчмаркинга хранилища, а также для управления логируемыми данными продуктов Emsisoft.

В ходе расследования было выяснено, что база данных не содержала каких-либо чувствительных сведений. Среди конфиденциальных данных в ней можно выделить только 14 адресов электронной почты, принадлежащих 7 организациям. Они попали в логи сканирования только потому, что в их почтовых клиентах были обнаружены вредоносные ящики.
Подробнее
Северокорейская ядерная программа финансируется киберпреступниками.
Северокорейская ядерная программа финансируется киберпреступниками.
Как утверждается в докладе ООН, они могли выкрасть криптовалюты на сумму в 316,4 млн. долларов.
Телеканал CNN получил доступ к конфиденциальному докладу экспертов ООН по Северной Корее. В нем эксперты организации утверждают, что северокорейские хакеры похитили более 300 млн. долларов, которые были направлены на финансирование ядерных и баллистических ракетных программ страны. Источником CNN стал некий дипломатический источник в Совете Безопасности ООН.

Жертвами киберпреступников стали финансовые учреждения и виртуальные обменные пункты. Всего в период с 2019 по ноябрь 2020 года злоумышленникам удалось украсть виртуальных денежных средств на сумму в 316,4 млн. долларов.

В этом же докладе сообщается, что украденная криптовалюта была вложена именно в модернизацию ядерного и баллистического вооружения. Результаты этого, по их словам, можно было наблюдать на военном параде в Пхеньяне, где были показаны новые ракетные системы малой и средней дальности, обновленные субмарины и межконтинентальное баллистическое вооружение.
Подробнее
Задержан предполагаемый создатель инструментов для фишинга U-Admin.
Задержан предполагаемый создатель инструментов для фишинга U-Admin.
Им оказался житель Украины, которому теперь грозит лишение свободы на срок до 6 лет.
Совместная операция правоохранительных органов США, Австралии и Украины позволила задержать предположительного создателя фишинг-пака U-Admin. Общий ущерб, нанесенный этими инструментами, оценивается в десятки млн. долларов, а жертвами стали клиенты банков в 11 странах.

Большего всего проблем пакет U-Admin причинял австралийским финансовым организациям. Местные полицейские два года пытались идентифицировать продавца фишинговых инструментов, и, когда им это наконец удалось, передали все наработки правоохранительным органам Украины. Те в свою очередь провели обыски с изъятием компьютерной техники на территории Тернопольской области, выявили более 200 пользователей U-Admin, а также задержали предполагаемого создателя. Им оказался житель Украины, которому теперь грозит лишение свободы на срок до 6 лет. Обнаружить киберпреступника позволила уязвимость внедрения SQL-кода, которая позволяет просматривать и изменять данные, украденные с помощью фишинг-пака.

U-Admin представляет собой фреймворк для кражи информации, который имеет ряд плагинов, позволяющих генерировать поддельные страницы банков и почтовых служб. Отдельный модуль инструментария обеспечивает перехват дополнительных кодов аутентификации, используемых для подтверждения транзакции. U-Admin в состоянии даже управлять дропами, помогающими отмывать деньги, добытые незаконным путем.
Подробнее
Группировка Domestic Kitten атакует противников действующего политического режима Ирана.
Группировка Domestic Kitten атакует противников действующего политического режима Ирана.
За последние четыре года ее жертвами стали более 1,2 тыс. человек в Иране, США, Пакистане и Турции.
Хакерская группировка APT-C-50, также известная под псевдонимом Domestic Kitten и предположительно связанная с иранским правительством, проводит кибератаки против собственных граждан. Также ее жертвами стали противники действующего режима, правозащитники, активисты, журналисты и юристы из США, Пакистана и Турции. Общее их количество насчитывает минимум 1,2 тыс. человек.

Как сообщили специалисты ИБ-фирмы Check Point, за четыре года своей деятельности группировка организовала массовую слежку за пользователями и не менее десяти киберпреступных кампаний. Четыре из них активны до сих пор, последняя началась в ноябре прошлого года.

Вредоносное ПО FurBall, которое используется Domestic Kitten, базируется на инструменте для мониторинга KidLogger. Злоумышленникам либо удалось заполучить его исходный код, либо осуществить реверс-инжиниринг, добавив необходимые функции. Распространяется FurBall с помощью фишинга, web-сайтов, Telegram-каналов и SMS-сообщений с вредоносными ссылками. После заражения вредонос перехватывает SMS-сообщения и журналы звонков, собирает данные об устройстве, записывает разговоры, похищает медиафайлы и отслеживает GPS-координаты устройства.
Подробнее
Хостинг-провайдер был вынужден закрыться после кибератаки.
Хостинг-провайдер был вынужден закрыться после кибератаки.
«Мы больше не можем управлять хостинговым бизнесом No Support Linux», – категорически признала компания.
Веб-хостинговая компания No Support Linux Hosting объявила о своем закрытии после того, как хакер взломал ее внутренние системы и скомпрометировал всю ее работу. Согласно сообщению, размещенному на ее официальном сайте, инцидент произошел 8 февраля. Судя по всему, хакеру удалось скомпрометировать официальный сайт, административный раздел и базу данных клиентов. «Мы больше не можем управлять хостинговым бизнесом No Support Linux», – категорически признала компания.

Всем клиентам NSLH рекомендовано как можно быстрее загрузить резервные копии своих веб-сайтов и баз данных через cPanel. Подробностей о самой атаке не последовало. На данный момент остается не ясным шла ли речь о краже и уничтожении баз данных компании или о классической атаке с шифрованием и требованием выкупа.

Два других британских провайдера также пострадали от подобных взломов в минувшие выходные. В понедельник, 8 февраля, на страницах SapphireSecure.net и KS-Hosting.com на короткое время появилось сообщение от хакера, который угрожал опубликовать клиентские базы данных компаний, если ему не выплатят порядка 92 тыс. долларов в биткойнах. На данный момент не известно связаны ли эти атаки с инцидентом в NSLH. На это указывает лишь тот факт, что киберпреступник предоставил британским компаниям ту же возможность, а именно закрыться навсегда.
Подробнее
База данных COMB содержит 3,2 млрд. пар адресов электронной почты и паролей от них.
База данных COMB содержит 3,2 млрд. пар адресов электронной почты и паролей от них.
Она впитала в себя сведения, собранные из прошлых крупных утечек, с которыми столкнулись Netflix, LinkedIn, Exploit.in, Bitcoin.
В Сети обнаружена база данных, получившая название «Compilation of Many Breaches» (COMB). В ней содержится 3,2 миллиарда пар адресов электронной почты и паролей от них в виде простого текста. Данные запакованы в архив и защищены паролем.

Судя по всему, принципиально новых данных эта база не содержит. Она впитала в себя сведения, собранные из прошлых крупных утечек, с которыми столкнулись Netflix, LinkedIn, Exploit.in, Bitcoin. Исследователи пока не вычислили все данные, входящие в COMB, поэтому список может расширяться. Упростить поиск конкретных сведений помогают файлы query.sh – для запроса имейлов, и sorter.sh – для сортировки слитых сведений.

Проверить подверглись ли ваши учетные данные компрометации можно при помощи инструмента Personal Data Leak Checker, разработанного специалистами проекта CyberNews. Они уже дополнили его сведениями, встречающимися в COMB.
Подробнее
Портал для обучения веб-разработчиков признал утечку данных миллиона участников.
Портал для обучения веб-разработчиков признал утечку данных миллиона участников.
Среди скомпрометированных сведений реальные имена, адреса электронной почты, хэшированные пароли, имена пользователей и IP-адреса.
SitePoint – австралийский портал, специализирующийся на издании книг и пособий, а также проведении курсов для веб-разработчиков и ИТ-специалистов признал утечку данных. В результате инцидента были скомпрометированы конфиденциальные сведения миллиона участников проекта. Среди таких сведений оказались реальные имена, адреса электронной почты, хэшированные пароли, имена пользователей и IP-адреса.

Взлом электронной почты подписчиков был выявлен после того, как в декабре прошлого форума на хакерских форумах начали продаваться их данные. Администраторы проекта инициировали сброс паролей от скомпрометированных учетных записей, а также отметили, что пароли, которые были украдены киберпреступниками, зашифрованы с помощью алгоритма bcrypt и с использованием криптографической соли. Взлом такой защиты принято считать очень трудоемким процессом.  

Судя по всему, инцидент произошел после того, как злоумышленники получили доступ к инструменту Waydev, который использовался для мониторинга учетной записи в репозитории GitHub. Еще летом прошлого года в нем была выявлена опасная уязвимость, которая использовалась для взлома магазина одежды Teespring. Примечательно, что украденные данные обеих компаний поставлялись в одном пакете.
Подробнее
Администратор вымогательского ПО Ziggy сообщил о свертывании операций.
Администратор вымогательского ПО Ziggy сообщил о свертывании операций.
Киберпреступник выложил SQL-файл с 922 ключами для дешифровки, а также поделился с исследователями безопасности исходным кодом дешифровщика.
Администратор шифровальщика Ziggy в своем Telegram-канале сообщил о прекращении киберпреступной деятельности и намерении опубликовать ключи для дешифровки. В воскресенье, 7 февраля, он действительно это сделал. Он выложил SQL-файл с 922 ключами для дешифровки, а также поделился с исследователями безопасности исходным кодом дешифровщика, которому не нужно подключение к интернету или командному серверу. Команда Emisoft должна опубликовать его в ближайшее время.

По словам злоумышленника, он сожалеет о содеянном. На создание Ziggy его толкнуло отчаяние и нехватка денег. Прекратить противозаконную деятельность и выпустить дешифратор он решил из-за постоянного чувства вины и опасений по поводу преследования правоохранительными органами.

А волноваться действительно есть из-за чего. Благодаря недавним операциям правоохранителей была пресечена деятельность ботнета Emotet и вымогательского ПО NetWalker. Примечательно, что недавно свои операции также решили свернуть операторы шифровальщика Fonix, которые, как выяснилось, дружат с создателем Ziggy и живут в одной стране.
Подробнее
Две крупнейшие электроэнергетические компании Бразилии стали жертвами вымогателей.
Две крупнейшие электроэнергетические компании Бразилии стали жертвами вымогателей.
Компаниям пришлось отключить часть своих систем и отменить ряд операций.
Бразильские компании Centrais Eletricas Brasileiras (Eletrobras) и Companhia Paranaense de Energia (Copel) подверглись кибератакам с использованием вымогательского ПО. Нападения, судя по всему, не связаны друг с другом, однако в обоих случаях пострадавшим организациям пришлось отключить часть своих систем и отменить ряд операций.  

В первом случае пострадала дочерняя компания Eletrobras – Eletronuclear, участвующая в строительстве и эксплуатации атомных электростанций. Инцидент затронул некоторые серверы в административной сети предприятия. Данных о возможной утечке данных на текущий момент нет.

За атакой на Copel стоит киберпреступная группировка Darkside. Злоумышленникам удалось получить доступ к используемому на предприятии решению CyberArk, повысить свои привилегии и похитить незашифрованные пароли из всей локальной и интернет-инфраструктуры компании. Злоумышленники также похитили 1 ТБ информации, включая карты сети, схемы и график резервного копирования, доменные зоны главного сайта и домен интранета, а также личные данные высшего руководства и клиентов Copel.
Подробнее
Киберпреступники используют SSDP-службу Plex Media Server для усиления DDoS-атак.
Киберпреступники используют SSDP-службу Plex Media Server для усиления DDoS-атак.
Подобные варианты нападений уже включены в список услуг теневых DDoS-сервисов.
Специалисты Netscout обнаружили DDoS-атаки с использованием SSDP-службы Plex Media Server – мультиплатформенного приложения, предназначенного для создания медиасервера и получения удаленного доступа к файлам. Как показывает практика, подобная методика позволяет усилить вредоносный поток в 30 раз.

Обычно Plex Media Server устанавливается на веб-сервере или поставляется в комплекте с сетевыми накопителями, цифровыми медиаплеерами или иными IoT-устройствами для стриминга мультимедиа. При запуске он начинает искать в сети другие совместимые устройства. Обнаружив их, медиасервер открывает им интернет-доступ к службе Plex Media SSDP ((Simple Service Discovery Protocol) на UDP-порту 32414. На данный момент эксперты обнаружили 27 тыс. открытых серверов Plex Media, некоторые из которых уже используются злоумышленниками.

DDoS-атаки с использованием этой методики, особенно опасны для поставщиков широкополосного доступа в интернет. Эксперты советуют отключить SSDP на широкополосных роутерах, найти уязвимые конечные узлы и поставить на них фильтр, который будет отсеивать входящий трафик на порту UDP/32414. Поставщикам устройств для широкополосного доступа рекомендуется отключать на них SSDP по умолчанию.
Подробнее
В новой фишинговой кампании для сокрытия вредоносных ссылок используется азбука Морзе.
В новой фишинговой кампании для сокрытия вредоносных ссылок используется азбука Морзе.
Вложение генерирует поддельную форму входа в Office 365.
Недавняя целенаправленная фишинговая кампания включает в себя новый метод обфускации, а именно – использование азбуки Морзе для сокрытия вредоносных URL-адресов во вложении электронной почты. Первые атаки, использующие эту методику, были обнаружены на прошлой неделе.

Фишинговая атака начинается с электронного письма. Оно включает в себя HTML-вложение, названное таким образом, чтобы выглядеть как счет-фактура Excel. При его просмотре в текстовом редакторе можно увидеть, что в него встроен JavaScript, который сопоставляет буквы и цифры с кодом Морзе. Например, буква «a» сопоставляется с «. –», а буква «b» сопоставляется с «-...». Затем скрипт вызывает функцию decodeMorse() для декодирования строки азбуки Морзе в шестнадцатеричную строку. Эта шестнадцатеричная строка далее декодируется в теги JavaScript, которые вводятся в HTML-страницу.

Это используется для отображения поддельной электронной таблицы Excel, в которой необходимо заново ввести пароль. Затем учетные данные отправляются на сервре злоумышленников. За неделю фишинговым рассылкам подверглись компании SGS, Dimensional, Metrohm, SBI (Mauritius) Ltd, NUOVO IMAIE, Bridgestone, Cargeas, ODDO BHF Asset Management, Dea Capital, Equinti и Capital Four.
Подробнее
Оператор вымогателя LockBit дал интервью исследователям Cisco Talos.
Оператор вымогателя LockBit дал интервью исследователям Cisco Talos.
Предположительно проживающий в Сибири гражданин назвал Россию лучшей страной для киберпреступника.
ИБ-фирма Cisco Talos опубликовала интервью с оператором вымогательского ПО LockBit. Исследователи представили его как Алекса. Предположительно, он живет в Сибири, и ему немного за 30. По его словам, все свои навыки он приобрел самостоятельно.

На «темную сторону» его привело разочарование. Он устроился на работу в одну из ИТ-компаний, однако его предложения по улучшению систем защиты игнорировались руководством. Поиск уязвимостей в рамках закона его тоже не заинтересовал. По словам Алекса, компании всячески пытаются уйти от оплаты труда исследователя, который сообщил им об ошибках в ПО. Тогда ему захотелось проучить своих вчерашних коллег и продемонстрировать, к чему приводит плохая защита данных. Помимо прочего, он отметил, что Россия – это лучшая страна для киберпреступника: его жертвы находятся за пределами страны, а европейские и американские компании гораздо быстрее заплатят выкуп.

LockBit – программа-вымогатель, активно используемая киберпреступниками с 2019 года. Шифровальщик предоставляется по схеме «вымогатель как услуга» (RaaS), которая призвана максимально облегчить заинтересованным злоумышленникам незаконную деятельность. Вымогатель в состоянии самостоятельно определить степень ценности атакуемого ресурса. А полноценный цикл атаки от проникновения до шифрования ресурсов жертвы займет около пяти минут.
Подробнее
Российские государственные ресурсы захватываются в целях майнинга криптовалюты.
Российские государственные ресурсы захватываются в целях майнинга криптовалюты.
Замдиректора НКЦКИ также отметил, что были замечены атаки шифровальщиков на инфраструктуру медицинских учреждений.
Вчера, 4 февраля, в Москве стартовал XXIII Национальный форум информационной безопасности «Инфофорум-2021». Специалисты отрасли собрались в офлайн формате, чтобы обсудить последние тренды в сфере кибербезопасности, требования законодательства, а также поделиться опытом и применяемыми практиками.

В своем выступлении замдиректора Национального координационного центра по компьютерным инцидентам (НКЦКИ) Николай Мурашов отметил, что в прошлом году хакерам впервые удалось внедрить вредоносные программы, шифрующие пользовательские данные, в инфраструктуру медицинских учреждений России. Также, по словам Мурашова, киберпрестуники активно захватывают информационные ресурсы органов власти и объекты оборонной промышленности страны с целью майнинга криптовалюты.

В целом обстановка в глобальном информационном пространстве оценивается как напряженная. НКЦКИ направил в адрес компаний и центров реагирования на компьютерные инциденты более 250 уведомлений, что позволило сократить вредоносную деятельность в отношении российских информационных ресурсов.
Подробнее
Neuralink планируют провести первые испытания по вживлению нейроимплантов в мозг человека в конце этого года.
Neuralink планируют провести первые испытания по вживлению нейроимплантов в мозг человека в конце этого года.
Недавно Илон Маск сообщил об успешной операции на приматах.
Илон Маск сообщил в своем Twitter-аккаунте, что его компания планирует провести первые испытания по вживлению нейроимплантов в мозг человека в конце этого года. «Neuralink прилагает все усилия, чтобы обеспечить безопасность имплантатов, и находится в тесном контакте с FDA (Управление по санитарному надзору за качеством пищевых продуктов и медикаментов). Если всё пойдёт хорошо, мы сможем провести первые испытания на людях в конце этого года», - гласит пост.  

Ранее бизнесмен сообщил об успешном эксперименте над животными. По его словам, Neuralink располагает обезьяной с беспроводным имплантатом, который позволяет ей играть в видеоигры с помощью своего разума. Маск пообещал опубликовать соответствующее видео примерно через месяц.

Напомним, что созданная в 2017 году компания Neuralink нацелена на создание технологии, которая позволила бы парализованным людям управлять электронными устройствами силой мысли. Миниатюрные автономные устройства должны заместить утраченные из-за травм головного или спинного мозга функции.
Подробнее
Операторы вымогателя Babyk атакуют НКО, поддерживающие движения LGBT и BLM.
Операторы вымогателя Babyk атакуют НКО, поддерживающие движения LGBT и BLM.
Группировка запустила свой сайт, на котором планирует публиковать украденные данные, если жертвы откажутся заплатить выкуп.
Вымогательское ПО Babyk появилось в поле зрения ИБ-специалистов в начале этого года. Злоумышленники запустили свой сайт, на котором планируют публиковать украденные данные, если жертвы откажутся заплатить выкуп. На данный момент сообщается уже о трех компаниях, чьи сведения размещены на сайте. Там же располагается список всех жертв злоумышленников.

Хакеры используют популярную стратегию двойного вымогательства, впервые опробованную группировкой Maze. Перед непосредственным шифрованием данных, злоумышленники крадут конфиденциальные сведения и угрожают опубликовать их в случае отказа заплатить выкуп. Таким образом, даже наличие резервной копии не застрахует жертву от необходимости вести переговоры.

У группировки Babyk есть еще одна особенность. Они сразу опубликовали список организаций, которые не будут атаковать. В него вошли больницы, некоммерческие организации, учебные заведения и малый бизнес. Однако, если НКО поддерживает движения LGBT или BLM, то она может стать целью киберпреступников.
Подробнее
На сайте Costway обнаружены два конкурирующих веб-скиммера.
На сайте Costway обнаружены два конкурирующих веб-скиммера.
Один отображает посетителям фальшивую форму оплаты, а другой, опережая соперника, крадет вводимые в нее данные.
Специалисты Malwarebytes обнаружили сразу два веб-скиммера на французском портале компании Costway. Что особенно удивило исследователей, вредоносы конкурируют между собой. В то время как один из них отображает посетителям фальшивую форму оплаты, другой, опережая соперника, крадет вводимые в нее данные.

Costway – это крупный ритейлер Северной Америки и Европы. Сайты в Великобритании, Германии и Испании тоже оказались скомпрометированы. Все они работали на платформе Magento 1 – версии CMS, поддержка которой закончилась в середине прошлого года. Вредонос, который подгружал поддельную форму, был установлен на сайт через эксплойт. Код второго загружался из внешнего источника, размещенного в домене securityxx[.]top.

Исследователи предупредили компанию об инциденте, однако злоумышленники продолжают заражать сайты Costway. Оно и не удивительно: уязвимость в старой версии Magento никуда не денется, а количество посетителей одного только французского портала в декабре составило 180 тыс. человек.
Подробнее
Новая версия трояна Agent Tesla обходит интерфейс антивирусного программного обеспечения Microsoft (ASMI).
Новая версия трояна Agent Tesla обходит интерфейс антивирусного программного обеспечения Microsoft (ASMI).
По словам исследователей, на долю этого вредоноса приходится 20% всех вредоносных вложений, зафиксированных в декабре 2020 года.
Исследователи Sophos обнаружили новые версии трояна удаленного доступа Agent Тесла. Они нацелены на интерфейс защиты от вредоносных программ Windows (ASMI), используемый поставщиками безопасности для защиты компьютеров от атак. ASMI позволяет приложениям и службам интегрироваться с любым антивирусным продуктом, который присутствует на устройстве. В конечном итоге, Agent Tesla получает адрес функции AmsiScanBuffer и исправляет первые 8 байтов в памяти. Это заставляет AMSI возвращать ошибку (код 0x80070057), в результате чего все сканирование памяти оказывается недействительным.

Новая версия вредоноса также имеет дополнительные возможности развертывания клиента Tor. Это бесплатное программное обеспечение с открытым исходным кодом позволяет скрывать сообщения и команды киберпреступников. Также для эксфильтрации данных может использоваться приложение Telegram.

Количество приложений, из которых Agent Tesla крадет учетные данные, также было расширено. Раньше среди них были Apple Safari, Chromium, Google Chrome, Iridium, Microsoft IE и Edge, Mozilla Firefox, Mozilla Thunderbird, OpenVPN, Opera, Opera Mail, Qualcomm Eudora, Tencent QQBrowser и Яндекс. Теперь к ним добавились FTPNavigator, WinVNC4, WinSCP и SmartFTP. Вредонос представляет серьезную опасность, особенно если учесть, что на долю этого вредоноса пришлось 20% всех вредоносных вложений электронной почты, зафиксированных в декабре 2020 года.
Подробнее
Доходы операторов шифровальщиков в прошлом году выросли на 311%.
Доходы операторов шифровальщиков в прошлом году выросли на 311%.
Аналитики, подготовившие отчет, отметили, что их оценка, вероятно, сильно занижена.
Исследователи аналитической фирмы Chainalysis сообщают, что доходы операторов вымогательского ПО в 2020 году составили порядка 350 млн. долларов. Аналитики опираются на данные зафиксированных транзакций на блокчейн-адресах киберпреступников.

При этом, итоговая сумма может быть значительно выше. Это связано с тем, что далеко не все жертвы вымогателей сообщают об инцидентах безопасности и переговорах с киберпреступниками. А вот в том, что активность операторов вымогательского ПО значительно выросла в прошлом году, сходятся все исследователи безопасности.

В своем отчете аналитики Chainalysis также отметили, что, 82% доходов от вымогательских операций проходило через пять криптобирж. Это свидетельствует о том, что в вопросах отмывания полученных незаконным путем средств, инструменты злоумышленников весьма ограничены. Правоохранительные органы же, заблокировав такой сайт, могут приостановить деятельность сразу нескольких вымогательских группировок.
Подробнее
Сведения пользователей сайта эскорт-услуг опубликованы в открытом доступе.
Сведения пользователей сайта эскорт-услуг опубликованы в открытом доступе.
База данных содержит имена, адреса электронной почты, хэшированные пароли и IP-адреса почти полумиллиона человек.
На одном из хакерских форумов опубликована база данных пользователей сайта EscortReviews.com. Последний позволяет эскорт-компаниям США и Мексики продвигать свои услуги, делиться фотографиями, контактной информацией с потенциальными клиентами. Затем клиенты могут публиковать отзывы о своих впечатлениях от конкретной услуги.

Опубликованная база данных содержит регистрационную информацию более чем 470 тыс. пользователей, включая их отображаемые имена, адреса электронной почты, хэшированные пароли MD5, IP-адреса, а в некоторых случаях имена учетных записей в Skype и дни рождения. ИБ-фирма Cyble опубликовала небольшую часть записей, последние из которых относятся к сентябрю 2018 года.

Судя по всему, утечка произошла из-за уязвимого движка форума vBulletin. На сайте был запущен vBulletin 3.8.9, подверженный ряду уязвимостей, которые могут позволить злоумышленникам взломать сайт. Поскольку сайт использует хэшированные пароли MD5, которые легко могут быть взломаны, пользователям рекомендуется изменить свои учетные данные на других площадках.
Подробнее
Большинство офисных сотрудников публикуют персональные данные в соцсетях.
Большинство офисных сотрудников публикуют персональные данные в соцсетях.
Этим они потенциально подвергают себя рискам онлайн-мошенничества, фишинга и других киберугроз.
Специалисты компании Tessian опубликовали результаты опроса среди 4 тыс. сотрудников различных компаний из Великобритании и США. Исходя из них, 90% офисных работников делятся персональной и конфиденциальной информацией в социальных сетях, подвергая тем самым себя и свою организацию рискам онлайн-мошенничества, фишинга и других киберугроз.

Другие цифры из отчета:
•    59% делятся именами и фотографиями своих детей;
•    72% упоминают даты дней рождений;
•    81% обновляют свой статус работы в социальных сетях;
•    84% публикуют сообщения в социальных сетях каждую неделю;
•    42% делают это каждый день.

Исследователи безопасности напомнили, что наличие легкодоступной личной информации в сети может использоваться для осуществления мошеннических атак. Также они отметили, что за последние полгода количество атак с применением социальной инженерии и атак с использованием интернет-мошенничества увеличилось на 15%.
Подробнее
Эксперты Центра кибербезопасности ВЭФ прогнозируют грядущую кибер-пандемию.
Эксперты Центра кибербезопасности ВЭФ прогнозируют грядущую кибер-пандемию.
Инициатива Future Series: Cybercrime 2025 должна стать ответом на возникающие риски, связанные с основными технологическими трендами.
Исследователи центра кибербезопасности Всемирного экономического форума полагают, что к 2025 году технологии нового поколения могут привести к глобальной кибер-пандемии. Речь идет о повсеместном подключении, искусственном интеллекте, квантовых вычислениях и новых подходах к управлению идентификацией и доступом, потенциальное влияние которых полностью не изучено. «Существует острая необходимость в реализации коллективных действий», - говорится на сайте ВЭФ.

В связи с этим, ВЭФ совместно с Оксфордской школой Мартина при Оксфордском университете запустил инициативу под названием Future Series: Cybercrime 2025. Ее задачей станет идентификация подходов, требуемых для управления возникающими рисками, связанными с основными технологическими трендами. В инициативе задействованы более 150 мировых экспертов из различных организаций, включая Palo Alto Networks, Mastercard и Europol.

В качестве дополнительных проблем эксперты ВЭФ называют глобальную нехватку мощностей и трудовых ресурсов, а также фрагментированный подход к вопросам кибербезопасности. Последнее приводит к взаимозависимости и запутанности технологий, которые не подойдут для предотвращения угроз и реагирования на инциденты в будущем.
Подробнее
Зарубежным IT-компаниям будут предъявлены новые требования.
Зарубежным IT-компаниям будут предъявлены новые требования.
Администрация президента России совместно с правительством разработает дополнительные требования к зарубежным технологическим компаниям, осуществляющим деятельность в российском IT-сегменте. Одно из таких требований должно касаться открытия представительств этих компаний на территории России.
Поручение должно быть выполнено до 1 августа 2021 года. Ответственными за разработку требований назначены руководитель администрации президента Антон Вайно и председатель правительства Михаил Мишустин.

Инициатива об открытии представительств иностранных IT-компаний на территории страны принадлежит Общественной палате России. Там еще 22 января заявляли о намерении направить письмо в Госдуму с подобной просьбой.
Подробнее
Киберпреступники заманивают компании сообщениями о поддельных кредитах.
Киберпреступники заманивают компании сообщениями о поддельных кредитах.
Жертвы при этом сами вводят конфиденциальную и деловую информацию о владельце и бизнесе.
Киберпреступники рассылают фишинговые электронные письма, выдавая себя за кредитора Администрации малого бизнеса США (SBA). Таким образом они охотятся на американские компании, которые хотят подать заявку на получение кредита по программе защиты зарплаты (Paycheck Protection Program, PPP), чтобы сохранить свой бизнес во время пандемии COVID-19.

В фишинговых сообщениях злоумышленники выдают себя за президента World Trade Finance, делегированного кредитора SBA, который финансирует малый бизнес с помощью государственных кредитов на сумму до 5 млн. долларов. После нажатия на ссылку, встроенную в письмо, целевые объекты перенаправляются на страницу, где им предлагается ввести конфиденциальную деловую информацию, включая номер социального страхования владельца, имя и дату рождения, а также коммерческую информацию: стоимость операций, стоимость товаров и валовые доходы за 12 месяцев, предшествовавших пандемии.

Программа PPP позволяет предприятиям подать заявку на получение кредита SBA, предназначенного для сохранения рабочей силы несмотря на принятые во время пандемии ограничения. Она была запущена правительством США 3 апреля 2020 года в рамках закона CARES. Низкопроцентные кредиты будут прощены правительством, если использовать их для выплаты заработной платы.
Подробнее
Хакеры атаковали инвестиционную организацию правительства Великобритании.
Хакеры атаковали инвестиционную организацию правительства Великобритании.
Им удалось получить доступ к заявлениям на получение грантов, сведениям экспертной оценки и зашифровать часть ресурсов.
UK Research and Innovation – автономная правительственная организация Великобритании, чья деятельность направлена на инвестирование в науку и исследования, стала жертвой вымогательского ПО. Злоумышленникам удалось получить доступ к заявлениям на получение грантов, сведениям экспертной оценки и зашифровать часть ресурсов.

Атака затронула два сервиса организации: информационный ресурс для подписчиков и внутреннюю платформу для экспертной оценки подразделений организации. В настоящее время оба ресурса отключены. Подробности нападения не раскрываются. На данный момент проверяется факт получения киберпреступниками доступа к персональным данным подписчиков сервисов.

Бюджет UKRI составляет более 6 млрд. фунтов стерлингов, получаемыми из Департамента по бизнесу, энергетике и промышленной стратегии. Расследованием инцидента занимаются Национальное агентство по борьбе с преступностью, Национальный центр кибербезопасности и Офис комиссара по информации.
Подробнее
Личные данные клиентов каршеринга утекают в сеть.
Личные данные клиентов каршеринга утекают в сеть.
Подобные инциденты могут приводить к краже клиентских аккаунтов и незаконному списанию средств.
Каршеринговые компании подвержены рискам утечки данных также, как и любые другие фирмы, обрабатывающие персональные сведения своих клиентов. Причины этого могут быть разные. Так, данные клиентов популярного в Пакистане приложения Bykea и немецкой компании Buchbinder оказались в открытом доступе из-за неправильной настройки серверов. В результате этого любой желающий мог получить доступ к именам, адресам, платежным и другим данным миллионов пользователей.

Индийский стартап Bounce допустил уязвимость в своем API, из-за чего злоумышленники смогли получить данные порядка 2 млн. клиентов. А в результате атаки на бразильский сервис Unidas, киберпреступникам удалось скомпрометировать и скопировать часть пользовательских данных.

Подобные инциденты могут приводить к краже клиентских аккаунтов и незаконному списанию средств. Так, в январе прошлого года москвича обвинили в совершении ДТП на арендованном автомобиле и побеге с места происшествия в Санкт-Петербурге. Для регистрации аккаунта в каршеринговой службе «Делимобиль» использовались фотография паспорта и водительское удостоверение. После проведения расследования претензии с подозреваемого были сняты, однако гражданину пришлось предоставить солидный пакет доказательств того, что в действительности он не мог совершить вменяемое ему правонарушение, а данные, которые использовались при регистрации, были ранее скомпрометированы.
Подробнее
Администратор вымогателя Fonix сообщил о прекращении противозаконной деятельности.
Администратор вымогателя Fonix сообщил о прекращении противозаконной деятельности.
В открытом доступе опубликованы главные ключи дешифрования, которые тем не менее работают только с некоторыми версиями вредоноса.
Один из пользователей Twitter, представившись администратором вымогательского ПО Fonix, также известного как Xinof и FonixCrypter, сообщил о прекращении группировкой киберпреступной активности. Он поделился ссылкой на архив «Fonix_decrypter.rar», содержащий как дешифратор, так и главный закрытый ключ дешифрования.

В своем сообщении представитель Fonix отметил, что далеко не все члены группировки согласны с этим решением. В частности, он упомянул об администраторе Telegram-канала, который пытается обмануть людей, продавая поддельный исходный код программы. В этом же сообщении оператор отметил, что на самом деле исходный код вымогателя полностью уничтожен.

Результаты тестирования опубликованных файлов показали, что расшифровщик не позволяет жертве восстановить все файлы на системе одновременно, работает нестабильно и содержит очень запутанные инструкции. В то же время, главные ключи дешифрования работают лучше, однако только с некоторыми версиями вредоноса.
Подробнее
Российские государственные приложения передают данные своих пользователей третьим лицам.
Российские государственные приложения передают данные своих пользователей третьим лицам.
Большинство встроенных трекеров принадлежат Google, Facebook и Microsoft.
Компания Инфокультура опубликовала результаты исследования, согласно которому 88% российских государственных приложений передают данные своих пользователей третьим лицам. В 39 проанализированных приложениях из 44 есть минимум один встроенный сервис, который отслеживает данные и действия пользователей, а затем передает их сторонним компаниям чаще всего в Google, Facebook и Microsoft.

В исследовании фигурируют такие приложения как «Мои Документы.Онлайн», «Добродел», «Активный гражданин», «Парковки Москвы», «Услуги РТ», «Госуслуги Санкт-Петербурга», «Госуслуга Москвы», «Наш город», «Проверка чеков ФНС России», «МВД России» и «Госуслуги Югры».

Представитель Минцифры в ответ на результаты исследования заявил, что отслеживание действий пользователей – обычная практика и происходит в соответствии с требованиями информационной безопасности. Использование трекеров —  это тоже стандартная практика. В упомянутых приложениях встроены пуш-уведомления, которые невозможно реализовать, например, без трекера Google Firebase. «Все данные пользователей в системе электронного правительства защищены, приватность сохраняется», —  заявил представитель Минцифры России.
Подробнее
Киберпреступники Хезболлы взломали как минимум 250 серверов.
Киберпреступники Хезболлы взломали как минимум 250 серверов.
Жертвами злоумышленников стали интернет-провайдеры в США, Великобритании, Израиле, Египте, Саудовской Аравии, Ливане, Иордании, ОАЭ и Палестине.
Специалисты Clearsky обнаружили вредоносную операцию, продолжающуюся с начала 2020 года. Ответственной за ее проведение является киберпреступная группировка Lebanese Cedar, связанная с ливанской военизированной организацией Хезболла. В рамках нее злоумышленники взломали целый ряд операторов связи и интернет-провайдеров в США, Великобритании, Израиле, Египте, Саудовской Аравии, Ливане, Иордании, ОАЭ и Палестинской национальной администрации.

Идентифицировать хакеров удалось благодаря допущенной ошибке: они повторно использовали вредоносные файлы, в частности троян удаленного доступа Explosive Remote Access Trojan, применяемый только этой группировкой. Целью злоумышленников, по мнению исследователей, являлся сбор чувствительной информации и баз данных. Взлом телекоммуникационных компаний мог предоставить доступ к записям звонков и персональным данным абонентов.

Для проникновения в сети своих жертв они использовали неисправленные уязвимости в серверах Atlassian и Oracle. С помощью эксплойтов они получали к ним доступ и устанавливали web-оболочки такие как ASPXSpy, Caterpillar 2, Mamad Warning и инструмент с открытым исходным кодом под названием JSP file browser. На данный момент специалистами обнаружены 254 зараженных сервера по всему миру.
Подробнее
Инфраструктура вымогательской группировки NetWalker отключена.
Инфраструктура вымогательской группировки NetWalker отключена.
Это стало результатом совместных усилий правоохранительных органов из США и Болгарии.
Инфраструктура одной из самых активных на сегодняшний день вымогательских программ NetWalker отключена благодаря совместным усилиям правоохранительных органов из США и Болгарии. Первые предъявили обвинения жителю Канады, предположительно получившему от зараженных компаний 27,6 млн. долларов, а вторые изъяли сервер, использовавшийся для хостинга портала NetWalker в даркнете.

Гражданин Канады является жителем города Гатино. Предположительно, он арендовал у киберпреступной группировки вредоносный код и являлся партнером программы. Изъятый сервер служил хостингом для ресурса, на котором публиковались украденные у жертв NetWalker данные, а также использовался для хостинга страниц связи с операторами вымогательского ПО и переговоров по поводу выкупа.

NetWalker занимает пятую позицию в рейтинге самых прибыльных программ-вымогателей после Ryuk, Maze, Doppelpaymer и Sodinokibi. В прошлом году выручка операторов программы составила 46 млн. долларов. По данным властей США, жертвами группировки стали как минимум 305 организаций в 27 странах.
Подробнее
Новый фишинговый инструмент может создавать поддельные страницы в режиме реального времени.
Новый фишинговый инструмент может создавать поддельные страницы в режиме реального времени.
LogoKit уже был замечен на более чем 700 уникальных доменах за последний месяц.
Исследователи безопасности из RiskIQ рассказали о новом фишинговом инструменте, получившем название LogoKit.  Он способен изменять логотипы и текст на мошеннической странице в режиме реального времени, чтобы адаптироваться к целевым жертвам. Специалисты заявили, что уже зафиксировали установки LogoKit на более чем 300 доменах за последнюю неделю и более чем 700 за последний месяц.

LogoKit полагается на отправку пользователям фишинговых ссылок, содержащих их адреса электронной почты. Как только жертва переходит на URL-адрес, инструмент извлекает логотип компании из стороннего сервиса. В частности, за последний месяц LogoKit имитировал страницы входа для SharePoint, Adobe Document Cloud, OneDrive, Office 365 и нескольких криптовалютных бирж. Электронная почта жертвы при этом автоматически заполняется в соответствующем поле. Если пользователь вводит свой пароль, LogoKit выполняет AJAX-запрос, отправляя учетные данные цели во внешний источник.

Встраиваемый набор функций JavaScript, который использует новый инструментарий, может быть добавлен в любую универсальную форму входа в систему или сложные HTML-документы. Это отличается от стандартных фишинговых наборов, большинство из которых нуждаются в пиксельных шаблонах, имитирующих страницы аутентификации компании. Модульность комплекта позволяет операторам LogoKit нацеливаться на любую компанию и создавать десятки или сотни атак в неделю против широкого набора целей. Кроме того, поскольку LogoKit представляет собой набор файлов JavaScript, его ресурсы также могут размещаться на общедоступных доверенных сервисах, таких как Firebase, GitHub, Oracle Cloud и других, большинство из которых будут занесены в белый список внутри корпоративных сред.
Подробнее
Злоумышленники использовали аккаунт умершего сотрудника для заражения вредоносным ПО.
Злоумышленники использовали аккаунт умершего сотрудника для заражения вредоносным ПО.
Учетная запись администратора позволяла им целый месяц скачивать данные.
Один из клиентов ИБ-фирмы Sophos стал жертвой хакерской атаки. Расследование специалистов показало, что злоумышленникам удалось получить доступ к аккаунту администратора домена Active Directory, который умер за три месяца до начала операции. После того, как хакеры целый месяц незаметно скачивали данные, они заразили сеть вымогательским ПО Nefilim, которое удалось быстро обнаружить и обезвредить.

Точкой входа для киберпреступников стала уязвимая версия интерфейса, обеспечивающего удаленный доступ к приложениям и виртуальным рабочим столам, а именно Citrix Storefront 7.15 CU3. В нем было обнаружено сразу несколько серьезных ошибок: CVE-2019-11634, CVE-2019-13608, CVE-2020-8269, CVE-2020-8270, CVE-2020-8283. Злоумышленники получили удаленный доступ к сети с помощью эксплойта, а затем собрали сведения об инфраструктуре при помощи Mimikatz и Cobalt Strike. Таким образом они обнаружили заброшенный аккаунт администратора домена. Шифровальщик Nefilim же был внедрен в сеть с помощью системы интерфейсов Windows Management Instrumentation.

Nefilim является вымогательским ПО, которое попало в поле зрения ИБ-экспертов в 2019 году. Операторы вредоноса используют стратегию двойного вымогательства, то есть крадут данные жертвы перед непосредственным шифрованием, а затем угрожают их публикацией. С этой целью они создали специальный сайт — Corporate Leaks. Среди крупных жертв Nefilim оказались компании Whirlpool и Orange.
Подробнее
Персональные данные 66 тыс. пользователей VIPGames утекли в сеть.
Персональные данные 66 тыс. пользователей VIPGames утекли в сеть.
Конфиденциальные сведения оказались в открытом доступе из-за неправильной конфигурации облачного хранилища.
Игровая онлайн-платформа VIPGames.com непредумышленно скомпрометировала персональные данные 66 тыс. своих пользователей. Незащищенное облачное хранилище, насчитывающее 30ГБ данных, были обнаружены участниками исследовательского проекта WizCase.

В открытом доступе оказалось 23 млн. записей, содержащих имена, адреса электронной почты пользователей, тип устройства, IP-адрес, хеш пароля, ID Facebook, Twitter или Google, а также детали внутриигровых транзакций, размеры ставок и даже причины, по которым пользователю был заблокирован доступ, если такой факт имел место быть. Основную угрозу для жертв утечки в этом случае представляют вероятные мошеннические и фишинговые атаки. На данный момент не сообщается получал ли кто-то неавторизованный доступ к базе данных.  

VIPGames.com – это социальная онлайн-платформа, которая предоставляет доступ к обширной коллекции настольных и карточных игр. Android-клиент VIP Games был скачан свыше 100 тысяч, а ежедневная аудитория насчитывает более 20 тыс. геймеров.
Подробнее
Правоохранительным органам удалось отключить Emotet.
Правоохранительным органам удалось отключить Emotet.
На сегодняшний день он считается самым опасным ботнетом.
Правоохранительным органам удалось захватить инфраструктуру и прекратить вредоносную активность ботнета Emotet. В операции приняли участие специалисты из США, Великобритании, Франции, Нидерландов, Германии, Литвы, Канады и Украины. Вредоносная сеть включала сотни серверов по всему миру, отвечающих за различные ее функции.

Европол планирует использовать захваченную инфраструктуру для рассылки жертвам Emotet модуля, который удалит вредоносное ПО. Старт этой операций запланирован на 25 марта. В ходе следствия также удалось установить личности членов преступной группировки, ответственной за развитие сети, двое из которых были задержаны сотрудниками Департамента Киберполиции Национальной полиции Украины. Злоумышленникам грозит до 12 лет лишения свободы.

Впервые деятельность Emotet была обнаружена в 2014 году. Изначально вредонос представлял собой банковский троян, который затем эволюционировал в ботнет. Ответственной за его использование считается киберпреступная группа TA542. Жертвы Emotet сталкиваются с атаками троянов QakBot и Trickbot, которые в свою очередь загружают вымогательское ПО ProLock, Egregor, Ryuk и Conti.
Подробнее
Уязвимость в утилите Sudo 10 лет позволяла получить права суперпользователя в Linux.
Уязвимость в утилите Sudo 10 лет позволяла получить права суперпользователя в Linux.
Она была устранена только сегодня, 27 января, в версии Sudo 1.9.5p2.
Специалисты фирмы Qualys две недели назад обнаружили уязвимость в утилите Sudo, которая предназначена для делегирования администраторами Linux ограниченных прав суперпользователя. Она получила название Baron Samedit и идентификатор CVE-2021-3156. Ее эксплуатация позволяет злоумышленнику с доступом к учетной записи с низкими привилегиями получить права суперпользователя, даже если учетная запись отсутствует в конфигурационном файле, контролирующем пользователей.

Уязвимость переполнения буфера связана с ошибкой синтаксического анализа командной строки. Утилиту sudoedit можно запустить с параметрами -s или -i, установив флаг, указывающий, что режим оболочки включен. Поскольку команда на самом деле не выполняется, Sudo не экранирует спецсимволы с помощью обратной косой черты, как должно быть. Возникает несоответствие, которое позволяет проэксплуатировать CVE-2021-3156.

Судя про всему, ошибка существует в Sudo уже 10 лет. Специалистам Qualys удалось разработать варианты эксплоитов для Ubuntu 20.04 (Sudo 1.8.31), Debian 10 (Sudo 1.8.27) и Fedora 33 (Sudo 1.9.2). Потенциально же все версии утилиты с июля 2011 года могут быть взломаны.
Подробнее
Обнаружена новая волна фишинговых атак с редкими методами обфускации вредоносного кода.
Обнаружена новая волна фишинговых атак с редкими методами обфускации вредоносного кода.
Злоумышленники используют шифр подстановки на базе WOFF и Telegram-каналы для связи.
Пользователи в Европе, Северной и Южной Америке подверглись новой волне фишинговых атак, сообщает FireEye Email Security. В ней киберпреступники используют редкие методы обфускации вредоносного кода, а именно шифр подстановки на базе WOFF и Telegram-каналы для связи.

Для рядового пользователя атака выглядит особенно ничем не примечательно. Жертва получает электронное письмо, замаскированное под уведомление от службы экспресс-доставки DHL. В нем содержится ссылка на поддельный сайт с формой, куда должны вводиться данные банковской карты, которые затем отправляются на подконтрольные киберпреступникам адреса электронной почты и Telegram-каналы.

Исследователи же отмечают весьма редкий метод обфускации исходного кода фишинговой страницы. Он содержит надлежащие строки и действительные теги, однако в нем также содержится текст, закодированный с помощью шифра подстановки и напоминающий бессмысленный набор символов. Декодирование текста осуществляется с помощью файла шрифтов Web Open Font Format во время загрузки страницы внутри каскадных таблиц стилей (CSS). Этот метод встречается редко, так как для шифрования и дешифрования HTML- текстов обычно используется JavaScript.
Подробнее
Двойное вымогательство стало обычной практикой среди киберпреступников.
Двойное вымогательство стало обычной практикой среди киберпреступников.
Десятки вымогательских группировок опубликовали 550 записок с требованиями о выкупах в 2020 году.
Стратегия двойного вымогательства стала популярной у киберпреступников в 2020 году. В рамках нее операторы вымогательского ПО не только шифруют данные жертвы, но и крадут их перед этим, а затем угрожают публикацией на своих открытых страницах. Всего специалистами компании Digital Shadows было обнаружено 550 подобных сообщений от десятков вымогательских группировок.

Само вымогательское ПО стало одной из наиболее популярных угроз. Более половины клиентов компании CrowdStrike столкнулись с необходимостью устранения последствий подобных нападений. Большинство атак вымогателей приходится на организации в Северной Америке, причем в 75% случаев хакерам удается зашифровать данные своих жертв.

В 2020 году 84% всех атак с использованием вымогательского ПО пришлось на группировки Maze, Egregor, Conti, Sodinokibi, DoppelPaymer и Netwalker. Причем первые две, по мнению специалистов безопасности, представляют собой одно и то же. В октябре группировка Maze сообщила о свертывании своих операций, однако с Egregor их связывают одинаковые записки с требованиями о выкупе, одинаковые названия сайтов платежей и большая часть кода.
Подробнее
Palfinger подвергся масштабной кибератаке.
Palfinger подвергся масштабной кибератаке.
В настоящее время с компанией нельзя связаться по электронной почте, она не может получать или обрабатывать запросы, заказы, отгрузки и счета-фактуры.
Компания Palfinger, которая является ведущим производителем кранов и подъемников, стала жертвой кибератаки, нарушившей работу ИТ-систем и бизнес-операций. На официальном сайте в настоящий момент можно лишь увидеть сообщение, что масштабы и последствия этого нападения в настоящее время не поддаются оценке, но предпринимаются интенсивные усилия по поиску решения. Контактировать с фирмой возможно только по телефону, а ее представители просят пока не размещать новых заказов.

В уведомлении безопасности также говорится, что в атаке пострадали системы планирования корпоративных ресурсов Palfinger и большая часть филиалов по всему миру. Подробностей о самом нападении или ответственных за его совершение пока нет.
Подробнее
Личная информация пользователей BuyUcoin могла быть скомпрометирована.
Личная информация пользователей BuyUcoin могла быть скомпрометирована.
Исследователь безопасности обнаружил данные 325 тыс. клиентов криптовалютной биржи на форуме группировки ShinyHunters.
Индийское издание Inc42 со ссылкой на исследователя безопасности Раджшекхара Раджахарии сообщает о компрометации личных данных пользователей криптовалютной биржи BuyUcoin. Специалист обнаружил украденные сведения на форуме группировки ShinyHunters.

Среди этих данных оказались имена, адреса электронной почты, номера телефонов, записи транзакций в криптовалюте и банковские реквизиты 325 тыс. пользователей BuyUcoin. Информация поделена на три архива, которые отмечены датами 1 июня, 14 июля и 5 сентября 2020 года.

В BuyUcoin ранее сообщали об инциденте безопасности, однако факт компрометации пользовательских данных отрицали. В официальном заявлении «после тщательной проверки» компания констатировала, что средства клиентов не пострадали.
Подробнее
Северокорейские хакеры атакуют исследователей безопасности через социальные сети.
Северокорейские хакеры атакуют исследователей безопасности через социальные сети.
Злоумышленники, судя по всему, используют уязвимость нулевого дня в 64-разрядных версиях Windows 10, Windows Server 2019 и Windows Server 2016.
Группа анализа угроз Google опубликовала отчет, согласно которому хакеры, поддерживаемые правительством Северной Кореи, нацелились на исследователей безопасности. Киберпреступники используют поддельные профили в социальных сетях, чтобы создать фальшивую личность. С помощью этих учетных записей они затем связываются со своими целями через Twitter, LinkedIn, Telegram, Discord, Keybase и электронную почту.

После установления контакта субъекты угроз спрашивают, хотят ли специалисты сотрудничать в исследовании уязвимостей или разработке эксплойтов. Жертве отправляется проект Visual Studio, содержащий вредоносную скрытую библиотеку DLL с именем «vcxproj.suo». Команда PowerShell проверяет, работает ли пользователь под управлением 64-разрядных версий Windows 10, Windows Server 2019 и Windows Server 2016. Если да, то вредонос выполняется через rundll32.exe. В Google утверждают, что эта библиотека является пользовательским бэкдором, введенным в память для связи с командным сервером злоумышленников.

Исследователи, которые пострадали от действий хакеров, использовали полностью исправленные сборки Windows 10 с последней версией Google Chrome. Это может указывать на то, что субъекты угроз использовали уязвимости нулевого дня. Конечная цель этих атак точно не установлена, однако, скорее всего, злоумышленников интересуют наработки исследователей в области уязвимостей, которые еще не были официально раскрыты и соответственно исправлены. На текущий момент аналитики Google обнаружили несколько аккаунтов в Twitter, относящихся к этой хакерской кампании. Среди них: br0vvnn, BrownSec3Labs, dev0exp, djokovic808, henya290, james0x40, m5t0r, mvp4p3r, tjrim91 и z0x55g.
Подробнее
Заработал сайт об уязвимостях во вредоносном ПО.
Заработал сайт об уязвимостях во вредоносном ПО.
На MalVuln можно ознакомиться с подробными техническими описаниями уязвимостей и способами их эксплуатации.
ИБ-эксперт Джон Пэйдж запустил сайт об уязвимостях во вредоносном ПО. На MalVuln.com, по задумке создателя, будут публиковаться подробные технические описания уязвимостей и способы их эксплуатации. На данный момент он опубликовал 45 ошибок, найденных только им, в новых и старых вредоносных программах. В дальнейшем он хочет привлечь к сотрудничеству и других специалистов.

Опубликованные данные должны помочь специалистам отключать и удалять программы злоумышленников. Пэйдж считает, что такой портал будет полезен в рамках реагирования на инциденты безопасности.

Однако, не все коллеги с ним согласны. Публикация уязвимостей во вредоносном ПО затрагивает ту же тему, что и рассказ об ошибках в легитимных приложениях. И в том, и в другом случае информацией могут воспользоваться киберпреступники: устранить баги, улучшить свои программы. Косвенно это может усложнить работу ИБ-специалистов, которые пользуются найденными уязвимостями в целях расследования киберинцидентов.
Подробнее
Техник компании по домашней безопасности шпионил за клиентами.
Техник компании по домашней безопасности шпионил за клиентами.
Он признал себя виновным в компьютерном мошенничестве и съемке женщин без их согласия.
В США судят сотрудника компании ADT, специализирующейся на обеспечении безопасности домов и офисов. В ходе заседания Окружного суда США Телесфоро Авилес признался, что взламывал домашние камеры и шпионил за клиентами фирмы. За более чем четыре года он проделал это порядка 9600 раз.

Как рассказал подсудимый, его жертвами становились привлекательные женщины из Техаса. В общей сложности, он успел пошпионить за 220 клиентками ADT и их личной жизнью.

Недовольные клиенты подали иски в адрес компании в связи с нарушением безопасности. Спустя пять месяцев, в октябре 2020 года, были предъявлены обвинения технику. За совершенные действия ему грозит до 5 лет лишения свободы.
Подробнее
Группировка вымогателей Avaddon использует DDoS-атаки, чтобы заставить своих жертв платить.
Группировка вымогателей Avaddon использует DDoS-атаки, чтобы заставить своих жертв платить.
Злоумышленники планируют атаковать сайт жертвы до тех пор, пока с ними не свяжутся для переговоров о выкупе.
С конца прошлого года группировки вымогателей начали использовать DDoS-атаки против сети или веб-сайта жертвы в качестве дополнительного инструмента оказания давления. В то время такой тактикой пользовались SunCrypt и RagnarLocker. Теперь же к ним присоединились и злоумышленники из Avaddon.

Когда компания подвергается атаке вымогателей, некоторые жертвы восстанавливают данные из резервных копий и не утруждают себя контактом с злоумышленниками. DDoS-атаки же вынуждают их все равно переходить к переговорам.

При распределенной атаке типа «отказ в обслуживании» (DDoS) субъект угрозы наводняет веб-сайт или сетевое соединение большим количеством запросов, чем он может обработать, что делает службу недоступной. Злоумышленники планируют атаковать сайт жертвы до тех пор, пока с ними не свяжутся для переговоров о выкупе.
Подробнее
SonicWall и ее продукты взломаны при помощи уязвимости нулевого дня.
SonicWall и ее продукты взломаны при помощи уязвимости нулевого дня.
Как сообщает фирма, затронуты NetExtender VPN и Secure Mobile Access.
Производитель файрволов и VPN-продуктов, компания SonicWall, стала жертвой атаки киберпреступников. Как предполагают сами представители фирмы, злоумышленикам удалось использовать 0-day уязвимость в продуктах SonicWall, обеспечивающих защищённый удалённый доступ.

На данный момент установлено, что затронуты были NetExtender VPN-клиент версий 10.x, который используется для подключения к SMA 100 и файрволам SonicWall, а также Secure Mobile Access версии 10.x, на которой работают SMA 200, SMA 210, SMA 400, SMA 410 и SMA 500v. Судя по всему, взломан был также и принадлежащий компании репозиторий GitLab, однако это пока никак не прокомментировано.

Организациям, использующим указанные продукты, рекомендовано включить мультифакторную аутентификацию, отключить доступ NetExtender к файрволу, ограничить доступ к пользователям и администраторам со стороны публичных IP-адресов и настроить «белые» списки для прямого доступа к SMA. Компания обещает регулярно уведомлять о новых подробностях атаки по мере поступления информации.
Подробнее
Вредоносная кампания LuckyBoy направлена на пользователей iOS, Android и XBox.
Вредоносная кампания LuckyBoy направлена на пользователей iOS, Android и XBox.
Вредоносное ПО запрограммировано для перенаправления устройств на фишинговые страницы и поддельные обновления программного обеспечения.
Пользователи iOS, Android и Xbox становятся жертвами новой вредоносной кампании, получившей название LuckyBoy. По данным специалистов MediaTrust, начиная с декабря 2020 года злоумышленникам удалось заразить более 10 автоматизированных систем покупки (Demand-Side Platform, DSP). Большая часть жертв сосредоточена в Европе.

Злоумышленники также занимаются хищением информации о зараженных устройствах. Вредоносное ПО собирает такие данные, как код страны, количество ядер ЦП, уровень заряда батареи, текущий домен, плагины, наличие web-драйвера, различную графическую информацию и наличие сенсорного ввода. В дальнейшем эти сведения могут быть использованы для других кибератак.

LuckyBoy в состоянии определять, присутствуют ли на устройстве защитные средства, среды тестирования и активные отладчики. Если они есть, то вредонос попросту не запустится. В ином же случае пользователь будет перенаправляться на различный вредоносный контент, включая фишинговые страницы и поддельные обновления программного обеспечения.
Подробнее
Украдены учетные данные 2 млн. премиум-пользователей MyFreeCams.
Украдены учетные данные 2 млн. премиум-пользователей MyFreeCams.
База данных содержит имена пользователей, адреса электронной почты, пароли в виде обычного текста и баланс каждой учетной записи.
Хакер продает базу данных с учетными данными 2 млн. высокооплачиваемых пользователей сервиса потокового видео и чата для взрослых MyFreeCams. Продавец говорит, что база данных была получена недавно, после успешной атаки SQL-инъекции, и что она может быть использована для кражи средств премиум-пользователей.

Украденные сведения содержат имена пользователей, адреса электронной почты, пароли в виде обычного текста и баланс каждой учетной записи. Продавец предлагал 10 тыс. записей за 1500 долларов в биткоинах. По его словам, эти записи гарантируют прибыль не менее 10 тыс. долларов в токенах, которые используются на площадке для разблокировки дополнительных функций. По данным издания CyberNews, биткоин-кошелек продавца зафиксировал 45 транзакций, которые принесли ему 21 тыс. долларов в криптовалюте по состоянию на утро 22 января.

MyFreeCams – это популярная платформа для видео-чатов для взрослых с десятками миллионов пользователей. Сервис предоставляет бесплатный доступ в чаты большого количества моделей. Администрация платформы подтвердила подлинность украденных данных.
Подробнее
Киберпреступники украли как минимум 1 тыс. логинов и паролей от Office 365.
Киберпреступники украли как минимум 1 тыс. логинов и паролей от Office 365.
Они сохранили эти сведения в общедоступном файле, который может быть найден при помощи поиска Google.
Неустановленные киберпреступники организовали масштабную фишинговую кампанию, в результате которой им удалось украсть как минимум 1 тыс. логинов и паролей для авторизации в корпоративных учетных записях Microsoft Office 365. Жертвами злоумышленников, в основном, стали компании в сфере строительства, энергетики и информационных технологий.

Фишинговую операцию проанализировали специалисты Check Point и Otorio. По их данным, хакеры взломали легитимные WordPress-серверы с целью использования их для хостинга фишинговых PHP-страниц. Хорошая репутация скомпрометированных сайтов позволила успешнее обманывать пользователей. На электронную почту жертве приходило письмо с вложенным HTML-файлом. При его открытии появлялась страница поддельной формы входа в учетную запись Office 365 и сообщение, что для прочтения файла необходимо авторизоваться. Фоновый JavaScript проверял подлинность введенных данных и отправлял их киберпреступникам.

Занятно, что хакеры по ошибке сделали украденные сведения общедоступными. Они разместили данные в публично доступном файле, который смогла проиндексировать поисковая система Google.
Подробнее
Рынок кибербезопасности в текущем году ожидает 10% рост.
Рынок кибербезопасности в текущем году ожидает 10% рост.
Несмотря на рост инвестиций, количество утечек и скомпрометированных данных в прошлом году достигло рекордного уровня.
Исследователи компании Canalys составили прогноз, согласно которому рынок кибербезопасности в 2021 году увеличится на 10% при сохранении текущих тенденций. Общие расходы составят 60,2 млрд. долларов. При самом худшем раскладе, этот рост составит всего 6%.

Специалисты полагают, что наибольшие инвестиции будут вкладываться в защиту web и электронной почты. Увеличение расходов на анализ уязвимостей составит 11%. Затраты на защиту конечных точек и решения для управления доступом к учетным данным вырастут на 10,4%. Инвестиции в сетевую безопасность и защиту данных, по мнению исследователей, также вырастут, но в меньшем объеме.

Также они отметили, что, несмотря на увеличение затрат на кибербезопасность, количество утечек и в прошлом году достигло рекордного уровня. Общее количество скомпрометированных записей, по их подсчетам, составило 12 млрд. Основными причинами этого исследователи признали фишинговые кампании и неправильно настроенные облачные базы данных.
Подробнее
Данные пользователей Nitro PDF бесплатно распространяются на теневых площадках.
Данные пользователей Nitro PDF бесплатно распространяются на теневых площадках.
База данных содержит полные имена людей, bcrypt-хеши паролей, имена компаний и IP-адреса.
Данные пользователей Nitro PDF, а именно их полные имена и хэшированные пароли, опубликованы на одном из хакерских форумов группировкой ShinyHunters. Объем сведений составляет 14 ГБ и включает 77 млн. записей. Помимо информации о частных пользователях в скомпрометированной базе присутствуют данные корпоративных клиентов.

Группировка распространяет эти данные бесплатно. Уже сейчас пользователи могут проверить были ли скомпрометированы их сведения при помощи сервиса Have I Been Pwned. Как всегда, в случае компрометации подобных данных специалисты безопасности предостерегают о высокой вероятности скорых фишинговых атак.

Nitro PDF – это приложение для создания, редактирования подписи PDF-файлов. Его разработчики также предоставляют облачный сервис для совместной работы над документами. На данный момент лицензию приложения приобрело порядка 1,8 млн. человек, а также 10 тыс. корпоративных клиентов.
Подробнее
Android-версия приложения «Госуслуги Москвы» содержала уязвимость.
Android-версия приложения «Госуслуги Москвы» содержала уязвимость.
В случае ее эксплуатации злоумышленники могли получить доступ ко всей информации аккаунта жертвы.
Исследователи из компании Postuf обнаружили уязвимость в Android-версии приложения «Госуслуги Москвы». При ее эксплуатации потенциальный злоумышленник мог получить доступ к аккаунту пользователя, располагая только его номером телефона.  

В руки киберпреступников в этом случае попадают ФИО, адрес электронной почты, год рождения, номер СНИЛС и ОМС, список имущества, а также информация о загранпаспорте и детях. Все эти сведения можно было отредактировать незаметно для пользователя. С помощью номера полиса ОМС дополнительно можно получить доступ к медицинским данным жертвы.  

После обнаружения уязвимости сотрудники Postuf направили запрос в Департамент информационных технологий Москвы. На данный момент уязвимость признана исправленной.
Подробнее
Данные ИБ-фирмы Malwarebytes затронуты инцидентом с SolarWinds.
Данные ИБ-фирмы Malwarebytes затронуты инцидентом с SolarWinds.
Киберпреступникам удалось проникнуть в системы за счёт эксплуатации продукта, входящего в состав Office 365.
Компания Malwarebytes сообщила, что ее системы также были затронуты в результате атаки группировки UNC2452 на поставщика ПО SolarWinds. ИБ-фирма не использует софт, который был модифицирован киберпреступниками в результате нападения. Проникнуть во внутреннюю сеть злоумышленникам удалось за счёт эксплуатации продукта, входящего в состав Office 365 и предназначенного для защиты электронной почты.

В Malwarebytes провели расследование и установили, что киберпреступникам удалось получить доступ к ограниченным данным. «После тщательной проверки нам удалось выявить, что киберпреступники получили доступ лишь к ограниченному количеству внутренних электронных писем», – сообщил Марчин Клезински, гендиректор фирмы. При этом продукты Malwarebytes не пострадали.

Напомним, что в декабре 2020 года IT-провайдер SolarWinds и его клиенты подверглись хакерской атаке. В результате добавления вредоносного кода в обновление платформы Orion пострадали Пентагон, армия, ФБР и Киберкомандование США, а также различные социальные службы, объекты здравоохранения и коммерческие структуры. Спецслужбы США обвинили в нападении российских киберпреступников.
Подробнее
Мессенджеры Signal, Google Duo, Facebook Messenger позволяли шпионить за пользователями.
Мессенджеры Signal, Google Duo, Facebook Messenger позволяли шпионить за пользователями.
Уязвимости в популярных приложениях позволяли злоумышленникам прослушивать окружающие устройство звуки еще до ответа на звонок.
Исследовательница из Google Project Zero Натали Сильванович (Natalie Silvanovich) обнаружила уязвимости в популярных приложениях для видеоконференций: Signal, Google Duo, Facebook Messenger, JioChat и Mocha. На данный момент они исправлены, однако до этого они позволяли злоумышленникам прослушивать окружающие устройство звуки еще до ответа на звонок.

Уязвимость в Signal позволяла соединять звонки путем отправки вызывающим устройством сообщения без участия абонента. В Google Duo вызываемое устройство могло отправлять вызывающему устройству пакеты данных до того, как абонент ответит на звонок. Баг в Facebook Messenger позволял соединять звонки до того, как абонент ответит. Также уязвимости позволяли без ведома пользователя отправлять аудио в JioChat и аудио/видео в Mocha.

Всего исследовательница проверила семь приложений. В Telegram и Viber подобных багов обнаружено не было.
Подробнее
Китайские хакеры похищают данные пассажиров авиакомпаний.
Китайские хакеры похищают данные пассажиров авиакомпаний.
В некоторых случаях злоумышленники оставались внутри скомпрометированных сетей в течение трех лет.
NCC Group и ее дочерняя компания Fox-IT опубликовали отчет о деятельности китайской хакерской группировки Chimera. Ее члены уже несколько лет атакуют авиационную отрасль с целью получения данных о пассажирах и для отслеживания передвижения ряда лиц. Исследователи проанализировали инциденты безопасности в период с октября 2019 по апрель 2020 года. В их рамках злоумышленники были нацелены на полупроводниковые и авиационные компании в разных географических районах. А в случае некоторых жертв злоумышленники оставались внутри скомпрометированных сетей в течение трех лет.

Типичный операция Chimera обычно начинается со сбора учетных данных пользователей, попавших в открытый доступ. Эти сведения используются для входа в различные системы жертвы, например, электронную почту. Оттуда операторы Chimera ищут регистрационные данные для других корпоративных систем. Оказавшись во внутренней сети, злоумышленники обычно развертывают систему тестирования на проникновение Cobalt Strike, с помощью которой они перемещаются в боковые области как можно большего числа систем. Как только они нашли и собрали данные, которые им были нужны, информация загружается в общедоступные облачные сервисы, такие как OneDrive, Dropbox или Google Drive, так как трафик этих сервисов не будет проверен или заблокирован внутри скомпрометированных сетей.

Хотя в отчете NCC и Fox-IT не было предположений о том, почему хакеры нацелились на авиационную отрасль и данные пассажиров. Однако, как показывает практика, хакерские группы, спонсируемые государством, часто нацеливаются на авиакомпании, гостиничные сети и телекоммуникационные компании, чтобы получить данные, которые они могли бы использовать для отслеживания перемещений и коммуникаций интересующих их лиц.
Подробнее
Сроки перехода российских объектов КИИ на отечественное ПО могут быть ускорены.
Сроки перехода российских объектов КИИ на отечественное ПО могут быть ускорены.
Минцифры подготовило проект указа президента РФ о перенесении сроков на год.
Министерство цифрового развития, связи и массовых коммуникация РФ 29 октября 2020 года разместило для публичного обсуждения проект приказа президента о переходе российских объектов критической информационной инфраструктуры на отечественное ПО и оборудование. В изначальной версии это планировалось осуществить до 1 января 2024 года для софта и до 1 января 2025 года для железа.

В новой версии проекта приказа Минцифры сдвинуло эти сроки на год. Ускорение перехода, по словам представителей ведомства, связано с предложениями, поступившими в рамках обсуждения проекта.

Это также может быть связано с недавней атакой на SolarWinds. Напомним, что в результате нападения на поставщика ПО Orion, были затронуты десятки правительственных и частных организаций, в основном, в США. Из-за атаки на одного поставщика пострадали технологические, электроэнергетические, нефтяные и производственные компании.
Подробнее
В хакерской атаке на сеть постаматов PickPoint личные данные клиентов не пострадали.
В хакерской атаке на сеть постаматов PickPoint личные данные клиентов не пострадали.
Продаваемая в интернете база данных, по словам компании, содержит фэйковую информацию.
В декабре 2020 года сеть PickPoint пострадала от хакерской атаки. Неустановленные киберпреступники напали на провайдеров, которые обеспечивают интернетом постаматы компании, около 25% которых пострадали в результате атаки.

После этого в ряде СМИ появились сообщения, что злоумышленники получили доступ к персональным данным 4 млн. клиентов PickPoint и продают эти сведения в даркнете. Также появились сообщения, что за 1 тыс. долларов киберпреступники продают доступ в скомпрометированную сеть.

Представители PickPoint опровергли слухи об утечке персональных данных клиентов. «PickPoint не имеет в своей базе данных о ФИО, днях рождения и тем более каких-либо персональных паролей пользователей». В результате декабрьской атаки пострадали 198 заказов, которые к этому времени компенсированы клиентам в полном объеме, а другие последствия были устранены еще в декабре прошлого года.
Подробнее
Госдума РФ и Роскомнадзор намерены разработать методы противодействия онлайн-мошенничеству.
Госдума РФ и Роскомнадзор намерены разработать методы противодействия онлайн-мошенничеству.
Пользователям хотят предоставить инструменты, с помощью которых можно будет отправлять жалобы на подозрительные или вредоносные сайты.
Представители Государственной Думы РФ заявили о своем намерении ввести новое регулирование, которое позволит помечать подозрительные и откровенно вредоносные интернет-ресурсы. Соответствующий проект должен быть разработан совместно с Роскомнадзором.

В частности, Антон Горелкин, член комитета Государственной думы по информационной политике, предложил разработать специальный виджет для браузеров, с помощью которого можно будет отправлять жалобы на подозрительные сайты. Также он указал на возможность классификации веб-ресурсов на основе искусственного интеллекта.

Специалисты ИБ сразу предположили, что подобной системой можно злоупотреблять. Даже они не всегда могут быстро и точно определить является ли ресурс мошенническим, что уж говорить об обычных пользователях. Другая инициатива, а именно верификация пользователей виртуальных номеров телефонов, встретила большее одобрение. Это, по мнению специалистов, усложнит регистрацию вредоносных сайтов и скажется на деятельности телефонных мошенников.
Подробнее
Крупнейшие утечки данных учреждений финансовой сферы в 2020 году.
Крупнейшие утечки данных учреждений финансовой сферы в 2020 году.
Паспортные данные, номера телефонов, электронных кошельков и суммы займов 12 млн. россиян были выставлены на продажу.
В 2020 году в России произошла крупнейшая утечка данных в микрофинансовом секторе. В даркнете было размещено объявление о продаже конфиденциальных сведений 12 млн. граждан, осуществляющих займы в период с 2017 по 2019 год. В числе эти сведений: паспортные данные, номера телефонов, электронных кошельков и суммы займов. Продавец также предоставил пробник с информацией 1800 россиян.

Не только Россия отличилась в прошлом году крупными инцидентами в финансовой сфере. Так, Postbank в ЮАР, из-за умышленных действий своих сотрудников, был вынужден заменить 12 млн. карт своих клиентов.  Это стоило организации 58 млн. долларов. При этом у клиентов банка злоумышленникам удалось украсть 3,3 млн. долларов. Также данные граждан ЮАР пострадали в результате фишинговой атаки на бюро кредитных историй Experian. Выдавая себя за клиента компании, злоумышленнику удалось получить доступ к персональным данным 24 млн. человек и сведениям 793 тыс. организаций. Украденную информацию киберпреступник планировал использовать в маркетинговых целях.

Основной проблемой крупных утечек остается неправильная настройка серверов, где хранятся данные. Из-за этой проблемы пострадали, например, клиенты латвийской страховой компании IIZI и пользователи китайского кредитного приложения Moneed. В первом случае скомпрометированы были 16 млн. строк данных, содержащих учетные и персональные сведения страхователей автомобилей. Во втором, имена и номера телефонов 389 млн. жителей Индии. В обоих случаях жертвам грозит стать целью мошеннических и фишинговых атак.
Подробнее
Закрывается крупнейшая в даркнете площадка по продаже скомпрометированных платежных данных.
Закрывается крупнейшая в даркнете площадка по продаже скомпрометированных платежных данных.
Причиной закрытия Joker's Stash может быть операция, проводимая правоохранительными органами.
Joker's Stash – крупнейшая на данный момент площадка по продаже скомпрометированных данных сообщила о своем намерении закрыться 15 февраля 2021 года. Об этом на русскоязычном форуме сообщил оператор сайта под ником JokerStash.

Причина закрытия не сообщается, однако это может быть связано с операцией, проводимой правоохранительными органами. ФБР в декабре прошлого года изъяли внешний прокси-сервер сайта, в результате чего его часть была отключена. Также пользователи стали жаловаться на качество публикуемых данных и снижение их объема.

Оператор пожелал пользователям сайта не потерять себя в погоне за легкими деньгами. «Помните, что даже все деньги мира не смогут сделать вас счастливыми, и что самые ценные вещи в этой жизни являются бесплатными», - написал JokerStash. Это сообщение выглядит интересным, так как площадка является одним из «пионеров» биткойна, стоимость которого за последнее время стала рекордной. Специалисты из Gemini Advisory предположили, что площадка просто уже принесла киберпреступнику достаточно денег, чтобы спокойно «уйти на пенсию».
Подробнее
Киберпреступники используют ИИ и системы машинного обучения в собственных целях.
Киберпреступники используют ИИ и системы машинного обучения в собственных целях.
По словам специалистов, злоумышленники находят новые способы обхода систем защиты на предприятиях, оставляя исходный код вредоносного ПО прежним.
Исследователи ИБ-фирмы Sohpos рассказали о развитии вредоносного ПО и методов, используемых киберпреступниками для обхода систем защиты на предприятиях. В частности, специалисты отметили, что злоумышленники все чаще объединяются в своеобразные картели, сотрудничают друг с другом и базируют свои программы на схожем коде.

Операторы вымогательского ПО стали первыми, кто нашел способы обхода средств безопасности, направленных на защиту конечных точек. По данным отчета, злоумышленники даже придумали как решить для себя проблему с наличием у организаций резервных копий.

Технологии искусственного интеллекта и машинного обучения используются не только экспертами в области кибербезопасности, но и самими киберпреступниками. Они применяют универсальные атаки подстановки строк, заставляя системы защиты пропускать вредоносное ПО. Также новые технологии помогают злоумышленникам обнаруживать песочницы и усложнять анализ вредоносных программ специалистами.

Подробнее
Мошенническая схема «Мамонт/Курьер» принесла злоумышленникам 6,2 млн. долларов за прошлый год.
Мошенническая схема «Мамонт/Курьер» принесла злоумышленникам 6,2 млн. долларов за прошлый год.
Половина из активных группировок начинает атаковать пользователей за пределами России.
«Мамонт/Курьер» – это мошенническая схема, когда злоумышленники с помощью поддельных страниц популярных курьерских служб крадут денежные средства своих жертв. За прошлый год это схема принесла мошенникам порядка 6,2 млн. долларов. По данным ИБ специалистов, на данный момент в России активны около 40 группировок.
Сама схема выглядит следующим образом: на популярных досках объявлений размещается предложение о продаже товара по заниженным ценам. Затем обсуждение сделки перемещается в Telegram-канал. Жертва предоставляет свои контактные данные для оформления доставки, а также получает ссылку на поддельную страницу курьерской службы для оплаты заказа. Оказавшись на фишинговой странице, пользователь вводит свои банковские данные, которые попадают в руки мошенников. В среднем, жертвам злоумышленников одна такая операция стоит от 10 тыс. до 30 тыс. рублей. В некоторых случаях мошенникам удается даже повторно обмануть своих жертв, когда те оформляют «возврат».

Половина из активных группировок начинает атаковать пользователей за пределами России. На данный момент у мошенников возникают сложности с обналичиванием денежных средств за рубежом и банальный языковой барьер. Когда эти проблемы будут устранены, эксперты прогнозируют многократный рост активности мошенников.

Чтобы не стать жертвой мошенничества с покупками в интернете используйте и ведите переписку с продавцами только в официальных сервисах, проверяйте URL-адрес сайта, не вносите предоплату и помните, что слишком большая скидка может быть признаком обмана.
Подробнее
Власти США сообщают о взломах корпоративных учетных записей в облачных сервисах.
Власти США сообщают о взломах корпоративных учетных записей в облачных сервисах.
Основными средствами злоумышленников являются фишинг, брутфорс и атаки pass-the-cookie.
Агентство кибербезопасности и безопасности инфраструктуры США (CISA) зафиксировало успешные взломы корпоративных учетных записей в облачных сервисах. Киберпреступники используют фишинг, подбор популярных паролей и технику перехвата сеанса, получившую название pass-the-cookie. В некоторых случаях злоумышленникам даже удалось обойти двухфакторную аутентификацию.

Согласно заявлению CISA, киберпреступники модифицируют правила переадресации писем из электронных ящиков своих жертв. Помимо этого, им удалось выявить ключевые слова для поиска наиболее интересных с точки зрения потенциального ущерба сообщений, например, содержащих платежные данные.

Чтобы легитимные пользователи не видели предупреждений о переадресации, в некоторых случаях злоумышленники создавали новые правила для почтовых ящиков. Например, перенос писем с ключевыми словами в Really Simple Syndication (RSS) или папку RSS-подписки.
Подробнее
Уязвимость в Windows 10 позволяет повредить жесткий диск с помощью однострочной команды.
Уязвимость в Windows 10 позволяет повредить жесткий диск с помощью однострочной команды.
Эксплуатация проблемы может быть произведена с помощью файла ярлыка, даже если пользователь никогда его не запускал.
Исследователь безопасности под ником Jonas L сообщил об уязвимости в Windows 10, позволяет повредить жесткий диск с помощью однострочной команды. Проблема затрагивает устройства, форматированные под файловую систему NTFS.

Скрываться однострочный файл может внутри Windows-ярлыка, ZIP-архива и пакетных файлов. Ошибки в работе диска вызываются повреждением индекса файловой системы. Злоумышленнику достаточно попытаться получить доступ к атрибуту NTFS «$i30», который связан с каталогами и содержит список файлов и подпапок каталога. Более того, файл ярлыка Windows с расширением .url и расположением значка, установленным на «C: \: $ i30: $ bitmap» проэксплуатирует уязвимость, даже если пользователь никогда не открывал файл, так как проводник в фоновом режиме будет пытаться получить доступ к созданному пути.

Обнаруженная уязвимость появилась в версии Windows 10 сборки 1803 и остается актуальной для всех последующих. После повреждения диска ОС генерирует ошибки в журнале событий, указывающие, что главная таблица файлов содержит поврежденную запись.
Подробнее
Пользователи macOS подвергались атакам майнера криптовалюты более 5 лет.
Пользователи macOS подвергались атакам майнера криптовалюты более 5 лет.
OSAMiner долгое время оставался незамеченным благодаря использованию технологии AppleScript.
Исследователи безопасности из фирмы SentinelOne рассказали об атаках криптовалютного майнера OSAMiner, атакам которого подвергались пользователи macOS более 5 лет. Появившись не позднее 2015 года, вредонос в основном был сосредоточен на целях в Китае и странах Азиатско-Тихоокеанского региона. В 2018 году уже были обнаружены старые версии майнера, однако масштабы проблемы удалось установить только сейчас.

Специалистам SentinelOne удалось установить идентификаторы взлома как старых, так и новых версий OSAMiner. По их словам, основными причинами сложностей в обнаружении вредоноса являются загрузка кода программы по частям, а также использование ей технологии AppleScript. Составные файлы майнера со статусом run-only запускают управляющий сценарий без входа в режим редактирования, тем самым скрывая его исходный код.

Распространяется OSAMiner будучи замаскированным в различных программных продуктах для macOS. Исследователи обнаружили файлы вредоноса, например, в клиенте игры League of Legends, а также пакете Microsoft Office for Mac.
Подробнее
Личные данные сотрудников ООН могли быть скомпрометированы.
Личные данные сотрудников ООН могли быть скомпрометированы.
Исследователи безопасности обнаружили семь пар учетных данных, предоставляющих несанкционированный доступ в несколько внутренних баз.
Специалисты Sakura Samurai в ходе изучения ресурсов Организации Объединенных Наций обнаружили уязвимость, из-за которой могли быть скомпрометированы личные данные ее сотрудников. Открытые каталоги Git и учетные данные для доступа к репозиториям, размещенные в доменах, связанных с программой по окружающей среде и проектами Международной организации труда позволили исследователям получить доступ к более чем 100 тыс. записей.

Группа Sakura Samurai обнаружила семь пар учетных данных, предоставляющих несанкционированный доступ в несколько внутренних баз. Например, специалистам стала доступна информация о командировках сотрудников ОНН: их ID, имена, даты начала и завершения, пункт назначения, обоснование и продолжительность. В дополнение к этому были обнаружены сведения о национальности, поле и заработной плате.

Исследователи проинформировали о своей находке специалистов по безопасности ООН. Они оперативно устранили уязвимость, однако, по мнению членов Sakura Samurai, злоумышленники скорее всего уже получили доступ этим данным.
Подробнее
Больше половины российских ИТ-сотрудников открывают фишинговые письма.
Больше половины российских ИТ-сотрудников открывают фишинговые письма.
Их потенциальная уязвимость к кибератакам выше, чем у среднестатистических сотрудников и даже стажёров.
Компания «Антифишинг» провела исследование, согласно которому больше половины российских ИТ-сотрудников открывают письма мошенников. Специалисты фирмы имитировали фишинговые рассылки против 20 тыс. сотрудников из 48 организации, и более чем в половине случаев именно ИТ-специалисты и сотрудники техподдержки открывали подобные письма.

Потенциальная уязвимость к кибератакам у этих работников оказалась выше, чем у среднестатистических и даже стажеров. По словам генерального директора «Антифишинга» Сергея Волдохина, причиной этого может быть иллюзия защищенности, вызванная наличием у них технических знаний.

Наибольшую грамотность продемонстрировали сотрудники финансовой отрасли, сферы закупок и управления. В среднем 37% работников открывают фишинговые письма, а 74% скачивают вложения или переходят по ссылкам.
Подробнее
Троян удаленного доступа Rogue продолжает пользоваться спросом.
Троян удаленного доступа Rogue продолжает пользоваться спросом.
Последняя его версия позволяет захватывать контроль над Android-устройствами, красть данные, модифицировать файлы и загружать дополнительную полезную нагрузку.
Специалисты Check Point Software Technologies поделились результатами исследований трояна удаленного доступа (RAT) Rogue. Код этого Android-вредоноса был слит в даркнет в прошлом году, однако исследователи говорят, что его покупка все еще интересует злоумышленников.

Версия Rogue 6.2, которая является последней известной на данный момент, обладает широким набором функций. Вредонос в состоянии захватывать контроль над Android-устройствами, красть данные, модифицировать файлы и загружать дополнительную полезную нагрузку. Помимо этого, зловред использует функции Accessibility для обхода ограничений на отслеживание действий пользователя. Попадая на устройство, он старается получить как можно больше разрешений. Для пользователя Rogue остается незаметным. Команды от злоумышленников Rogue получает через мессенджер Google-платформы Firebase.

Впервые вредонос появился на рынке в 2019 году. Специалист по созданию RAT для Android, использующий псевдоним HeXaGoN Dev, написал его используя собственные ранние наработки с добавлением функций другого слитого трояна. После этого он продал свою разработку поставщику Android-зловредов и участвовал в его продвижении.
Подробнее
Компания Socialarks уже второй раз за полгода допускает утечку данных.
Компания Socialarks уже второй раз за полгода допускает утечку данных.
Причиной этого стала ошибка в настройке облачного хранилища.
Китайская компания по управлению социальными сетями Socialarks допустила утечку данных 214 млн. пользователей. В августе прошлого года из-за подобного инцидента пострадали сведения 150 млн. пользователей. Причиной этого стала ошибка в настройке облачного хранилища.

Группа исследователей обнаружила открытый Elasticsearch-сервер, содержащий базу данных весом 408 ГБ. Компания никак не ответила на сообщение специалистов, однако незащищенная БД была изъята из открытого доступа 14 декабря.

Сервер содержал нелегально собранные данные пользователей социальных сетей Instagram, Facebook и LinkedIn. Среди них полные имена, фотографии, номера телефонов, адреса электронной почты, данные геолокации, должности и компании, в которых работают пострадавшие.
Подробнее
Незащищенный сервер РЖД открывает доступ к десяткам тысяч устройств.
Незащищенный сервер РЖД открывает доступ к десяткам тысяч устройств.
Среди них камеры наблюдения, IP-телефоны, IPMI-серверы, внутренние сервисы и другое сетевое оборудование.
Исследователь под ником LMonoceros опубликовал на ресурсе Habr.com результаты своего расследования, проливающего свет на масштабы проблемы с информационной безопасностью в сети РЖД. Ему удалось обнаружить незащищенный роутер и через него получить доступ к десяткам тысяч устройств.

Сканирование VPN выявило более 20 тыс. устройств, часть из которых содержит заводские настройки. Исследователю удалось получить доступ к камерам видеонаблюдения на вокзалах и офисах РЖД в нескольких городах страны, IP-телефонам, FreePBX и IPMI-серверам, системам управления кондиционированием, вентиляцией и даже управлением табло. По заявлению LMonoceros, на сбор данных ему потребовалось 8 часов. Целенаправленная же атака, ну которую уйдет порядка недели выведет из строя системы видеонаблюдения РЖД минимум на месяц. С полным текстом можно ознакомиться на сайте Habr.com.

Напомним, что в прошлом году уже был опубликован материал под названием «Самый уязвимый – это Сапсан». Тогда пользователь под ником keklick1337 получил доступ ко внутренней сети РЖД через Wi-Fi поезда. В компании тогда заявили, что провели расследование и не выявили никаких серьезных уязвимостей.
Подробнее
Вредонос, который атаковал SolarWinds, схож с бэкдором российской киберпреступной группы.
Вредонос, который атаковал SolarWinds, схож с бэкдором российской киберпреступной группы.
Специалисты полагают, что между авторами SunBurst и Kazuar есть связь, однако на данном этапе неясно какая.
Исследователи Лаборатории Касперского обнаружили общие элементы во вредоносе SunBurst, который был использован в атаке на SolarWinds, и бэкдоре Kazuar, используемом российской группировкой Turla. Среди общих функций отмечается, например, алгоритм, который используется для генерации уникальных идентификаторов жертв.

Напомним, что в декабре 2020 года IT-провайдер SolarWinds и его клиенты подверглись хакерской атаке. В результате добавления вредоносного кода в обновление платформы Orion пострадали Пентагон, армия, ФБР и Киберкомандование США, а также различные социальные службы и объекты здравоохранения. Спецслужбы США обвинили в нападении российских киберпреступников. Результаты исследования Лаборатории Касперского же отчасти подтверждают это.

Вместе с тем, на данном этапе нет обнародованных фактов того, что атака на SolarWinds связана с деятельностью Turla. Специалисты подчеркнули, что функции вредоносных программ SunBurst и Kazuar не на 100% идентичны. Между авторами бэкдоров есть связь, однако на данном этапе неясно какая. Предполагается даже, что злоумышленники специально добавили схожие элементы, чтобы пустить расследователей по ложному следу.

Подробнее
Данные пользователей Ubiquiti Networks могли быть скомпрометированы.
Данные пользователей Ubiquiti Networks могли быть скомпрометированы.
Неизвестные злоумышленники получили доступ к IT-системам компании, размещенным у стороннего поставщика облачных услуг.
Компания Ubiquiti Networks, которая занимается производством продуктов для беспроводной передачи данных, сообщает о возможной компрометации данных своих пользователей. Неизвестным злоумышленникам удалось получить доступ к IT-системам, размещенным у стороннего поставщика облачных услуг.

На данный момент не обнаружено никаких свидетельств несанкционированных действий в отношении учетных записей пользователей. Несмотря на это, в компании отметили, что они не могут быть полностью уверенными в безопасности информации. Пользователям учетных записей Ubiquiti рекомендуется сменить пароли на всех ресурсах, где использовались одинаковые учетные данные.

В результате инцидента в руках киберпреступников могли оказаться имена пользователей, электронные адреса, хэшированные пароли, а также адреса и номера телефонов.
Подробнее
Утечка данных вынудила мобильного оператора бесплатно заменить 2,5 млн. SIM-карт.
Утечка данных вынудила мобильного оператора бесплатно заменить 2,5 млн. SIM-карт.
Личные сведения абонентов были выставлены на продажу после взлома сервера Ho Mobile.
В даркнете были обнаружены личные данные 2,5 млн. абонентов итальянского мобильного оператора Ho Mobile. Компания подтвердила утечку информации 4 января в официальном заявлении. Согласно ему, инцидент произошел в результате взлома сервера.

В руках злоумышленников оказались полные имена абонентов, домашние и электронные адреса, даты рождения, номера телефонов и социального страхования. Подобные сведения могут использоваться для фишинговых атак, а также подмены номеров мошенниками.

Во избежание этого Ho Mobile предлагает пострадавшим клиентам бесплатно поменять SIM-карты. Сообщения с предложением было разослано всем абонентам, чьи данные могли быть скомпрометированы.
Подробнее
Уязвимость в файрволе Cloudflare может быть использована для атак на веб-сайты.
Уязвимость в файрволе Cloudflare может быть использована для атак на веб-сайты.
Исследователю безопасности удалось запустить XSS-эксплойт на защищённом Web Application Firewall ресурсе.
Специалист по кибербезопасности Джексон Генри сообщил, что ему удалось создать HTML-тег SVG и с его помощью запустить XSS-эксплойт на защищённом Web Application Firewall веб-сайте. Более того, он рассказал, что об этой уязвимости известно еще с середины 2019 года, однако за это время она так и не была исправлена.

Файрвол веб-приложений, разработанный компанией Cloudflare, он же Web Application Firewall, призван отражать кибератаки, такие как SQL-инъекции, межсайтовой скриптинг (XSS), DoS и так далее. К примеру, специально созданный вредоносный HTTP-запрос будет заблокирован WAF ещё до того, как он достигнет сайта. Однако, как выясняется, небольшая модификация эксплойта может позволить атакующим обойти фильтры Cloudflare и попасть на целевой сайт.

Джексону Генри удалось добавить несколько закодированных символов и обойти защитный барьер WAF. Это ставит под угрозу 25 млн. веб-страниц, которые, как сообщается на официальном сайте Cloudflare, используют их файрвол для защиты.
Подробнее
Простое в освоении вредоносное ПО набирает популярность.
Простое в освоении вредоносное ПО набирает популярность.
Некоторые из программ даже имеют графический интерфейс, что значительно упрощает их освоение.
Специалисты безопасности из Recorded Future опубликовали результаты исследований развития вредоносной инфраструктуры за 2020 год. Согласно им, наступательные инструменты с открытым исходным кодом стали как никогда простыми для освоения. В частности, особую популярность приобрели Covenant, Octopus C2, Sliver и Mythic. Три из них имеют графический интерфейс, и, вместе с тем, все – подробную документацию по их использованию.

Помимо этого, исследователям удалось обнаружить более 10 тыс. уникальных серверов command and control (C2) в 80 семействах вредоносных программ. Почти все они так или иначе связаны с продвинутыми киберпреступными группами (APT). Привлекательными эти инструменты делает простота доступа и использования.

Специалисты Recorded Future проследили обнаруженные командные сервера до 576 различных хостинг-провайдеров. На Amazon разместилось 471, что составляет 3,8% от их общего числа. Исследователи говорят, что развертывание контроллеров вредоносных программ не свидетельствует о халатности или небрежном хостинге. В отчете отмечается, что среднее время размещения вредоносной инфраструктуры на этих серверах составляет 55 дней, которые могут быть использованы командами безопасности для обнаружения.
Подробнее
Российские владельцы автомобилей Hyundai могут стать жертвой хакерских атак.
Российские владельцы автомобилей Hyundai могут стать жертвой хакерских атак.
В даркнете обнаружены данные 1,3 млн. пользователей, зарегистрированных на официальном сайте производителя.
Исследователи безопасности обнаружили базу данных, содержащую информацию о российских владельцах автомобилей Hyundai. Среди них полные имена, домашние адреса, сведения о купленных машинах и заказе запчастей. Пострадавшие были зарегистрированы на сайте hyundai.ru, а последние данные о транзакциях датированы 2019 годом.

Представители компании пока никак не прокомментировали утечку данных. Продавец оценил стоимость базы данных в 2 тыс. долларов. Заинтересованные могут ознакомиться с пробной версией перед покупкой. Сами сведения представляют собой SQL-дамп сервера, уязвимость которого считается на данный момент причиной утечки.

Злоумышленники могут использовать слитые данные для мошеннических и фишинговых атак. Российским автомобилистам, зарегистрированным на официальном сайте Hyundai, следует соблюдать повышенную осторожность. По словам ИБ-специалистов, в теории украденные сведения могут также быть использованы в целях кражи автомобиля.
Подробнее
Киберпреступники используют слабозащищенные “умные” устройства для трансляций сватинга.
Киберпреступники используют слабозащищенные “умные” устройства для трансляций сватинга.
Хакеры звонят в правоохранительные органы и сообщают о ложном преступлении по месту жительства жертв.
Сватинг —  это “розыгрыш”, который заключается во введении аварийно-спасательной службы в заблуждение. По тому или иному адресу вызывается штурмовая полицейская группа после фальшивых сообщений о серьезных правонарушениях.

Киберпреступники начали использовать IoT-устройства для трансляции подобных “розыгрышей” в прямом эфире. Они используют скомпрометированные раннее учетные записи, подключаются к “умным” устройствам и вызывают правоохранительные органы.

Нередко злоумышленники подстраивали сватинг на свадьбах, церковных собраниях и подобных общественных мероприятиях. Сохранить анонимность им удается при помощи использования online-сервисов.
Подробнее
Японский сервер Kawasaky Heavy Industries взломан извне.
Японский сервер Kawasaky Heavy Industries взломан извне.
Компании пришлось провести аудит безопасности примерно 30 тыс. терминалов.
Корпорация Kawasaky Heavy Industries сообщила о взломе и возможной утечке данных. Злоумышленникам удалось получить доступ к японскому серверу из офисов в Таиланде, Индонезии и на Филиппинах.

До конца ноября в компании проводилось тщательное расследование. Стало известно, что некоторая информация из зарубежных офисов могла быть передана внешним сторонам. После обнаружения взлома доступ к серверам был ограничен. Сетевое взаимодействие было восстановлено только 30 ноября после аудита более 30 тыс устройств, и то с определенными ограничениями.

Компания специализируется на производстве тяжелого оборудования, подвижных составов и продуктов автомобильной, аэрокосмической и оборонной промышленности. Kawasaky Heavy Industries насчитывает более 35 тыс. сотрудников.
Подробнее
Новый вредонос крадет учетные данные из популярных браузеров.
Новый вредонос крадет учетные данные из популярных браузеров.
Целями злоумышленников стали Alterna Bank, Capital One, Manulife, Scotiabank, HSBC, Royal Bank of Canada.
Злоумышленники используют новую вредоносную программу, написанную на скриптовом языке AutoHotkey, для кражи учетных данных пользователей.  Задачей языка является автоматизация использования горячих клавиш в Windows. Также он позволяет создавать макросы. Зловред похищает учётные данные из браузеров Google Chrome, Opera, Microsoft Edge, а также отправляет SQL-запросы к базам данных интернет-обозревателей.

Основными жертвами AutoHotkey-вредоноса стали клиенты известных банков в Канаде и США, такие как Alterna Bank, Capital One, Manulife, Scotiabank, HSBC, Royal Bank of Canada. Распространяется программа посредством Excel-файла, который копирует в систему и запускает на выполнение скрипт «adb.ahk».

Особенностью вредоноса  является запуск скриптов AHK для отдельных задач. При этом подходе основные составляющие вредоносной схемы остаются защищены от песочниц и анализа.
Подробнее
Группировка Lazarus заинтересована в результатах исследований COVID-19.
Группировка Lazarus заинтересована в результатах исследований COVID-19.
Исследователи безопасности обнаружили две сложные атаки с использованием полнофункциональных бэкдоров.
Специалисты Лаборатории Касперского зафиксировали сложные атаки, осуществленные хакерской группировкой Lazarus. В обоих случаях злоумышленников интересовали данные исследований COVID-19.

При помощи вредоносной программы wAgent киберпреступникам удалось скомпрометировать два Windows-сервера министерства здравоохранения одной из азиатских стран. В другой атаке на производителя вакцины использовался вредонос Bookcode. Обе программы представляют собой полнофункциональные бэкдоры, которые позволяют перехватить контроль над зараженным устройством.

Исследователи продолжают свое расследование. Специалисты Лаборатории Касперского предупреждают все организации, связанные с исследованиями COVID-19, о вероятности сложных атак в ближайшее время.
Подробнее
Электронная почта финских депутатов взломана неизвестными.
Электронная почта финских депутатов взломана неизвестными.
Несмотря на то, что инцидент произошел еще осенью, обнаружить его удалось только сейчас.
Парламент Финляндии сообщает о взломе своих ИТ-систем. Неизвестным злоумышленникам еще осенью удалось получить доступ к электронной почте нескольких депутатов. Их точное количество не раскрывается в интересах следствия.

Инцидент расследуется Центральной криминальной полицией. Согласно текущей версии, это был акт шпионажа, совершенный в интересах другого государства или с целью нанесения вреда Финляндии. Высокий статус жертв делает данный инцидент исключительным для страны.

Интересно, что этой же осенью были взломаны ИТ-системы парламента Норвегии. Злоумышленники также получили доступ к электронной почте депутатов. Полицейская служба безопасности Норвегии установила, что за атакой стоят киберпреступники из группировки Fancy Bear, предположительно связанной с российским правительством.
Подробнее
Киберпреступник взломал сайт игровой компании Koei Tecmo.
Киберпреступник взломал сайт игровой компании Koei Tecmo.
В его руках оказалась база данных форума, включающая персональные сведения более 65 тыс. подписчиков.
Компания Koei Tecmo подтвердила факт взлома своего европейского сайта. Злоумышленнику удалось украсть базу данных форума, которая включает записи персональных данных более 65 тыс. подписчиков. Для обеспечения регулярного доступа ко взломанному ресурсу, хакер внедрил вредоносный скрипт на страницу koeitecmoeurope.com.

Опубликованные образцы украденных данных содержат адреса электронной почты, IP-адреса участников форума, их имена, даты рождения, страны, а также хэшированные пароли. Стоимость полной версии БД злоумышленник оценил в 1300 долларов. Помимо этого, хакер готов поделиться доступом к FTP-сервису взломанного сайта со всеми, кто приобретет его вредоносный скрипт за 6500 долларов.

Компании пришлось временно отключить европейский и американский сайты. Считается что, злоумышленнику удалось получить доступ только к данным форума, а никакая финансовая информация в результате атаки не пострадала. Расследование продолжается Koei Tecmo известна как создатель таких серий игр для ПК и консолей, как Nioh, Hyrule Warriors и Dead or Alive.
Подробнее
Игровые сервисы Steam и Xbox стали жертвами DDoS-атак при помощи сетевого оборудования Citrix.
Игровые сервисы Steam и Xbox стали жертвами DDoS-атак при помощи сетевого оборудования Citrix.
Проблема кроется в интерфейсе DTLS на устройствах Citrix ADC.
Киберпреступники нашли способ усиливать нежелательный веб-трафик при помощи сетевого оборудования Citrix ADC для запуска DDoS-атак. Хотя подробности о нападавших до сих пор неизвестны, жертвами этих DDoS-атак в основном стали игровые сервисы, такие как Steam и Xbox.

Проблема кроется в интерфейсе DTLS на устройствах Citrix ADC. DTLS, или Datagram Transport Layer Security, является более точной версией протокола TLS, реализованного на потоковом протоколе передачи UDP. Как и все протоколы на основе UDP, DTLS может быть подделан и использован в качестве вектора усиления DDoS. Это означает, что злоумышленники могут отправлять небольшие пакеты на устройство с поддержкой DTLS и возвращать результат во много раз большим пакетом на поддельный IP-адрес. Во сколько раз увеличивается исходный пакет, определяет коэффициент усиления конкретного протокола.

В Citrix подтвердили эту проблему и пообещали выпустить исправление в середине января 2021 года. Эта проблема считается опасной для ИТ-администраторов, поскольку связана с затратами и временем безотказной работы, а не с безопасностью устройств. Поскольку злоумышленники злоупотребляют устройством Citrix ADC, они могут в конечном итоге исчерпать его восходящую полосу пропускания, создавая дополнительные затраты и блокируя законную активность от АЦП.
Подробнее
Вьетнамский Государственный центр сертификации взломан киберпреступниками.
Вьетнамский Государственный центр сертификации взломан киберпреступниками.
Хакеры вставили вредоносное ПО в два клиентских приложения, предлагаемых для загрузки.
Специалисты компании ESET обнаружили и описали атаку, направленную против вьетнамского Государственного центра сертификации (Vietnam Government Certification Authority, VGCA). Эта организация выпускает цифровые сертификаты, которые могут быть использованы для электронной подписи официальных документов. Любой вьетнамский гражданин, частная компания и даже другое государственное учреждение, которое хочет представить файлы вьетнамскому правительству, должны подписать свои документы с помощью цифрового сертификата, совместимого с VGCA. Организация также предоставляет «клиентские приложения», которые граждане, частные компании и государственные служащие могут установить на свои компьютеры и автоматизировать процесс подписания документа.

Хакеры взломали сайт агентства и вставили вредоносное ПО в два клиентских приложения VGCA. Речь идет о троянском бэкдоре под названием PhantomNet. Он не считается сложным, но может быть каркасом для мощных плагинов. Некоторые из них включали в себя функцию извлечения настроек прокси-сервера для обхода корпоративных брандмауэров, а также возможность загрузки и запуска других вредоносных приложений.

В ESET считают, что бэкдор использовался для разведки перед более сложной атакой. В VGCA официально признано нарушение безопасности. Ведомство также опубликовало инструкцию как удалить вредоносное ПО из систем.
Подробнее
Взломана российская криптовалютная биржа Livecoin.
Взломана российская криптовалютная биржа Livecoin.
Киберпреступники изменили обменный курс и начали обналичивать счета.
В ночь с 23 на 24 декабря российская криптовалютная биржа Livecoin была взломана хакерами. После получения доступа к инфраструктуре компании, злоумышленники изменили обменные курсы валют и начали обналичивать счета.

Киберпреступники изменили курс биткойна с 23 тыс. до более чем 450 тыс. долларов. Ether вырос с 600 долларов до 15 тыс. долларов. Цена на Ripple изменилась с 0,27 долларов до более чем 17 долларов.

Администраторы биржи описали инцидент как тщательно спланированную атаку. Пользователям не рекомендуется совершать какие-либо операции с денежными средствами ни через web-портал биржи, ни через мобильные приложения.
Подробнее
Вредоносный код обнаружен в браузерных расширениях Frigate Light, Frigate CDN и SaveFrom.
Вредоносный код обнаружен в браузерных расширениях Frigate Light, Frigate CDN и SaveFrom.
Число потенциальных жертв, по словам специалистов, превышает миллион.
Специалисты компании Яндекс обнаружили подозрительный трафик, генерируемый рядом популярных расширений для интернет-браузеров. Для помощи в анализе они пригласили экспертов Лаборатории Касперского. Совместно было установлено, что порядка двадцати расширений, в том числе Frigate Light, Frigate CDN и SaveFrom, были модифицированы киберпреступниками.
  
Им удалось внедрить вредоносный код в ряд расширений. В числе их функций получение доступа к учетным записям пользователей в неназванной социальной сети, а также генерация мошеннического трафика и увеличение количества просмотров видеороликов на различных площадках.

Модифицированные расширения защищены механизмом от обнаружения вредоносного кода. Число потенциальных жертв, по словам специалистов, превышает миллион. Результаты совместного исследования компаний были переданы разработчикам популярных браузеров для исправления.
Подробнее
Злоумышленники украли интимные фотографии пациентов клиники пластических операций.
Злоумышленники украли интимные фотографии пациентов клиники пластических операций.
Компания The Hospital Group подтвердила атаку операторов вымогателя REvil.
Ведущий специалист Великобритании по части косметических процедур и операций по снижению веса, – компания The Hospital Group стала жертвой киберпреступной группировки REvil. Злоумышленники сообщают, что им удалось выкрасть 900 ГБ интимных фотографий клиентов, которые будут опубликованы в открытом доступе, если компания откажется заплатить выкуп.

Официальное заявление The Hospital Group подтверждает как сам факт кибератаки, так и компрометацию персональных данных клиентов. В это же время утверждается, что никакая финансовая информация в ходе нападения не пострадала.

Компания обратилась в Управление Уполномоченного по вопросам информации. Также в The Hospital Group отметили, что на «немалой части» фотографий пациентов не видно лица.
Подробнее
За 2020 год интернет-мошенники украли у россиян 150 млрд. рублей.
За 2020 год интернет-мошенники украли у россиян 150 млрд. рублей.
Только в первой половине года было заблокировано в четыре раза больше мошеннических телефонных номеров, чем в 2019 году.
По данным аналитиков BrandMonitor, IDF Eurasia и ВЦИОМ, за 2020 год интернет-мошенники украли у россиян 150 млрд. рублей. Причем в более чем половине случаев, жертвы за раз лишались более 15 тыс. рублей.

В наиболее популярных схемах мошенники притворялись сотрудниками банков или предлагали фиктивные медицинские услуги. В первом случае ущерб россиянам составил 66 млрд. рублей, во-втором – 46,5 млрд. рублей. В 58% случаев, жертвы сами переводили денежные средства телефонным мошенникам. Фишинговые сайты и поддельные интернет-магазины принесли киберпреступникам 18,6 млрд. рублей.

По информации Банка России, за первое полугодие 2020 года было заблокировано 9,7 тыс. мошеннических телефонных номеров. Это в четыре раза больше, чем в предыдущем. Пострадавшие не спешат обращаться за помощью в правоохранительные органы. Стало известно, что только 5% жертв телефонных мошенников прибегали к этому варианту.
Подробнее
Новая вредоносная кампания Emotet ежедневно затрагивает 100 тыс. целей.
Новая вредоносная кампания Emotet ежедневно затрагивает 100 тыс. целей.
Дополнительной полезной нагрузкой в этот раз стал троян TrickBot.
После почти двухмесячного затишья ботнет Emotet вернулся с обновленной полезной нагрузкой и поражает 100 тыс. целей в день. Банковский троян с 2014 года постоянно развивался, чтобы стать полнофункциональным механизмом доставки угроз. Он может установить набор вредоносных программ на машины жертв. Emotet является одним из самых плодовитых отправителей вредоносных электронных писем, когда он активен, хотя регулярно бездействует в течение недель или месяцев.

В новой кампании дополнительной полезной нагрузкой стал троян TrickBot. Устройства, зараженные им, становится частью ботнета, который злоумышленники используют для загрузки вредоносных программ второй стадии. Типичными последствиями заражения являются захват банковских счетов, различного рода мошенничество и атаки вымогателей.

Распространяемые электронные документы по-прежнему содержат вредоносный макрос для установки Emotet. От пользователя требуется включить вложения, чтобы открыть файл. Старая версия не давала никакого видимого ответа после включения макросов, что вызвало подозрения у некоторых жертв. Новая же создает диалоговое окно, в котором говорится, что в Word произошла ошибка при открытии файла. Это дает пользователю объяснение, почему он не видит ожидаемого контента, и повышает вероятность того, что он проигнорирует весь инцидент.
Подробнее
Nintendo стала жертвой новой утечки данных.
Nintendo стала жертвой новой утечки данных.
Опубликованные сведения включают планы компании по поимке хакера Neimod.
На форуме 4chan опубликована очередная в этом году утечка данных компании Nintendo. В этот раз в открытом доступе оказалась информация о разработке Nintendo Switch, документация, связанная с безопасностью консоли, а также планы корпорации по поимке хакера с ником Neimod.

Что касается данных о защите консоли, то по сведениям Twitter-канала Forest of Illusion, они являются не актуальными для текущей версии Switch. Речь в опубликованных документах идет о ранних прототипах приставки, а информация в них не может быть использована для взлома консоли в текущем состоянии.

На этом фоне интересней смотрятся планы компании по поимке хакера, который в 2013 году взломал Nintendo 3DS. Компании удалось выяснить адрес его проживания и даже распорядок недели. В Nintendo была сформирована «контактная группа» для взаимодействия с киберпреступником, которая сначала должна была вежливо попросить его прекратить взломы, а в случае отказа пригрозить уголовным преследованием и составленным черновиком жалобы.
Подробнее
Украденные инструменты FireEye позволяют взломать порядка 7,5 млн. устройств.
Украденные инструменты FireEye позволяют взломать порядка 7,5 млн. устройств.
Для всех 16 эксплуатируемых уязвимостей доступны исправления.
В результате недавнего взлома SolarWinds – поставщика программного обеспечения, у ИБ-компании FireEye были украдены инструменты для тестирования на проникновение. Специалисты компании Qualys решили выявить количество уязвимых для этих инструментов устройств, к которым можно получить доступ через интернет. Они обнаружили порядка 7,5 млн. таких установок.  

Украденные инструменты эксплуатируют 16 уязвимостей. Все они на данный момент имеют исправления, поэтому специалисты безопасности советуют срочно обновить ПО в продуктах таких компаний как Pulse Secure, Microsoft, Fortinet, Atlassian, Citrix, Zoho и Adobe. Отмечается также, что большая часть уязвимостей, причем критических, приходится именно на разработки Microsoft.

Напомним, что в результате внедрения бэкдора в платформу Orion, злоумышленникам удалось взломать десятки государственных и частных учреждений. Всего зараженное обновление было установлено у 18 тыс. клиентов SolarWinds.
Подробнее
Персональные данные владельцев криптокошельков распространяется в даркнете.
Персональные данные владельцев криптокошельков распространяется в даркнете.
Украденная у Ledger база данных с августа продавалась на хакерских форумах, а сейчас раздается бесплатно.
В июне этого года компания Ledger стала жертвой утечки данных. Фирма предоставляет аппаратную платформу для поддержки криптокошельков, в которых пользователи могут хранить криптовалюту, и управлять своими активами. По данным ИБ-компании Cable с августа киберпреступники продавали украденные персональные данные, а сейчас они распространяются бесплатно.

В сети обнаружены сразу два файла. Первый содержит данные более миллиона подписчиков на информационный бюллетень Ledger. Второй включает имена, почтовые адреса и номера телефонов более 272 тыс. пользователей Ledger.

Как предупреждают специалисты безопасности, опубликованные данные будут использоваться для попыток мошенничества и фишинга. Более того, такие атаки уже были зарегистрированы в октябре. Пользователи площадки стали получать электронные письма с предложением загрузить новую версию ПО Ledger Live. В программе им придется ввести пароль и кодовую фразу для доступа к криптокошельку, которые попадут в руки злоумышленников. Наличие же в базе данных номеров телефонов открывает перед киберпреступниками возможности для переноса номера или замены SIM-карты пользователя криптокошелька для получения доступа к личному кабинету.
Подробнее
Цены на услуги хакеров продолжают расти.
Цены на услуги хакеров продолжают расти.
Наибольшим спросом пользуются доступ через RDP, DDoS-атаки и данные платежных карт.
Специалисты компании Flashpoint опубликовали данные о росте цен на услуги хакеров, предоставляемые в даркнете. Несмотря на то, что увеличение стоимости наблюдается на протяжении последних лет, пандемия COVID-19 и связанные с ней глобальные процессы оказали существенное влияние на динамику цен.

Наибольшим спросом у киберпреступников пользуется доступ к RDP – проприетарному протоколу Microsoft, который позволяет удаленно подключаться к корпоративным устройствам. Стоимость взломанного RDP на данный момент составляет порядка 35 долларов.  Данные платежных карт за год подорожали на 14,64 долларов до 20,16. В среднем, стоимость дампов платежных карт в 2020 году составляет 26,50 долларов. Сервисы по предоставлению DDoS-атак также поднимают свои расценки. Если еще три года назад стоимость подобных услуг редко превышала 27 долларов, то сейчас за одну только 10 минутную атаку с мощностью в 60 Гбит/с придется отдать 45. Полностью управляемая DDoS-атака обойдется заказчику в 165 долларов.

Рост цен специалисты связывают и с улучшением систем корпоративной защиты. Успешная атака на крупную цель зачастую выходит за рамки большинства. Крупные же игроки в праве диктовать свои условия и любую стоимость желающим приобрести ту или иную услугу.
Подробнее
В России хотят разрешить блокировку YouTube, Facebook и Twitter.
В России хотят разрешить блокировку YouTube, Facebook и Twitter.
Соответствующий закон был одобрен Госдумой во втором чтении.
Государственная Дума РФ во втором чтении одобрила законопроект, предоставляющий Роскомнадзору право блокировать YouTube, Facebook и Twitter на территории страны. Помимо полной блокировки предполагается возможность замедления трафика и административные штрафы. Согласно законопроекту, ведомство сможет это сделать, если упомянутые ресурсы будут ограничивать значимую информацию на территории РФ, допускать дискриминацию материалов российских СМИ или в связи с введением иностранными государствами политических или экономических санкций в отношении России или россиян.

Вместе с тем, Госдума окончательно приняла закон, который запрещает публиковать персональные данные и сведения о работе сотрудников спецслужб, правоохранительных органов, военных и судей. Он призван обеспечивать конфиденциальность сведений и данных об имуществе сотрудников СК, ФСБ, СВР, ФСО, Министерства внутренних дел, Министерства обороны и Росгвардии.

Этот же закон запрещает разглашать сведения об осуществлении оперативно-розыскной деятельности. Такие сведения могут быть преданы гласности только с разрешения должностного органа, осуществляющего эту деятельность, если того требуют служебные интересы и только в том объеме, в каком им будет признано это допустимым.
Подробнее
Рассказываем о крупнейших утечках данных в России за 2020 год.
Рассказываем о крупнейших утечках данных в России за 2020 год.
В первом квартале было скомпрометировано порядка 47 млн. записей.
Россия вот уже шесть лет остается в тройке лидеров по количеству утечек разного рода информации. Из этого около 87% приходится на платёжную информацию и персональные данные. Сегодня мы бы хотели подвести итоги, какие утечки были наиболее крупными в 2020 году.

Утечка данных 5 млн. учащихся и сотрудников школы английского языка SkyEng. База содержала данные клиентов сервиса, включая телефоны, электронную почту и логин в Skype.

Утечка данных 1,36 млн. участников программы «РЖД Бонус». Включала имена клиентов даты регистрации, параметры авторизации, электронные адреса, логины, хешированные пароли и IP-адреса.

Паспортные данные 1,1 млн. проголосовавших по поправкам в Конституцию. Злоумышленник, используя номера и серии паспортов, предлагал покупателям собрать базы под их нужды, добавив данные о кредитной истории или, например, СНИЛС и ИНН.

Утечка данных 1 млн. московских автомобилистов. База содержала имена автовладельцев Москвы и Московской области, номера телефонов, марки, модели, годы выпуска, регистрационные номера, VIN и регионы регистрации автомобилей, а также серии и номера ПТС и СТС.
Утечка 100 тыс. записей о пациентах, переболевших коронавирусом. Включает имена, номера полисов ОМС, контактные телефоны и другие сведения. Судя по всему, содержит данные заболевших в период с апреля по июль этого года.

Большинство инцидентов возникало по вине сотрудников. В первой половине года они получили доступ к корпоративной информации из дома и могли копировать её быстро и бесконтрольно.
Подробнее
Уязвимые стеки TCP/IP можно обнаружить при помощи нового инструмента.
Уязвимые стеки TCP/IP можно обнаружить при помощи нового инструмента.
Исследователи обнаружили еще четыре ошибки, пополнившие список Amnesia:33.
Специалисты Forescout опубликовали на GitHub инструмент с открытым исходным кодом, предназначенный для поиска сетевых устройств, затронутых уязвимостями Amnesia:33. Они связаны с TCP/IP-библиотеками, которые используются в прошивках «умных» устройств от более чем 150 поставщиков.

Исследователи также обнаружили еще четыре ошибки, пополнившие список Amnesia:33. Речь идет об уязвимостях в стеке Treck TCP/IP версии 6.0.1.67 и более старых. С их помощью злоумышленники могут читать или добавлять данные в память устройства, извлекать информацию, выводить устройство из строя или брать его под контроль.

В Forescout предупреждают, что написанный ими скрипт хотя и предназначен для обнаружения уязвимых стеков, сам по себе все еще содержит ошибки ложных срабатываний.
Подробнее
Беспарольные методы аутентификации набирают популярность.
Беспарольные методы аутентификации набирают популярность.
В 2020 году 84,7% пользователей Windows задействовали Windows Hello для входа в систему.
Парольные методы защиты, по словам представителей Microsoft, в настоящее время становится все менее популярными. Причиной тому является, в первую очередь, ненадежность таких методик. Пользователи предпочитают использовать слабые и легко угадываемые комбинации, что подтверждается ежегодными результатами исследований слитых аутентификационных данных.

В этой связи на первый план выходят беспарольные методы и средства, такие как Windows Hello. Компания Microsoft поделилась, что в 2020 году этим инструментом воспользовались 84,7% пользователей. Сканирование отпечатков пальцев или радужной оболочки глаза считается более защищенным способом аутентификации и не требует запоминания лишних комбинации.

Ежемесячно количество пользователей, которые используют беспарольные методы аутентификации, составляет порядка 150 млн. человек. В Microsoft также отметили, что 90% сотрудников корпорации не используют пароли для входа в систему.
Подробнее
Установщик Cyberpunk 2077 может оказаться программой-вымогателем.
Установщик Cyberpunk 2077 может оказаться программой-вымогателем.
В Сети обнаружены замаскированные версии шифровальщика CoderWare для устройств под управлением Windows и Android.
Специалисты Лаборатории Касперского обнаружили версии вымогателя CoderWare, замаскированные под установочные файлы популярной игры Cyberpunk 2077. Они предназначены для заражения устройств под управлением Windows и Android. Во втором случае файлы распространяются через платформу, имитирующую Google Play Store.

В случае установки, CoderWare шифрует файлы жертвы при помощи алгоритма RC4. Он предполагает наличие жестко заданного ключа, что оставляет возможность для расшифровки без обращения к киберпреступникам.

Несмотря на это, напоминаем о необходимости с осторожностью относиться к файлам, скачанным из непроверенных источников. По возможности, лучше вообще этого избежать. В случае с популярными играми имеет смысл обсудить этот вопрос со своими детьми и объяснить, что цена за «бесплатное» развлечение на деле может оказаться очень высокой.
Подробнее
Министр внутренних дел принял решение о создании киберполиции.
Министр внутренних дел принял решение о создании киберполиции.
Подразделение будет заниматься расследованием преступлений, совершенных в интернете.
«Министром внутренних дел Колокольцевым Владимиром Александровичем принято решение о создании киберполиции», - сообщил замглавы МВД Игорь Зубов. Как объяснили в ведомстве, необходимость этого связана с возросшим количеством киберпреступлений.

Увеличенную активность интернет-мошенников, в том числе, связывают с пандемией COVID-19. У людей появилось время на то, чтобы получить знания криминального плана и опробовать их. От себя отметим, что большинство успешных кибератак в этом году было связано скорее с ненадлежащей организацией удаленной работы и использованием слабо защищенных протоколов безопасности.

Конкретные сроки создания дополнительного подразделения оговорены не были. По словам замглавы МВД, воплощение этого проекта в жизнь потребует много времени.
Подробнее
Список пострадавших от взлома SolarWinds продолжает пополняться.
Список пострадавших от взлома SolarWinds продолжает пополняться.
К ним присоединились кампания Microsoft и Национальное управление по ядерной безопасности США.
На этой неделе мы рассказывали об атаке на IT-провайдера SolarWinds и его клиентов. В результате добавления вредоносного кода в обновление платформы Orion пострадали Пентагон, армия, ФБР и Киберкомандование США, а также различные социальные службы и объекты здравоохранения. Сейчас появляется информация, что зараженная версия программы затронула 18 тыс. клиентов компании, включая Microsoft и Национальное управление по ядерной безопасности США.

В Microsoft заявили, что им удалось обнаружить, изолировать и удалить вредоносные двоичные файлы SolarWinds. Расследование, которое все еще продолжается, не выявило, что злоумышленники использовали доступ к службам и данным клиентов компании. Вместе с тем, благодаря данным, собранным Microsoft Defender, удалось установить, что 80% всех затронутых вредоносом организаций находятся в США, а остальные находятся в Канаде, Мексике, Бельгии, Испании, Великобритании, Израиле и ОАЭ.

Как указывает издание The Register, атака также затронула Национальное управление по ядерной безопасности США. В Министерстве энергетики отметили, что вредоносная программа была изолирована в бизнес-сетях и не повлияла на выполнение основных функций национальной безопасности. Отмечается также, что несмотря на широкий резонанс, киберпреступники продолжают попытки взлома новых организаций.
Подробнее
Исследователи безопасности сообщают об увеличении количества drive-by атак.
Исследователи безопасности сообщают об увеличении количества drive-by атак.
Злоумышленники используют инструментарий SocGholish для обмана пользователей.
Сотрудники Menlo Labs зафиксировали рост количества drive-by атак с использованием инструментария SocGholish. Он выдает себя за легитимные расширения браузера, Microsoft Teams и Flash, вынуждая тем самым пользователей загружать вредоносные архивы.

Атаки drive-by используют браузер для соединения с серверами, на которых хранятся эксплойты. При таком нападении вредоносная программа автоматически загружается на компьютер без вашего ведома и согласия. Атака осуществляется в два этапа. Сначала пользователь попадает на сайт, содержащий код, который затем перенаправляет запрос на сторонний сервер, на котором хранится эксплойт.

Механизмы SocGholish не включают в себя эксплойты браузера. Вредоносные загрузки распространяются при помощи iFrame. Это добавляет убедительности распространяемым ZIP-архивам в глазах пользователей. Если расширение хранится на легитимном ресурсе, то они ошибочно предполагают его безопасность. Конечной целью SocGholish является получение доступа к конечным точкам, который затем используется для внедрения в систему таких вредоносных программ как троян Dridex и вымогатель WastedLocker.
Подробнее
Вредоносное ПО SystemBC используется для сокрытия развертывания шифровальщиков.
Вредоносное ПО SystemBC используется для сокрытия развертывания шифровальщиков.
Оно позволяет операторам-вымогателей управлять атаками, нацеленными на несколько жертв одновременно и осуществлять ручное развертывание с помощью встроенных инструментов Windows.
Согласно информации, собранной исследователями Sophos при расследовании недавних атак вымогателей Ryuk и Egregor, SystemBC была развернута во всех их атаках в течение последних месяцев. Это вредоносное ПО используется для сокрытия вредоносного трафика и автоматизации доставки полезной нагрузки вымогателей в сети скомпрометированных жертв.

Ryuk развертывает SystemBC на контроллере домена с помощью нескольких штаммов вредоносных программ, включая Buer Loader, BazarLoader и Zloader, в то время как операторы Egregor предпочитают использовать троян Qbot. SystemBC также используется в качестве специального инструмента сохранения и выполнения различных задач, включая развертывание программ-вымогателей на конечных точках сети после удаления украденных данных.
Злоумышленники также используют его для выполнения команд на зараженных устройствах Windows, отправленных через соединение Tor, и для доставки вредоносных сценариев, библиотек динамической компоновки (DLL) и сценариев, которые автоматически выполняются без необходимости ручного вмешательства операторов.

Несмотря на то, что некоторые антивирусные средства Windows обнаруживают и блокируют попытки развертывания SystemBC, группировки злоумышленников все равно находят способы доставки вредоносного ПО в сети своих целей. Нередко для этого используются законные учетные данные, украденные на начальных стадиях атак.

Подробнее
Опубликован список вредоносных расширений для браузеров Chrome и Edge.
Опубликован список вредоносных расширений для браузеров Chrome и Edge.
Обычно они маскируются под инструменты для загрузки изображений, видеозаписей и другого контента с площадок Facebook, Instagram, Vimeo и Spotify.
Исследователи безопасности компании Avast обнаружили 28 расширений для браузеров Chrome и Edge, которые занимаются похищением персональных данных и перенаправляют пользователей на фишинговые сайты. По данным специалистов, жертвами злоумышленников стали порядка трех миллионов человек.

Упомянутые расширения маскируются под инструменты для загрузки изображений, видеозаписей и другого контента с площадок Facebook, Instagram, Vimeo и Spotify. Плагины основаны на JavaScript, мешают нормально пользоваться интернетом, перенаправляют пользователей на незнакомые сайты и крадут конфиденциальные данные.

С полным списком вредоносных расширений можно ознакомиться на сайте Avast. Рекомендуем Вам это сделать и удалить в случае обнаружения.
Подробнее
Взлом ИТ-провайдера привел к компрометации данных государственных органов США.
Взлом ИТ-провайдера привел к компрометации данных государственных органов США.
Специалисты безопасности напоминают об опасности атак на цепочки поставок.
В США активно обсуждают взлом компании SolarWinds и ее продуктов. Клиентская база ИТ-провайдера насчитывает более 300 тыс. организаций как в частном, так и в государственном секторе. В их числе Пентагон, армия, ФБР и Киберкомандование США, а также различные социальные службы и объекты здравоохранения. В результате нападения злоумышленникам удалось внедрить вредоносный в обновление для продукта SolarWinds Orion и тем самым нанести ущерб Министерству финансов и Министерству торговли США.

Нападение приписывается российский группировке APT29, она же Cozy Bear, которая якобы сотрудничает с правительством страны. Главная цель группировки – шпионаж и кража конфиденциальной информации. МИД России опроверг информацию о проведении наступательных кибератак через комментарий, опубликованный на странице посольства США в России в Facebook.

Этот случай в очередной раз подчеркнул опасность атак на цепочки поставок. Любая компания и организация, в которой используется стороннее ПО, потенциально может стать жертвой киберпреступников даже не напрямую. Как в данном случае: злоумышленники не стали пытаться взломать свою конечную цель, а переключились на того, у кого есть достаточно серьезный доступ к целевой инфраструктуре. И это то не первый случай, когда атака на цепочку поставок застает сообщество врасплох. В 2017 году хакеры взломали HandBrake, инструмент преобразования видео, чтобы распространить инструментарий удаленного доступа. В том же году хакеры, подозреваемые в связях с Китаем, внедрили вредоносное программное обеспечение в программу очистки файлов CCleaner, что в конечном итоге сделало их жертвами более чем два миллиона пользователей.
Подробнее
Миллионы устройств критической инфраструктуры подвержены целому ряду уязвимостей.
Миллионы устройств критической инфраструктуры подвержены целому ряду уязвимостей.
Операционные технологии и IoT-устройства могут быть взломаны при помощи URGENT/11 и CDPwn.
Специалисты компании Armis сообщают, что 97% от всего используемого на сегодняшний день OT-оборудования и IoT-устройств подвержены риску кибератак из-за неисправленных уязвимостей. Речь идет о таких угрозах как URGENT/11 и CDPwn.

Первое – это общее название для 11 разных уязвимостей, которые затрагивают любые подключенные устройства, использующие операционную систему Wind River VxWorks. На данный момент она встроена более чем в 2 млрд. устройств, использующихся на промышленных предприятиях, производственных объектах и в медучреждениях. Обычно они используются для выполнения различных критических задач: мониторинга и управления физическими устройствами, ответственными за работу двигателей, клапанов, насосов и других механизмов. Исправления для URGENT/11 вышли еще в 2019 году.

CDPwn – это набор из пяти уязвимостей в Cisco Discovery Protocol (CDP). Он представляет собой протокол обмена данными для картирования всего оборудования Cisco в сети. С помощью этих уязвимостей злоумышленник может удаленно захватить контроль над устройствами, подключенными к сети. В их числе маршрутизаторы, IP-телефоны, камеры, коммутаторы и так далее.
Подробнее
Количество реально используемых уязвимостей снижается.
Количество реально используемых уязвимостей снижается.
Несмотря на рост количества выявленных ошибок, далеко не все из них эксплуатируются злоумышленниками.
Компания Kenna Security опубликовала отчет, согласно которому количество реально эксплуатируемых киберпреступниками уязвимостей снижается. Исследователи пришли к такому выводу после анализа свыше 100 тыс. ошибок, выявленных за последние 10 лет.

Согласно данным Kenna Security, даже недавно обнаруженные «критические» уязвимости редко используются киберпреступниками. Они используют лишь пятую часть потенциальных возможностей.

Самыми опасными уязвимостями за последние несколько лет признаны BlueKeep, CVE-2020-0688 в Microsoft Exchange Server и CVE-2020-5902 в межсетевом экране прикладного уровня BIG-IP ASM. Своеобразный анти-рейтинг систем, в которых регулярно выявляется наибольшее количество ошибок, разработаны компанией Microsoft.
Подробнее
Троян PyMicropsia собирает учетные данные пользователей Windows.
Троян PyMicropsia собирает учетные данные пользователей Windows.
Его возможности включают загрузку и выполнение полезной нагрузки, кражу данных браузера, съемку скриншотов и кейлоггинг.
Исследовательская группа Unit42 обнаружила новый троян для кражи информации, нацеленный на системы Microsoft Windows. Вредонос получил название PyMicropsia и был разработан группировкой AridViper. При этом, основываясь на анализе трояна, специалисты пришли к выводу, что несколько его разделов все еще не используются, что может говорить об активном развитии.

Возможности PyMicropsia включают загрузку файлов, загрузку и выполнение полезной нагрузки, кражу учетных данных браузера, съемку скриншотов и кейлоггинг. Кроме того, вредоносная программа может собирать информацию о списке файлов, удалять их, перезагружать машины, собирать информацию с USB-накопителя и записывать аудио. По словам исследователей, после загрузки вредоносная программа «реализует свою основную функциональность, запустив цикл, где она инициализирует различные потоки и периодически вызывает несколько задач с целью сбора информации и взаимодействия с оператором командного сервера».

В то время как PyMicropsia предназначена только для операционных систем Windows, специалисты обнаружили фрагменты кода, которые проверяют наличие других операционных систем, например, Posix или Darwin. Posix, или портативный интерфейс операционной системы – это семейство стандартов, используемых для поддержания совместимости между операционными системами, а Darwin – это открытая Unix-подобная операционная система. Это открытие может свидетельствовать о том, что злоумышленники из AridViper исследуют новые области для своей преступной деятельности.
Подробнее
Киберпреступники тестируют новый вредоносный инструмент для рассылки спама.
Киберпреступники тестируют новый вредоносный инструмент для рассылки спама.
Email Appender позволяет обходить меры безопасности и добавлять письма напрямую в ящик жертвы.
Специалисты компании Vade Secure сообщают о волне спама, с которой столкнулись пользователи в США, Италии, Франции и Дании. В одном из случаев на учетные записи компании всего за один день пришло порядка 300 тыс. писем. Исследователи безопасности предполагают, что киберпреступники тестируют новый вредоносный инструмент.

Речь идет о Email Appender – приложении, которое было впервые обнаружено в октябре и распространяется в даркнете по подписке. Оно позволяет обходить меры безопасности и добавлять письма напрямую в ящик жертвы. Имея в своем распоряжении список скомпрометированных учетных данных, при помощи программы можно авторизироваться на почтовом сервере, открыть нужный ящик и добавить в него вредоносное письмо. В дополнение к этому можно изменить отображаемое имя адреса отправителя и создать адрес для ответа.

Исследователи говорят, что если приложение и дальше будет пользоваться популярностью, то в следующем году оно может стать серьезной угрозой для бизнеса и потребителей. Подобные незаконные сервисы, доступные в даркнете, снижают требования к техническим навыкам злоумышленников и позволяют проводить успешные атаки программ-вымогателей даже откровенно слабым киберпреступникам.
Подробнее
Раскрыта утечка персональных данных членов Коммунистической партии Китая.
Раскрыта утечка персональных данных членов Коммунистической партии Китая.
Многие из них работают в ряде дипломатических консульств и крупных компаниях.
Австралийские СМИ занялись расследованием деятельности членов Коммунистической партии Китая после того как получили доступ к базе, содержащей их персональные данные. Утечка содержит сведения о двух миллионах представителях партии, многие из которых занимают видные посты в дипломатических консульствах и крупных мировых компаниях.

Например, стало известно, что по крайней мере в 10 иностранных дипломатических представительствах члены КПК работают в качестве старших политконсультантов и экономических советников. В их числе консульства США, Великобритании, Германии, Швейцарии, Австралии, Индии, Новой Зеландии, Италии и ЮАР. Члены КПК занимают видные посты в Boeing, Pfizer, AstraZeneca, Citibank, HSBC, ANZ, Mercedes-Benz, VolksWagen, Volvo, Jaguar Land Rover и Ikea.

Подобная практика по оценке ряда экспертов может считаться угрозой национальной безопасности и свидетельствовать о создании шпионской сети. Члены Коммунистической партии Китая задействованы во многих дипломатических процессах и могут лоббировать интересы Шанхая.
Подробнее
Массовый сбой в работе сервисов Google. Причины устанавливаются.
Массовый сбой в работе сервисов Google. Причины устанавливаются.
Основные неполадки сосредоточены в США, Европе и России.
Сегодня 14 декабря, в 14:50 по московскому времени произошел массовый сбой в работе сервисов Google. У пользователей перестали работать YouTube, Gmail и Docs. На исправление ситуации специалистам компании потребовалось около получаса.

Судя по всему, причины сбоя связаны со службой авторизации Gaia. Указанные сервисы исправно работали, если пользователи оставались незалогинеными, просмотр страниц в режиме инкогнито также исправно работал.

По данным агрегатора Downdetector, основные неполадки были сосредоточены в Европе, однако затронуты оказались страны по всему миру, в том числе и Россия. По состоянию на 15:30, сервисы Google восстановили свою работу.
Подробнее
Вымогатель MountLocker получил обновление.
Вымогатель MountLocker получил обновление.
Новая версия весит вдвое меньше, однако сохранила слабость, которая потенциально может позволить узнать случайный ключ, используемый для шифрования файлов.
Команда BlackBerry Research and Intelligence опубликовала технический анализ новой версии шифровальщика MountLocker, датированной ноябрем этого года. Судя по всему, вымогатели готовятся к налоговому сезону: разработчики добавили к списку шифруемых файлов такие, которые связаны с программным обеспечением TurboTax для подготовки документов налоговых деклараций. Также размер вредоносного ПО был уменьшен до 46КБ, что вдвое меньше предыдущей версии. Связано это с сокращением целей, которые MountLocker будет шифровать в случае попадания в систему. Самое большое изменение - это процесс удаления теневых копий томов и завершения процессов, который теперь выполняется с помощью сценария PowerShell перед шифрованием файлов.

Специалисты BlackBerry сообщают, что 70% кода в новом MountLocker осталось без изменения. На месте осталась даже небезопасная функция Windows API GetTickCount для генерации случайного ключа шифрования. Ее использование предоставляет возможность найти ключ с помощью простого перебора. Успех этого начинания зависит от знания значения счетчика временных меток во время выполнения программы-вымогателя. MountLocker шифрует файлы на зараженных компьютерах с помощью потокового шифра ChaCha20, а затем сеансовый ключ шифруется 2048-битным открытым ключом RSA, встроенным в его код.

Как и другие вымогатели, целями разработчиков MountLocker являются филиалы корпоративных сетей. Они часто получают доступ к сети жертвы через соединение удаленного рабочего стола (RDP) благодаря использованию скомпрометированных учетных данных. Новый штамм вредоноса, по мнению исследователей, расширит операции вымогателей.
Подробнее
Компания Habana Labs взломана программой-вымогателей Pay2Key.
Компания Habana Labs взломана программой-вымогателей Pay2Key.
Украденные данные включают информацию об учетной записи домена Windows, информацию о зоне DNS для домена и список файлов из его системы проверки кода разработки Gerrit.
Израильский разработчик процессоров искусственного интеллекта Habana Labs, принадлежащий Intel, подвергся кибератаке. Ответственная за это группировка Pay2Key опубликовала данные, которые включают информацию об учетной записи домена Windows, информацию о зоне DNS для домена и список файлов из его системы проверки кода разработки Gerrit, а также бизнес-документы и изображения исходного кода.

В угрозе, размещенной на сайте утечек данных Pay2Key, злоумышленники заявили, что у Habana Labs есть 72 часа. Неизвестно, какие требования о выкупе выдвигаются. Считается, что это нападение направлено не на то, чтобы принести доход вымогателям, а скорее на то, чтобы нанести ущерб израильским интересам.

Pay2Key – это относительно новая группировка, стоящая за серией атак на израильские предприятия в ноябре 2020 года, о чем сообщили израильские ИБ-фирмы Check Point и Profero. Отслеживая биткойн-кошельки и предыдущую деятельность киберпреступников, специалисты Profero предполагают, что злоумышленники действуют в интересах Ирана.
Подробнее
Кадровые агентства и HR-сервисы раскрыли данные нескольких десятков миллионов соискателей.
Кадровые агентства и HR-сервисы раскрыли данные нескольких десятков миллионов соискателей.
В утечках содержатся имена, номера, телефонов, адреса электронной почты, местоположение пользователей.
В 2020 году несколько крупных кадровых агентств и HR-сервисов по всему миру допустили крупные утечки персональной информации соискателей. В некоторых случаях по собственной неосторожности, а в некоторых – из-за действий хакеров и вымогателей.

Так, в ноябре была обнаружена в продаже база данных индийского сервиса IIMjobs, который используется для поиска работы топ-менеджерами и руководителями среднего звена. За 5 долларов злоумышленник был готов продать персональные данные примерно 1,4 млн соискателей: их имена, номера, телефонов, адреса электронной почты и местоположение. До этого в открытом доступе была обнаружена база данных 29 млн. пользователей, собранная, предположительно, из нескольких источников.

В начале декабря нидерландская компания Randstad, занимающаяся подбором сотрудников, стала жертвой вымогателей Egregor. А платформа RigUp и вовсе оставила конфиденциальные данные соискателей в незащищенном хранилище Amazon Web Services. Порядка 100 ГБ данных содержали контактную информацию, даты рождения, профессиональный опыт, семейное положение и сканы документов десятков тысяч человек.
Подробнее
Новая версия Qbot использует скрытый механизм персистентности.
Новая версия Qbot использует скрытый механизм персистентности.
Она автоматически удаляет любые свои следы, когда система перезагружается или пробуждается от сна.
Qbot – это банковский троян для Windows. Он активен по крайней мере с 2009 года и используется для кражи банковских учетных данных, личной информации и финансовых данных. Вредоносная программа также использовалась для регистрации нажатий клавиш пользователя, для удаления бэкдоров на скомпрометированных компьютерах и для развертывания вымогателей.

Начиная с 24 ноября была замечена новая версия Qbot. Вредоносная программа использует новый и более скрытый механизм персистентности, который использует преимущества выключения системы. Троян добавит ключ запуска реестра на зараженных системах, который позволяет ему автоматически запускаться при входе в систему, и попытается немедленно удалить его, как только пользователь включит или выведет компьютер из спящего режима, чтобы избежать обнаружения антивирусными решениями или исследователями безопасности.

Техника установки Qbot также была обновлена в новой версии. Она использует новую архитектуру DLL, которая сочетает в себе загрузчик вредоносных программ и бота в рамках одной библиотеки DLL. Ранее загрузчик избегал обнаружения автоматизированными системами защиты от вредоносных программ, храня весь вредоносный код в отдельном компоненте DllRegisterServer и вызывая его только через regsvr32.exe или rundll32.exe при использовании определенных аргументов командной строки. Новая версия упрощает эту технику, удаляя аргументы командной строки из процесса и переключая инъекцию кода бота во вновь созданные процессы.
Подробнее
Вредонос Adrozek атакует пользователей популярных браузеров.
Вредонос Adrozek атакует пользователей популярных браузеров.
Google Chrome, Microsoft Edge, Mozilla Firefox и Яндекс.Браузер модифицируются и используются в целях киберпреступников.
Специалисты компании Microsoft сообщают о распространении нового вредоноса Adrozek, модифицирующего популярные браузеры. На данный момент обнаружено более 15,3 тыс. уникальных полиморфных образцов вредоносного ПО. Зафиксированы сотни тысяч контактов с Adrozek, в основном в Европе, Южной и Юго-Восточной Азии.

Жертвами вредоносного ПО могут стать пользователи Google Chrome, Microsoft Edge, Mozilla Firefox и Яндекс.Браузер на Windows-ПК. Если Adrozek сможет обойти блокировку, он модифицирует DLL атакуемого браузера и его настройки. В дальнейшем на web-страницы будет добавлена дополнительная неавторизованная реклама, которая обычно отображается поверх легитимной. В некоторых случаях вредонос также занимается поиском учетных данных пользователей, а также блокирует систему обновления браузеров.

По данным специалистов, злоумышленники получают прибыль от участия в рекламных партнерских программах. Неавторизованная реклама позволяет им увеличить объемы трафика к определенным web-страницам. В настоящее время эта реклама не ведет на сайты с вредоносным ПО, однако, по мнению специалистов, со временем это может измениться.
Подробнее
Фишинговые письма попадают в корпоративные ящики Office 365 в обход защитных фильтров.
Фишинговые письма попадают в корпоративные ящики Office 365 в обход защитных фильтров.
Ссылка злоумышленников открывает поддельную страницу входа на сервис, запрашивающую логин и пароль пользователя.
Израильская ИБ-компания Ironscales сообщает, что ее клиенты получают фишинговые письма на корпоративные ящики Office 365. Не помогают даже защитные фильтры на шлюзе безопасности электронной почты. Подделки имитируют уведомление Microsoft Outlook и якобы приходят от домена microsoft.com.

Фишинговые сообщения выглядят очень убедительно. Они сообщают о наличии писем в карантине на портале Microsoft и предлагают перейти по ссылке для просмотра и принятия решений. При нажатии на нее открывается поддельная страница авторизации. Введенные логин и пароль будут отправлены злоумышленникам.

Как выяснили специалисты, причиной такого поведения облачной защиты Microsoft является некорректная настройка ее серверов, которые не диктуют обязательное использование механизмов DMARC (Domain-based Message Authentication, Reporting and Conformance). Этот протокол помогает владельцам доменов защищать их от противоправного использования с помощью обратной связи между получателем и легальным отправителем. Если бы почтовый сервис Microsoft использовал DMARС в обязательном порядке, такие сообщения были бы заблокированы.

Подробнее
Европейское агентство лекарственных средств подверглось кибератаке.
Европейское агентство лекарственных средств подверглось кибератаке.
Хакеры получили доступ к нормативной документации по сертификации вакцины от COVID-19.
Сообщение, опубликованное на сайте Европейского агентства лекарственных средств, гласит, что организация стала жертвой кибератаки неизвестного характера.  Сейчас ЕАЛС проводит необходимые проверки совместно с правоохранительными органами. Дополнительная информация не предоставляется до окончания расследования.

В то же время американская фармацевтическая компания Pfizer и немецкая биотехнологическая компания BioNTech, участвующие в разработке вакцины против COVID-19, выпустили совместное уведомление. Согласно их данным, в ходе нападения на ЕАЛС злоумышленникам удалось получить доступ к хранившейся на серверах организации нормативной документации по сертификации их вакцины.
Подробнее
APT-группировка Molerats крадет данные политиков Среднего Востока.
APT-группировка Molerats крадет данные политиков Среднего Востока.
Используемые киберпреступниками вредоносы созданы, чтобы взламывать Facebook, Dropbox, Google Docs, Simplenote.
Специалисты компании Cybereason зафиксировали новые фишинговые атаки APT-группировки Molerats, направленные на политиков Среднего Востока. Целью злоумышленников является кража пользовательских данных и шпионаж.

Molerats в своей новой кампании используют бэкдоры SharpStage и Dropbox, а также загрузчик MoleNet. Они позволяют киберпреступникам взламывать аккаунты Facebook, Dropbox, Google Docs и Simplenote.

Группировка ведет свою деятельность в странах Среднего Востока с 2012 года. Ранее они использовали бэкдоры Spark и Pierogi, чтобы атаковать власти Палестины. Сейчас их интересы включают отношения между Израилем, Саудовской Аравией и США.
Подробнее
Обнаружен ряд критических уязвимостей в маршрутизаторах D-Link.
Обнаружен ряд критических уязвимостей в маршрутизаторах D-Link.
Они могут позволить злоумышленникам получить корневой доступ и завладеть устройствами.
Специалисты Digital Defense обнаружили ряд уязвимостей, которым подвержены некоторые модели VPN-маршрутизаторов D-Link. Недостатки, которые не имеют полного исправления поставщика, позволяют хакерам запускать удаленные атаки внедрения корневых команд и захватывать устройства. Пострадали маршрутизаторы моделей DSR-150, DSR-250, DSR-500 и DSR-1000AC VPN, работающие под управлением прошивок версий 3.14 и 3.17. Нападение будет успешно в случае цепной эксплуатации трех ошибок: CVE-2020-25757, CVE-2020-25759 и CVE-2020-25758.

Ключевая уязвимость может быть использована через Интернет без аутентификации с использованием как WAN, так и LAN интерфейсов. Это дает удаленному, не прошедшему проверку подлинности злоумышленнику с доступом к веб-интерфейсу маршрутизатора возможность выполнять произвольные команды. С таким доступом злоумышленник может перехватывать и/или изменять трафик, вызывать отказ в обслуживании и запускать дальнейшие атаки на другие активы.

По словам D-Link, окончательные исправления обнаруженных уязвимостей в настоящее время находятся в стадии разработки и будут выпущены к середине декабря. Пользователям рекомендуется проверить свою аппаратную модель и встроенное программное обеспечение, чтобы идентифицировать уязвимые устройства и применять временные исправления, предоставленные поставщиком, а также любые другие обновления до тех пор, пока не будет доступна официальная прошивка.

Подробнее
Компания Foxconn атакована вымогателями DoppelPaymer.
Компания Foxconn атакована вымогателями DoppelPaymer.
Злоумышленники требуют выкуп в размере 34 млн. долларов.
Компания Foxconn, крупнейшая по производству электроники в мире, с зарегистрированной выручкой в размере $172 млрд в 2019 году и более чем 800 000 сотрудников по всему миру, стала жертвой вымогателей. Нападению подвергся объект компании в Северной Америке, в результате чего злоумышленникам удалось зашифровать около 1200 серверов, украсть 100 ГБ незашифрованных файлов и удалить порядка 30 ТБ резервных копий.

Ответственной за атаку является группировка DoppelPaymer. Ее члены опубликовали файлы, принадлежащие Foxconn NA, на своем сайте. Они включают в себя общие деловые документы и отчеты, но не содержат никакой финансовой информации или личных данных сотрудников.

В записке о выкупе киберпреступники требуют выплату в размере 1804.0955 биткойнов, или примерно 34 686 000 долларов по сегодняшним ценам. Foxconn подтвердила атаку и сообщила о поэтапном восстановлении своих систем. Компания работает с техническими экспертами и правоохранительными органами, а также оценивает последствия нападения.
Подробнее
Изменения в законодательстве РФ обяжут операторов ИС ПДн взаимодействовать с системой ГосСОПКА.
Изменения в законодательстве РФ обяжут операторов ИС ПДн взаимодействовать с системой ГосСОПКА.
В Государственной Думе рассматриваются поправки к законам, связанным с персональными данными.
Законы, связанные с защитой персональных данных, в ближайшее время могут измениться. На рассмотрение в Государственную Думу РФ внесены соответствующие поправки. Операторов информационных систем персональных данных могут обязать взаимодействовать с системой ГосСОПКА.

Изменения будут касаться нескольких законов. Среди них «О государственной защите судей, должностных лиц правоохранительных и контролирующих органов», «Об оперативно-розыскной деятельности» и «О персональных данных». Суть предложенных поправок сводится к тому, что государственные служащие, органы и их взаимодействие с операторами ИС ПДн должны быть лучше защищены, а гарантом этого станет именно ГосСОПКА.

Система обнаружения, предупреждения и ликвидации компьютерных атак на информационные ресурсы РФ (ГосСОПКА) создавалась с целью надежной защиты критически важных объектов от масштабных хакерских угроз. Сейчас это организация, ориентированная на решение определенного набора задач по противодействию компьютерным атакам. К ним относятся: выявление уязвимостей, анализ угроз, регистрация, реагирование и расследование инцидентов, а также анализ результатов проведенных мероприятий.
Подробнее
ИБ-фирма FireEye взломана киберпреступниками.
ИБ-фирма FireEye взломана киберпреступниками.
Им удалось украсть инструменты для поиска уязвимостей.
Известная американская ИБ-фирма FireEye стала жертвой хакеров. Компания сообщила в ФБР о взломе своих систем 8 декабря. Специалисты охарактеризовали атаку как «инновационную» и «высочайшего уровня».

Злоумышленникам удалось похитить инструменты фирмы для поиска уязвимостей. Они находились в тщательно охраняемом цифровом хранилище. Хакерам удалось скрыть свое местоположение благодаря созданию тысяч IP-адресов, ранее не замеченных в проведении нападений. Украденные инструменты могут использоваться злоумышленниками для сокрытия своего происхождения. В качестве превентивной меры FireEye опубликовала ключевые элементы своих средств, которые должны помочь специалистам обнаруживать будущие атаки.

Хотя на данный момент неизвестно кто именно стоял за нападением, издание The New York Times сообщает, что расследование было передано специалистам по России. Судя по всему, именно российские хакеры являются главными подозреваемыми. Данный инцидент является крупнейшей кражей инструментов специалистов по кибербезопасности с 2016 года. Тогда хакеры из группировки ShadowBrokers, похитили вредоносное ПО и эксплоиты из арсенала Агентства национальной безопасности США.
Подробнее
Третий по величине производитель самолетов пострадал от атаки вымогателей.
Третий по величине производитель самолетов пострадал от атаки вымогателей.
Злоумышленники опубликовали информацию о сотрудниках, сведения о контрактах, а также исходный код компании Embraer.
Бразильский авиастроительный конгломерат Embraer стал жертвой вымогательской группировки RansomExx. На данный момент компания является третьим в мире производителем самолетов, уступая только Boeing и Airbus.

Атака произошла еще в ноябре этого года. Руководство Embraer отказалось вести переговоры с киберпреступниками. Было принято решение восстанавливать зашифрованные данные из резервных копий. За это злоумышленники опубликовали часть украденных сведений в открытом доступе. Среди них информация о сотрудниках, сведения о контрактах, а также исходный код компании Embraer.

Швейцарская вертолетостроительная компания Kopter также стала жертвой вымогателей. Группировка LockBit взломала сеть предприятия и зашифровала корпоративные данные. Как и в случае с Embraer, компания Kopter отказалась сотрудничать с киберпреступниками. Последние опубликовали на своей площадке сведения о проектах фирмы и файлы со стандартами в области аэрокосмической и оборонной промышленности.
Подробнее
Большинство паролей не соответствуют стандартам безопасности.
Большинство паролей не соответствуют стандартам безопасности.
Исследователи проанализировали 15,2 млрд. кодовых слов, из которых только 2,2 млрд. можно назвать уникальными.
Исследователи CyberNews Investigation проанализировали 15,2 млрд. паролей на предмет их соответствия стандартам безопасности. Выводы, к которым пришли специалисты не утешительные: только 2,2 млрд. кодовых слов можно назвать уникальными. Большинство из них состоит из менее чем 8 символов, которые к тому же легко угадываются.

Зачастую в паролях используются года. Самые популярные варьируются с 1900 по 2020. Обычно это год рождения или создания пароля. Самым часто используемым оказался 2010, затем 1987, а на третьем месте 1991 год.

Имена в паролях встречаются уже не так часто. Только в 1% из 15,2 млрд. использовалось имя. Самым популярным является Ева, затем Алекс, а на третьем месте Анна.
Подробнее
Миллионы «умных устройств» навсегда останутся уязвимы для кибератак.
Миллионы «умных устройств» навсегда останутся уязвимы для кибератак.
Некоторые проблемы связаны с производителями, которые обанкротились и ушли с рынка.
Специалисты компании Forescout рассказали о 33 уязвимостях, обнаруженных ими в IoT-устройствах от 150 производителей. Среди них смарт-датчики «умного» дома, сканеры штрих-кодов, промышленное сетевое оборудование и даже АСУ ТП. Исследователи полагают, что миллионы из них навсегда останутся уязвимы для кибератак.

Ошибки, получившие общее название Amnesia:33, затрагивают стеки открытых протоколов TCP/IP. Это наборы сетевых коммуникационных протоколов, устанавливающих соединение между устройствами и сетями. Они имеют открытый исходный код и были модифицированы и переизданы во множествах различных форм. Amnesia:33 включает элементарные ошибки программирования, а также уязвимости повреждения памяти. С их помощью злоумышленники могут читать или добавлять данные в память устройства, извлекать информацию, выводить устройство из строя или брать его под контроль.

Проблема кроется в том, что протоколы TCP/IP не имеют централизованного механизма рассылки обновлений. Некоторые из них используются уже около 20 лет. Часть обнаруженных исследователями уязвимостей в разных устройствах были связаны с производителями, которые обанкротились и ушли с рынка. Сторонние производители микросхем также должны были бы участвовать в процессе выпуска обновлений, однако такого механизма также на данный момент не существует.
Подробнее
Пользователи MetaMask стали жертвой фишинговых атак.
Пользователи MetaMask стали жертвой фишинговых атак.
Расширение для браузера, загруженное с мошеннических страниц, крадет ключевые фразы для доступа к криптокошелькам.
На прошлой неделе пользователи криптовалютного кошелька MetaMask подверглись фишинговым атакам. Потенциальных жертв злоумышленники заманивали через рекламу Google. На данный момент сообщество MetaMask насчитывает более миллиона человек.

Фишинговый домен киберпреступников активно продвигается с помощью поисковой рекламы Google. Пользователи сообщают, что после нажатия на мошенническое объявление их средства были украдены. На странице пользователям предлагается установить расширение для браузера, которое даст им возможность либо импортировать существующий кошелек, либо создать новый. Если они нажмут на кнопку «Создать кошелек», то попадут на реальный сайт MetaMask, так как пустые кошельки не интересуют злоумышленников. Однако, если пользователи нажмут на опцию «Импортировать кошелек», им будет предложено ввести ключевую фразу своего существующего кошелька, которая затем будет отправлена злоумышленнику.

Пользователям, заходящим на мошеннические сайты, будет трудно отличить их от реальной страницы сервиса. Даже если они проверят домен в адресной строке, есть высокий шанс попасть на уловку. Единственное отличие между ними – это надпись на кнопке для загрузки расширения. MetaMask предупредила свое сообщество о мошенничестве, рекомендовала использовать прямые ссылки на законные страницы и держаться подальше от спонсорской рекламы.
Подробнее
Системы израильского водохранилища взломаны иранскими хакерами.
Системы израильского водохранилища взломаны иранскими хакерами.
Полученный доступ позволяет манипулировать давлением воды, менять температуру и так далее.
Иранская хакерская группировка Unidentified TEAM получила доступ к автоматизированной системе управления объекта водоснабжения в Израиле и опубликовала видео процесса компрометации. Им удалось при помощи простого браузера получить контроль над человеко-машинным интерфейсом и с его помощью изменять любое значение в системе.  

По словам ИБ-фирмы OTORIO, ЧМИ водохранилища был напрямую подключен к интернету без какой-либо системы аутентификации. Потенциал такой атаки исследователи оценили как высокий, однако в данном случае злоумышленники, судя по всему, не нанесли существенного ущерба объекту.

После публикации видео системы водохранилища были закрыты. В то же время, они все еще остались доступны через интернет. Исследователи полагают, что более опытные киберпреступники все еще могут воспользоваться этим в собственных целях.
Подробнее
Хакеры предлагают услуги по защите вредоносного ПО от обнаружения.
Хакеры предлагают услуги по защите вредоносного ПО от обнаружения.
В даркнете обнаружены сервисы, работающие по модели «обфускация как услуга».
Исследуя активность банковского Android-трояна Geost, ИБ-специалисты обнаружили в дакрнете сервисы, которые предлагают услуги обфускации кода APK вредоносного ПО. Запутывание структуры вредоноса должно защитить его от обнаружения средствами защиты. На VirusTotal обнаружено более 3 тыс. установочных файлов, прошедших данную процедуру.

Специалисты из GoSecure, Trend Micro и Stratosphere Laboratory особенно выделяют один сервис, который предлагает API, автоматическую обфускацию и более низкие цены, по сравнению с конкурентами. Так, стоимость запутывания одного APK обойдется в 20 долларов, 100 долларов за десять файлов, а за 850 долларов можно приобрести месячный абонемент.

Хотя исследователи считают, что условия данного сервиса обеспечивают ему преимущество на рынке услуг, качество последних является средним. Во многом это связано именно с автоматизацией процесса. В то время как конкуренты используют ручные методы обфускации, автоматизация по шаблонам в данном случае упрощает выявление вредоносного ПО.
Подробнее
Группа хакеров по найму разрабатывает новый Windows-бэкдор.
Группа хакеров по найму разрабатывает новый Windows-бэкдор.
PowerPepper находится в постоянном развитии, адаптируясь для новых целей.
Специалисты Лаборатории Касперского рассказали о новой вредоносной программе Windows PowerShell, разработанной группировкой DeathStalker. Вредонос, получивший название PowerPepper, был обнаружен в мае 2020 года во время исследования других атак группы на основе PowerShell. С момента своего создания программа находится в постоянном развитии.

Эта новая вредоносная программа представляет собой бэкдор на базе Windows PowerShell, который позволяет своим операторам выполнять команды оболочки, доставляемые удаленно через командный сервер злоумышленников.  Его возможности включают в себя несколько тактик защиты от обнаружения, таких как фильтрация MAC-адресов клиентов, обработка приложений Excel и инвентаризация антивирусных продуктов. PowerPepper доставляется на компьютеры целей в виде вредоносных вложений электронной почты или ссылок, указывающих на документы, содержащие вредоносные макросы Visual Basic for Application (VBA). Цепочка заражения немного менялась в период с июля по ноябрь 2020 года, но логика оставалась прежней.

В списке его функций выделяется взаимодействие со своим сервером C2 с помощью Cloudflare через DNS по каналам HTTPS (DoH). PowerPepper сначала пытается использовать Microsoft Excel в качестве веб-клиента для отправки запросов DoH на сервер C2, но, если сообщения не могут пройти, он вернется к стандартному веб-клиенту PowerShell и к обычным DNS-коммуникациям. После успешного запуска бэкдора командный сервер отправляет зашифрованные команды для выполнения, встроенные в ответ DNS.
Подробнее
Компании, задействованные в цепочке поставки вакцин от COVID-19, атакованы хакерами.
Компании, задействованные в цепочке поставки вакцин от COVID-19, атакованы хакерами.
Злоумышленники отправляют избранным руководителям фишинговые письма от лица китайской Haier Biomedical.
Неизвестные киберпреступники атакуют компании, причастные к транспортировке вакцин от COVID-19 с соблюдением необходимого температурного режима. Нападения обнаружили специалисты IBM X-Force, но не смогли связать их с деятельностью конкретной группировки.

Целью злоумышленников стал широкий круг компаний и государственных организаций в Германии, Италии, Чехии, Южной Корее и на Тайване. Это и производитель солнечных панелей для транспортных холодильников, и нефтехимическая компания, производящая сухой лед, и даже Генеральный директорат Европейской комиссии по налогообложению и Таможенному союзу.

Руководители избранных организаций получают фишинговые письма якобы от лица китайской Haier Biomedical. Она является участником программы ООН «Платформа оптимизации оборудования холодовой цепи поставок» (Cold Chain Equipment Optimization Platform). Сообщения содержат вредоносные HTML-файлы, которые необходимо скачать и открыть на устройстве. Для просмотра содержимого пользователю будет необходимо ввести свои учетные данные, которые затем передаются злоумышленникам. Специалисты IBM X-Force считают, что за фишинговой кампанией может стоять группировка, финансируемая правительством.
Подробнее
Канадское транспортное агентство TransLink стало жертвой вымогателя Egregor.
Канадское транспортное агентство TransLink стало жертвой вымогателя Egregor.
Атака злоумышленников повлияла на работу устройств, онлайн-сервисы и платежные системы.
Операция вымогателей Egregor нарушила работу канадского транспортного агентства TransLink и вызвала сбои в работе сервисов и платежных систем фирмы. О проблемах с ИТ-системами компания заявила 1 декабря. Атака повлияла на работу устройств, онлайн-сервисы и лишила клиентов возможности оплачивать тарифы с помощью банковских карт. Непосредственно транзитные службы не были затронуты.

Во время нападения принтеры агентства стали печатать записки о выкупе. Их изображение, опубликованное в Twitter-канале репортера Global BC Джордана Армстронга, не оставляет сомнений, что за атакой стояли именно операторы Egregor. Они призывают компанию как можно скорее связаться с ними для обсуждения условий сделки.

На данный момент Egregor – это единственный известный вымогатель, который использует печать записок о выкупе на доступных в атакованной сети принтерах. Схожая тактика использовалась в недавнем нападении на компанию Cencosud. Группировка начала свою активную деятельность в сентябре этого года, когда операторы Maze, другого шифровальщика, сообщили о своем закрытии. Существует мнение, что за обеими группами стоят одни и те же люди.
Подробнее
Создатель бесплатного инструмента для взлома добавил в него бэкдор.
Создатель бесплатного инструмента для взлома добавил в него бэкдор.
Symchanger незаметно использует взломанный сервер для отправки email-сообщений, получатели которых также получат к нему доступ.
Symchanger – это PHP-инструмент для взлома сайтов. Создатель раздает его бесплатно, даже прилагает видеоинструкцию по эксплуатации, однако не уточняет, что в него добавлен бэкдор, из-за которого доступ к скомпрометированному ресурсу получит не только тот, кто им воспользуется.

Специалисты компании Sucuri проанализировали вредонос и выяснили, что кроме бэкдора в нем и нет ничего нового. Скрипт Symchanger, уже используется в ряде других вредоносных программ. Несколько слоев обфускации скрывают бэкдор от обнаружения.

После массовой компрометации ресурсов, размещенных под одним и тем же хостинг-аккаунтом, оператор вредоноса получает URL страницу регистрации сайтов, для которых был создан новый аккаунт администратора. Бэкдор же незаметно использует взломанный сервер для отправки email-сообщений, содержащих URL активированного файла symchanger.php, список директорий, краденые учетные данные другую информацию. Таким образом, все получатели писем получают несанкционированный доступ к взломанным сайтам.
Подробнее
Группировка Turla использует Dropbox для хранения украденных данных.
Группировка Turla использует Dropbox для хранения украденных данных.
Вредонос Crutch может обойти некоторые уровни безопасности законной инфраструктуры, чтобы смешаться с обычным сетевым трафиком.
Исследователи компании ESET рассказали об инструменте российской киберпреступной группы Turla. Ранее неизвестный вредоносный фреймворк, названный Crutch, использовался в кампаниях, охватывающих период с 2015 до начала 2020 года. Программа Crutch была разработана для сбора и эксфильтрации конфиденциальных документов и других файлов.

Ранние версии Crutch использовали бэкдор-каналы для связи с жестко закодированным аккаунтом Dropbox через официальный HTTP API и инструменты мониторинга дисков без сетевых возможностей, которые искали и архивировали интересные документы в виде зашифрованных архивов. Обновленная же версия добавила отслеживание съемного диска с сетевыми возможностями и удалила возможности бэкдора. В то же время, он способен автоматически загружать файлы, найденные на локальных и съемных дисках, в хранилище Dropbox с помощью Windows-версии утилиты Wget. Обе версии используют захват DLL для получения постоянности на скомпрометированных устройствах в Chrome, Firefox или OneDrive.

В общей сложности в ходе своих шпионских кампаний Turla скомпрометировала тысячи систем, принадлежащих правительствам, посольствам, а также образовательным и исследовательским учреждениям из более чем 100 стран. Российская APT-группа Turla стояла за кражей информации и шпионскими кампаниями еще в 1996 году. Она является главным подозреваемым в нападениях на Пентагон и НАСА, Центральное командование США и Министерство иностранных дел Финляндии.

Подробнее
Ошибка в процессе развертывания Microsoft Autopilot позволяет получить права администратора.
Ошибка в процессе развертывания Microsoft Autopilot позволяет получить права администратора.
Техногигант утверждает, что проблемы и угрозы безопасности нет.
Сотрудники австрийской компании SEC Consult обнаружили уязвимость в Microsoft Autopilot. Ее успешная эксплуатация позволяет создавать локальных пользователей с правами администратора, даже несмотря на соответствующие запреты, установленные в профиле инструмента.

Физическое удаление устройства безопасности TPM вызывает ошибку развертывания устройства в корпоративной сети. Через shell-соединение с хостом атакующего создается пользователь по умолчанию с правами администратора. После подключения устройства обратно к локальной сети, установка возобновляется и проходит успешно. Пользователь по умолчанию удаляется, но не созданные им локальные пользователи с повышенными правами.

SEC Consult опубликовала подробности эксплуатации ошибки после того, как в Microsoft опровергли угрозу безопасности. Подробностей нет. В компании сначала проигнорировали сообщение исследователей и предоставленный PoC-код, а затем заявили, что проблемы нет.
Подробнее
Новый веб-скиммер заполняет платежную форму PayPal информацией из заказа.
Новый веб-скиммер заполняет платежную форму PayPal информацией из заказа.
Злоумышленники спрятали вредоносный JavaScript внутри графического объекта.
Исследователи безопасности обнаружили новый веб-скиммер, связанный с деятельностью одной из группировок Magecart. Вредоносный JavaScript способен не только воровать платежные данные покупателей, но и заполнять поддельную платежную форму PayPal информацией из заказа, из-за чего страница выглядит более убедительно.

Код злоумышленников спрятан в графическом объекте, что помогает ему оставаться незамеченным. После добавления на сервер он начинает собирать платежные данные и передавать их киберпреступникам. Непосредственно кража платежных данных происходит, когда жертва ввела в поддельную форму PayPal все реквизиты и нажала кнопку подтверждения оплаты.

Также вредоносный скрипт способен проводить оценку вводимых данных. В случае если они непригодны для использования, JavaScript удалит свой фрейм со страницы оформления заказа. После того, как веб-скиммер украл платежные данные, он возвращает жертву на страницу интернет-магазина.

Напомним, что для обеспечения безопасности загрузка JavaScript должна быть заблокирована в браузере. Исключения могут касаться только проверенных сайтов.
Подробнее
Криптомайнеры используются для сокрытия шпионажа.
Криптомайнеры используются для сокрытия шпионажа.
Среди целей правительственной группировки Bismuth отмечаются государственные учреждения Вьетнама.
Специалисты из команды Microsoft 365 Defender Threat Intelligence обнаружили следы деятельности хакерской правительственной группировки Bismuth. Исследователи обратили внимание на новую технику киберпреступников. Они используют криптомайнеры, чтобы избежать обнаружения и замаскировать шпионаж.

Среди целей злоумышленников находятся как частные компании, так и государственные учреждения. В частности, исследователи обнаружили атаки на правительственные организации Вьетнама.

По словам специалистов, на анализ таких угроз как криптовалютные майнеры обращается значительно меньше внимания, поэтому они позволяют хакерам маскировать свои настоящие намерения.
Злоумышленники подгружают вредоносные DLL используя связку из социальной инженерии и законных приложений. Использование же майнеров, помимо прочего, позволяет им монетизировать зараженные сети.
Подробнее
22-летний хакер приговорен к 8 годам лишения свободы.
22-летний хакер приговорен к 8 годам лишения свободы.
Он обвиняется в DDoS-вымогательствах, ложных сообщениях об угрозе взрыва и хранении детской порнографии.
Тимоти Далтон Вон, 22-летний хакер из Северной Каролины, также известный под никами «Hacker_R_US» и «WantedbyFeds», приговорен к 8 годам тюремного заключения. Киберпреступник будет отбывать 95 месяцев за детскую порнографию и 60 месяцев за DDoS-вымогательства и ложные сообщения об угрозах взрыва компаний и школ по всему миру.

Он был членом группировки Apophis Squad, активной в 2018 году. Изначально хакеры занимались организацией DDoS-атак, информацию о которых публиковали в своих Twitter-аккаунтах. В некоторых случаях, они вымогали у своих жертв деньги, например, 20 тыс. долларов у компании Long Beach. Позже они переключились на ложные сообщения об угрозах взрыва.

В августе 2018 года был арестован лидер Apophis Squad - 19-летний Джордж Дюк-Коэн. Он был приговорен к 3 годам лишения свободы. После этого группировка прекратила активную деятельность.
Подробнее
Пользователи Zoom получают поддельные приглашения на видеоконференцию.
Пользователи Zoom получают поддельные приглашения на видеоконференцию.
Переход по ссылке открывает фишинговую страницу регистрации Microsoft.
Злоумышленники рассылают поддельные приглашения на участие в видеоконференции Zoom. Сообщение, якобы от лица сервиса, содержит ссылку, которая переводит пользователя на страницу регистрации Microsoft. Там жертву просят ввести пароль от учетной записи, который вместе с другими идентификаторами попадают в руки киберпреступников.

Исследователи отмечают создание нескольких тысяч фишинговых страниц в преддверии праздников. По состоянию на 26 ноября было украдено уже более 3,6 тыс. логинов и паролей.

Напоминаем, что ссылки в подлинных приглашениях Zoom открывают соответствующее приложение, а не стороннюю страницу. При открытии последней рекомендуется немедленно ее закрыть, а также проинформировать ИТ-службу компании об инциденте.
Подробнее
Коды ПО для банков и фондовых бирж опубликованы в открытом доступе.
Коды ПО для банков и фондовых бирж опубликованы в открытом доступе.
Разработкой компании CMA пользуются более 20 организаций по всему миру.
Twitter-канал Bank Security, который специализируется на киберугрозах в банковской сфере, сообщает об утечке в открытый доступ кодов ПО, используемого национальными центробанками нескольких стран. То, как произошла утечка и где именно опубликованы коды – не уточняется.

Речь идет о коде депозитарного решения DEPO/X от компании CMA. Оно призвано исключить финансовые и операционные риски, а также повысить эффективность инфраструктуры рынков капитала. На данный момент им пользуются более 20 центральных банков и фондовых бирж по всему миру.  Согласно сообщению Bank Security, через DEPO/X ежедневно проходит более 100 млрд. долларов.
Подробнее
Кибератаки могут использоваться для создания опасных веществ и вирусов.
Кибератаки могут использоваться для создания опасных веществ и вирусов.
Уязвимости в системах ученых для работы с ДНК позволяют обходить протоколы безопасности.
Ученые из израильского университета имени Давида Бен-Гуриона описали кибератаку, которая может привести к непреднамеренному созданию опасных токсинов и вирусов. Злоумышленнику достаточно подменить цепочки для секвенирования ДНК на устройстве ученого с помощтю вредоносного ПО.  Например, уязвимости, обнаруженные в системах «Руководство по скринингу для поставщиков синтетической двухцепочечной ДНК» и «Согласованный протокол скрининга 2.0» позволяют обходить протоколы с помощью общей процедуры обфускации.

На данный момент существуют определенные инструкции при работе с ДНК, которые обязывают ученых выявлять потенциально опасные последовательности генов. Киберпреступники, не связанные подобными инструкциями могут внедрить в работу ничего не подозревающих ученых произвольные цепочки, что и приведет к созданию опасных веществ.

Специалисты университета для демонстрации такой атаки использовали вредоносное ПО и обошли протоколы безопасности с помощью обфускации. В результате этого 16 из 50 обфусцированных образов ДНК не были обнаружены с помощью ДНК-скрининга на лучшее соответствие. В частности, они смогли процитировать остаток белка Cas9 и преобразовать эту последовательность в активные патогены.
Подробнее
ИБ-фирма Sophos сообщает об утечке данных клиентов.
ИБ-фирма Sophos сообщает об утечке данных клиентов.
Неизвестные получили доступ к системе для регистрации обращений в службу поддержки.
Британская компания Sophos, специализирующаяся на поставке решений для кибербезопасности, сообщает об инциденте безопасности. 24 ноября фирме стало известно о проблеме с правами доступа к инструменту, используемому для хранения информации о клиентах, которые обратились в их службу поддержки. В результате утечки пострадали имена, фамилии, адреса электронной почты и номера телефонов.

По словам представителей Sophos, инцидент затронул лишь несколько групп клиентов. На данный момент уязвимость устранена.

ИБ-компании интересуют киберпреступников не меньше, чем любые другие. Ранее в этом году хакеры обнаружили уязвимость в одном из продуктов Sophos и использовали ее для распространения трояна Asnarok. Компания Fortinet пострадала из-за слива в сеть учетных данных от 50 тыс. уязвимых VPN-устройств. А база данных клиентов фирмы CloudFlare, которая предоставляет различные услуги в сфере кибербезопаности, была обнаружена в открытом доступе.

Подробнее
64% пользователей не знают об угрозах скимминга банковских карт.
64% пользователей не знают об угрозах скимминга банковских карт.
Исследователи безопасности предупреждают потребителей остерегаться мошенничества, фишинговых атак и других угроз кибербезопасности во время онлайн-шопинга.
ИБ-фирма RiskIQ опубликовала отчет, согласно которому более половины респондентов не знают об угрозах скимминга банковских карт, создаваемых группой Magecart. Специалисты RiskIQ установили, что средняя продолжительность заражения Magecart составляет 22 дня. Это означает, что, если вы совершите покупку на скомпрометированном сайте в течение такого периода, вы, скорее всего, станете жертвой кражи банковских данных.

Magecart - это обобщающий термин, охватывающий несколько различных опасных групп, которые используют схожую методику. Они компрометируют сайты электронной коммерции и внедряют на них скрипты, передающие платежные данные пользователя злоумышленникам. Исследователи недавно сообщили, что они видели всплеск числа сайтов, которые подвергаются атакам Magecart и связанных с ними групп.

Лучший способ избежать компрометации данных банковской карты – это, как ни странно, просто нигде их не вводить. Вместо этого исследователи безопасности советуют использовать сторонние платежные платформы, такие как Amazon Pay и PayPal. Покупатели также должны обращать более пристальное внимание на сайт, чтобы он не оказался двойником. Как самый простой пример – злоумышленники могут использовать домен .org, когда реальный сайт использует .com. К веб-приложениям для покупок также рекомендуется относиться с настороженностью и всегда проверять разработчика.
Подробнее
На русскоязычном форуме продаются учетные данные руководителей сотен компаний.
На русскоязычном форуме продаются учетные данные руководителей сотен компаний.
Исследователи безопасности, которые получили в свои руки образцы украденных данных, подтверждают их подлинность.
Комбинации логинов и паролей пользователей Office 365 и Microsoft обнаружены в продаже на закрытом русскоязычном киберпреступном форуме Exploit.in. Учетные данные принадлежат президентам компаний по всему миру, их помощникам и заместителям, а также другим ответственным сотрудникам. Стоимость данных варьируется от 100 до 1500 долларов за одну учетную запись, а зависит от размера компании и должности пользователя.

Исследователи безопасности, которые получили в свои руки образцы украденных данных, подтверждают их подлинность. Сам продавец в качестве доказательства опубликовал на форуме логины и пароли гендиректора британского консалтингового агентства, а также президента американского производителя одежды и аксессуаров.

Судя по всему, логины и пароли были получены злоумышленником в результате анализа логов инфостилера AzorUlt. Как правило, в них содержатся учетные данные, извлеченные из браузеров на зараженных хостах. Злоумышленнику необходимо только систематизировать и отфильтровать массив данных, который затем можно выставить на продажу. Специалисты ИБ-фирмы KELA сообщают, что ранее этот продавец как раз интересовался покупкой логов.
Подробнее
Специалисты Sopra Steria оценили ущерб от атаки вымогателя в 50 млн. евро.
Специалисты Sopra Steria оценили ущерб от атаки вымогателя в 50 млн. евро.
В эту сумму вошли упущенная выгода из-за простоя сервисов, а также стоимость работ по ликвидации последствий и восстановлению функционирования систем.
Компания Sopra Steria подверглась атаке новой версии вымогателя Ryuk 20 октября. Сотрудникам служб ИБ и ИТ удалось пресечь распространение шифровальщика в системе через несколько дней, однако он успел нанести ущерб инфраструктуре провайдера. Специалисты компании подсчитали сумму этого ущерба. Она составила порядка 50 млн. евро, куда вошли упущенная выгода из-за простоя сервисов, а также стоимость работ по ликвидации последствий и восстановлению функционирования систем.

На данный момент в компании почти закончились восстановительные работы. Сотрудники получили доступ к рабочим станциям, серверам, инструментальным средствам и приложениям. На это у специалистов Sopra Steria ушел месяц.

Sopra Steria – это крупный французский ИТ-провайдер. В компании работает 46 тыс. содрудников в 25 странах мира. В числе услуг фирмы: консалтинг, системная интеграция, разработка программного обеспечения.
Подробнее
Canon подтверждает утечку данных.
Canon подтверждает утечку данных.
Она была вызвана атакой вымогательского ПО Maze.
Canon публично подтвердила факт кибератаки и кражи данных с серверов компании. 5 августа Canon USA разослала уведомление, информирующее сотрудников об обширных системных проблемах, которые сделали недоступными несколько приложений, команд и электронную почту. В издание BleepingComputer тогда попал частичный скриншот записки о выкупе, который показал, что сбой был вызван вымогательским ПО Maze.

Расследование инцидента обнаружило доказательства несанкционированной деятельности в сети компании в период с 20 июля по 6 августа. Киберпреступники получили доступ к файловым серверам, на которых также размещена информация о нынешних и бывших сотрудниках с 2005 по 2020 год, их бенефициарах и иждивенцах. В Canon подтвердили, что данные, к которым получили доступ злоумышленники, включали имена сотрудников, номера социального страхования, даты рождения, номера водительских прав или государственных удостоверений личности, номера банковских счетов для прямых депозитов от Canon и их электронные подписи.

Сами операторы Maze сообщили журналистам, что они украли 10 ТБ данных, прежде чем зашифровали системы компании 5 августа. Интересно, что 1 ноября группировка объявила о прекращении своей деятельности. До этого она была крупнейшим представителем среди вымогательских групп, и именно ей принадлежит создание схемы, при которой злоумышленники крадут конфиденциальную информацию перед шифрованием систем.
Подробнее
Защитный сервис Google в 2020 году выявил более 2 млн. фишинговых сайтов.
Защитный сервис Google в 2020 году выявил более 2 млн. фишинговых сайтов.
В среднем количество фишинговых ресурсов увеличивается на 13% ежегодно на протяжении последних пяти лет.
Согласно статистике Google, в период с января по октябрь текущего года было обнаружено 2,02 млн. фишинговых сайтов, которые были занесены в базу сервиса «Безопасный просмотр». Еженедельно в нее добавляется порядка 46 тыс. ресурсов. Наиболее высокие значения наблюдались в феврале и начале мая.

Уже сейчас количество обнаруженных фишинговых сайтов превышают показатели предыдущего года на 20%. При этом за последние пять лет этот показатель рос примерно на 13%. Аналитики связывают этот скачок с увеличением количества потенциальных жертв, вызванного массовым переводом сотрудников на удаленную работу. Общие панические настроения общества, а также популярность темы COVID-19 тоже повысила шансы злоумышленников на успех.

Аналитики отмечают, что в большинстве случаев фишинговые и вредоносные страницы создаются на основе взломанных доменов. Злоумышленники не утруждают себя регистрацией новых. Также мошенники часто маскируют свои сайты под веб-сервисы Google и даже могут вывести их в топ поисковых систем при помощи SEO-манипуляций.
Подробнее
Трое киберпреступников скомпрометировали государственные и частные компании в более чем 150 странах.
Трое киберпреступников скомпрометировали государственные и частные компании в более чем 150 странах.
Они разработали фишинговые ссылки и домены, а затем проводили массовые BEC-атаки.
В Лагосе арестованы трое мужчин, подозреваемых в участии в массовом мошенничестве с деловой электронной почтой (BEC). Совместное расследование Интерпола, нигерийской полиции и исследователей безопасности привело к аресту граждан Нигерии, которые, как полагают, несут ответственность за распространение вредоносных программ, проведение фишинговых кампаний и масштабные мошеннические операции по всему миру.

Подозреваемые, как утверждается, разработали фишинговые ссылки и домены, а затем проводили массовые кампании по компрометации деловой переписки. После успешных атак с применением техник социальной инженерии они распространили 26 различных вариантов вредоносных программ, включая шпионские программы и трояны удаленного доступа. Согласно правоохранительным органам, образцы включали в себя AgentTesla, Loki, Azorult, Spartan и Remcos. Хотя расследование все еще продолжается, к настоящему времени было выявлено около 50 тыс. целевых жертв. С 2017 года злоумышленники скомпрометировали государственные и частные компании в более чем 150 странах.

В BEC-атаке мошенник выдает себя за руководителя компании или другую доверенную сторону и пытается обмануть сотрудника, ответственного за платежи или другие финансовые операции, чтобы перевести деньги на поддельный счет. Злоумышленники обычно проводят изрядный объем разведывательной работы, изучая руководство и любую информацию, которая может помочь организовать убедительную атаку. По данным Anti-Phishing Working Group (APWG), убыток от BEC-атак продолжает расти: во втором квартале 2020 года средний показатель составил порядка 80 тыс. долларов, по сравнению с 54 тыс. в первом квартале.
Подробнее
Исследователи взломали Amazon Alexa с помощью лазера.
Исследователи взломали Amazon Alexa с помощью лазера.
Ученые научились запускать неслышимые команды и взламывать различные популярные голосовые помощники на расстоянии более 100 метров.
Команда американских ученых продолжает исследование того, почему цифровые домашние помощники и другие сенсорные системы, использующие звуковые команды для выполнения функций, могут быть взломаны светом. В прошлом году эта же группа провела атаку на ряд интеллектуальных динамиков с помощью лазерной указки. Уже тогда исследователи заявили, что они в состоянии запускать неслышимые команды с помощью светящихся лазеров на микрофонах различных популярных голосовых помощников, включая Amazon Alexa, Apple Siri, Facebook Portal и Google Assistant.

«Модулируя электрический сигнал в интенсивности светового луча, злоумышленники могут обмануть микрофоны, как будто они получают подлинное аудио», - отметили ученые. Они расширили свои исследования, чтобы показать, как свет может быть использован для управления более широким спектром цифровых помощников и сенсорных системам, найденным в медицинских устройствах, автономных транспортных средствах, промышленных и даже космических системах. По их словам, использование цифрового помощника в качестве шлюза может позволить злоумышленникам взять под контроль многие устройства в доме. Аутентификация пользователей на них часто отсутствует, что позволяет киберпреступникам использовать световые голосовые команды для разблокировки защищенных smartlock дверей объекта, открытия гаражных ворот, совершения покупок на сайтах электронной коммерции или даже разблокировки и запуска различных транспортных средств, подключенных к аккаунту Google объекта, например, Tesla и Ford.

Команда предлагает некоторые меры по смягчению этих атак как с программной, так и с аппаратной точек зрения. Что касается программного обеспечения, то пользователи могут добавить дополнительный уровень аутентификации на устройствах, хотя удобство использования может пострадать. Исследователи отметили, что до сих пор не уверены, почему атака на основе света вообще работает. Они планируют представить обновленные результаты своих исследований в рамках конференции Black Hat Europe 10 декабря.
Подробнее
Исследователь безопасности призвал специалистов не игнорировать локальные инциденты.
Исследователь безопасности призвал специалистов не игнорировать локальные инциденты.
Он обнаружил вредоносные ссылки и код, предназначенные для атак на участников Карабахского конфликта.
Джо Словик (Joe Slowik), исследователь безопасности из компании DomainTools, призвал своих коллег не игнорировать инциденты, выходящие за пределы интересов США, Китая, России, Ирана и Северной Кореи. По его мнению, специалисты безопасности по большей части сосредоточены на угрозах, затрагивающих эти страны. В результате этого они упускают из виду большой пласт новых техник и тактик, которые в будущем могут быть применены против «большой пятерки».

Так, Словик обнаружил документы с вредоносными ссылками и кодом, которые были подготовлены для атак на Армению и Азербайджан. Исследователь выявил сети связанных доменов и адресов электронной почты, предназначенные для киберопераций, нацеленных на различные группы в данных странах. Более того, он подчеркнул, что найденные им документы не обнаруживаются многими сканерами вредоносных программ.
Подробнее
Обнаружен новый бэкдор Blackrota, нацеленный на ошибку безопасности в Docker.
Обнаружен новый бэкдор Blackrota, нацеленный на ошибку безопасности в Docker.
Исследователи отмечают использование обширных методов защиты от обнаружения, что делает вредоносное ПО чрезвычайно трудным для анализа.
Специалисты безопаности обнаружили новый бэкдор, написанный на языке программирования Go (Golang). Вредонос, названный Blackrota, был впервые обнаружен исследователями, пытающимся использовать уязвимость несанкционированного доступа в Docker Remote API. По их словам, данный бэкдор отличает использование обширных методов защиты от обнаружения, что делает вредоносное ПО чрезвычайно трудным для анализа. «Blackrota является самой запутанной вредоносной программой, написанной на Go в формате ELF, которую мы нашли на сегодняшний день», - сообщили исследователи из 360 Netlab.

Вредонос в настоящее время доступен только для Linux и поддерживает обе архитектуры процессоров. ELF – это общий стандартный формат файлов для исполняемых файлов. Blackrota сконфигурирован на основе «geacon», используемого для связи с сервером C2, запрашивания инструкций или эксфильтрации собранных данных. Он также реализует ключевые функции для бэкдора: позволяет ему выполнять команды оболочки, загружать и просматривать файлы, устанавливать время задержки сна и изменять каталоги.

Трудность анализа Blackrota обусловлена несколькими факторами. Во-первых, вредоносная программа использует gobfuscate, инструмент с открытым исходным кодом для Go, чтобы запутать исходный код перед компиляцией. Он скрывает различные элементы исходного кода со случайными заменами символов – включая имена пакетов, имена глобальных переменных, имена функций, имена типов и имена методов. Еще одним препятствием для анализа является то, что язык Go использует полностью статические ссылки для построения двоичных файлов – это означает, что все коды, используемые в стандартных и сторонних библиотеках, упаковываются в двоичные файлы, что приводит к их большому объему. Исследователи предупредили, что подобные типы вредоносных программ создадут серьезную проблему для защитников безопасности, когда дело доходит до анализа и обнаружения.
Подробнее
Двухфакторная аутентификация в cPanel уязвима к брутфорс-атакам.
Двухфакторная аутентификация в cPanel уязвима к брутфорс-атакам.
Для эксплуатации ошибки злоумышленникам потребуется несколько минут.
Популярная панель управления веб-хостингом cPanel содержит уязвимость, позволяющую обойти двухфакторную аутентификацию. Об этом сообщили специалисты из ИБ-фирмы Digital Defense. Эксплуатация уязвимости позволяет захватить веб-ресурс жертвы.

Реализация 2FA у cPanel уязвима к брутфорс-атакам. Злоумышленники могут вычислить URL-параметры и обойти меры защиты, настроенные для доступа к аккаунту. Все же для успешной реализации атаки злоумышленникам потребуются учетные данные жертвы. Однако, если они будут получены, например, с помощью фишинга, то 2FA не защитит веб-ресурсы.

Разработчики cPanel выпустили патч, исправляющий уязвимость, после сообщения исследователей. Как сообщает компания, их панель используется сотнями организаций и задействована в более чем в 70 млн. доменов по всему миру.
Подробнее
Файлы, отправленные через приложение Go SMS Pro, могут быть просмотрены третьими лицами.
Файлы, отправленные через приложение Go SMS Pro, могут быть просмотрены третьими лицами.
Разработчики не исправили уязвимость даже спустя 90 дней после сообщения исследователей безопасности.
Популярное Android-приложения для обмена файлами и сообщениями Go SMS Pro компрометирует данные пользователей. Исследователи из Trustwave обнаружили уязвимость в августе, однако не получили ответа от разработчиков.

При отправке файла пользователю, у которого не установлено приложение, он загружается на сервер Go SMS Pro, а получателю приходит ссылка для просмотра содержимого. Проблема в том, что URL-адреса формируются последовательно, что позволяет генерировать подобные ссылки и получать доступ к чужим документам. Просмотреть файлы конкретного пользователя нельзя, однако загружать данные случайных людей – пожалуйста. Журналисты из TechCrunch проверили данную уязвимость и получили доступ к номеру телефона, скриншоту с данными о банковском переводе, подтверждению заказа с домашним адресом, досье арестов из полиции, а также откровенным фотографиям.

Приложение было скачано в магазине Google Play более 100 млн. раз. Ни исследователи безопасности, ни журналисты на данный момент не получили ответа от китайской компании-разработчика.
Подробнее
Взломанные WordPress-сайты перенаправляют пользователей на онлайн-магазины мошенников.
Взломанные WordPress-сайты перенаправляют пользователей на онлайн-магазины мошенников.
Вредоносный код играет роль прокси для переадресации всего входящего трафика на подконтрольный киберпреступникам сервер.
Специалист ИБ-компании Akamai Ларри Кэшдоллар (Larry Cashdollar) обнаружил новую вредоносную кампанию. С помощью брутфорс-атак киберпреступники получают доступ к учетным записям администраторов WordPress-сайтов, после чего добавляют на страницы вредоносный код. Последний играет роль прокси для переадресации всего входящего трафика на подконтрольный злоумышленникам сервер.

В данном случае, пользователи перенаправляются на мошеннические онлайн-магазины. Попытка перейти на тот или иной WordPress-сайт переадресовывается на командный сервер злоумышленников. Если запрос соответствует определенным критериям, то вместо требуемого ресурса открывается HTML-страница киберпреступников.

Исследователи говорят, что подобные наложения мошеннических страниц на легитимные негативно сказываются рейтинге страниц в результатах поисковых систем. Это связано с тем, что добавление вредоносного кода на страницу смешивает ключевые слова с несвязными записями. Злоумышленники могут даже потребовать выкуп от компании, которая заинтересована в лучшем рейтинге и устранении последствий снижения популярности ресурса. На момент написания известно о 7 тыс. взломанных WordPress-сайтов.
Подробнее
Разработчики GitHub устранили уязвимость инъекции команд.
Разработчики GitHub устранили уязвимость инъекции команд.
Специалисты Google обнародовали информацию о ней за две недели до этого.
Разработчики GitHub устранили ошибку в функции Actions, которая была уязвима для инъекции команд. Ранее о ней сообщали специалисты из Google Project Zero. Несмотря на высокую степень опасности разработчикам потребовалось более 104 дней.

Команда Project Zero информирует ресурсы о найденных уязвимостях и дает на их устранение 90 дней. После этого специалисты публикуют сведения об уязвимостях в открытом доступе. Также случилось и c GitHub, разработчики которого были уведомлены об ошибке, однако не торопились с ее устранением.

После публикации подробностей ошибки пользователям GitHub пришлось еще две недели ждать устранения уязвимости. Фактически, разработчикам требовалось только отключить команды «set-env» и «add-path» в инструменте автоматизации рабочего процесса.
Подробнее
Компания E-Land стала жертвой вымогательского ПО.
Компания E-Land стала жертвой вымогательского ПО.
Компании пришлось отключить часть своих сетей и временно закрыть 23 розничных магазина.
Южнокорейская фирма E-Land подвергалась атаке с использованием вымогательского ПО. Компании принадлежит 60 торговых брендов, в основном, одежды, а также ряд отелей и ресторанов в Южной Корее.

Из-за атаки компании пришлось отключить часть своих IT-сетей и временно закрыть 23 из 50 розничных магазинов NC Department Store и NewCore Outlet. Президент E-Land Чан Хен Сок подтвердил факт кибератаки, произошедшей в воскресенье, 22 ноября. Вымогательское ПО было развернуто в главных офисах торгового гиганта.

На данный момент ничего не известно о типе вымогателя и требуемом выкупе. По словам президента E-Land, конфиденциальная информация клиентов в атаке не пострадала, так как хранится на отдельных серверах в зашифрованном виде.
Подробнее
Атака на Spotify затронула порядка 350 тыс. пользователей.
Атака на Spotify затронула порядка 350 тыс. пользователей.
Злоумышленники используют открытую базу данных, содержащую имена и пароли клиентов сервиса.
Специалисты vpnMentor обнаружили открытую базу данных Elasticsearch, в которой содержится более 380 млн. записей пользователей Spotify. Злоумышленники используют учетные данные, находящиеся в ней, для атак на клиентов сервиса. Помимо имен и паролей в базе содержатся электронные адреса и страны проживания пользователей.  Размер БД составляет 72 ГБ.

В данный момент она используется для атак с подстановкой учетных данных. По словам администрации Spotify, были затронуты порядка 350 тыс. пользователей. Компания приняла решение начать процедуру сброса паролей. Метод получения подобной базы данных остается неизвестным.

Так как обнаруженная БД находится в открытом доступе, ей может воспользоваться неограниченное число киберпреступников. Специалисты говорят о том, что представленные сведения могут быть использованы в том числе для финансового мошенничества. Пользователям рекомендуется изменить свои пароли на Spotify и других сервисах, использующих те же учетные данные.
Подробнее
Киберпреступники используют обход песочниц в целях шпионажа.
Киберпреступники используют обход песочниц в целях шпионажа.
Вредоносы, нацеленные на непосредственную финансовую выгоду, используются в 31% случаев.
За кибератаками, в которых используются вредоносы для обхода песочниц, стоят злоумышленники, целью которых является промышленный шпионаж и дальнейшая перепродажа доступа к инфраструктуре. К такому выводу пришли ИБ специалисты, проанализировав 36 семейств вредоносных программ.

Из них 69% были заточены именно под шпионаж и кражу документов, составляющих коммерческую тайну. Такие вредоносы в большинстве своем представляют злоумышленникам удаленный доступ к целевой системе. Операторы шифровальщиков и банковских троянов использовали методы обхода песочницы только в 11% случаев.

За распространением соответствующего вредоносного ПО стоит 23 группировки киберпреступников. Из них 25% стали активны в последние два года. По мнению исследователей, это говорит о смещении фокуса злоумышленников на кражу конфиденциальных данных.
Подробнее
В сети опубликованы эксплойты для кражи учетных данных почти с 50 тыс. устройств Fortinet VPN.
В сети опубликованы эксплойты для кражи учетных данных почти с 50 тыс. устройств Fortinet VPN.
В списке уязвимых объектов присутствуют домены, принадлежащие правительственным организациям со всего мира.
Хакер опубликовал список однострочных эксплойтов для кражи учетных данных VPN почти с 49 577 устройств Fortinet VPN. Уязвимость CVE-2018-13379 влияет на непропатченные устройства FortiOS SSL VPN. Используя эту ошибку, неавторизованные злоумышленники могут получить доступ к системным файлам с помощью специально созданных HTTP-запросов.

Эксплойт, опубликованный хакером, позволяет злоумышленникам получить доступ к файлам sslvpn_websession из VPN Fortinet, чтобы украсть учетные данные для входа. Затем они могут быть использованы для компрометации сети и развертывания программ-вымогателей. Хотя данная ошибка была публично раскрыта более года назад, в сети все еще присутствует порядка 50 тыс. уязвимых устройств.

После анализа списка было установлено, что уязвимыми объектами являются государственные, банковские, и финансовые домены со всего мира. В прошлом месяце именно CVE-2018-13379 была использована для взлома систем поддержки выборов в правительство США.
Подробнее
86% пользователей Google Chrome работают с устаревшими версиями.
86% пользователей Google Chrome работают с устаревшими версиями.
ИБ специалисты предсказывают увеличение количества атак, эксплуатирующих недавно раскрытые уязвимости.
Директор по исследованиям безопасности Menlo Security Винай Пидатхала (Vinay Pidathala) сообщил, что большинство пользователей браузера Google Chrome (86%) работают с устаревшими версиями. По его мнению, в ближайшее время можно ожидать увеличение количества атак, эксплуатирующих недавно раскрытые и исправленные уязвимости нулевого дня.

Целенаправленные нападения для похищения интеллектуальной собственности или ради финансовой выгоды угрожают всем версиям браузера, кроме актуальной. Причиной отсрочки своевременных обновлений обычно связывают с использованием устаревших приложений, работающих только со старыми версиями Chrome.

В течение последних нескольких месяцев специалисты Google исправили пять серьезных уязвимостей нулевого дня, предоставляющих атакующему доступ к браузеру жертвы. В последствии эти ошибки позволяют выполнять вредоносный код на устройстве и получить доступ к внутренним файлам.
Подробнее
Ущерб от взлома портала государственных услуг составил 7 млн. долларов.
Ущерб от взлома портала государственных услуг составил 7 млн. долларов.
Злоумышленники украли 738 ГБ данных, относящихся к 186 тыс. клиентов австралийского ресурса.
Портал государственных услуг Нового Южного Уэльса Service NSW оценил ущерб, нанесенный хакерской атакой в апреле этого года. Правительство Австралийского Союза обнародовало данные о том, что несмотря на продолжение расследования, урон уже оценивается на сумму не менее 7 млн. австралийских долларов (порядка 5,1 млн. долларов США).

Атака произошла весной 2020 года. Неизвестные злоумышленники скомпрометировали учетные записи 47 сотрудников Service NSW и украли 738 ГБ данных относящихся к 186 тыс. клиентов австралийского ресурса. В руки киберпреступников попали заметки, анкеты, различные отсканированные файлы, а также сведения о транзакциях пользователей портала.

Инцидент побудил правительство Австралийского Союза выделить 5 млн. австралийских долларов на обеспечение кибербезопасности государственных систем. Также в Новом Южном Уэльсе должна появиться система уведомлений пользователей об атаках.
Подробнее
Робот-пылесос можно использовать для прослушки разговоров, даже если в нем нет микрофона.
Робот-пылесос можно использовать для прослушки разговоров, даже если в нем нет микрофона.
Ученые из Университета Мэриленда смогли перепрофилировать навигационные системы устройства.
Исследователи из Университета Мэриленда описали способ использования робота-пылесоса в шпионских целях. Они использовали лазерную навигационную систему устройства и методы обработки сигналов для восстановления звука в комнате. Вибрации, созданные звуковыми волнами, отслеживаются лидаром робота, а затем восстанавливаются в изначальную речь. Следует учитывать, что такие девайсы могут быть взломаны удаленно.

«Мы наглядно показали: несмотря на то, что у роботов-пылесосов нет микрофонов, можно перепрофилировать системы, которые они используют для навигации, чтобы шпионить за пользователями и потенциально раскрывать личную информацию», - отметил Нирупам Рой, доцент факультета компьютерных наук Университета Мэриленда.
Подробнее
Данные более 226 млн. аккаунтов оказались в открытом доступе.
Данные более 226 млн. аккаунтов оказались в открытом доступе.
В базе содержатся логины и пароли для более чем 23 тыс. сайтов.
Трой Хант, известный исследователь безопасности и основатель ресурса Have I Been Pwned, проанализировал слитую в сеть базу данных, содержащую логины и пароли для более чем 226 млн. аккаунтов на различных сайтах. Он проверил актуальность учетных данных на одной из площадок и подтвердил их подлинность.

Исследователь выложил содержимое файлов, которые в сжатом состоянии весили 13 ГБ, на GitHub. Крупнейший из .txt файлов, к примеру, содержал 1,5 млн. строк, в которых находятся логины и хэшированные MD5 пароли.

Так как оперативно проверить такой объем информации не представляется возможным, Хант оценил актуальность данных на форуме для гитаристов chordie.com. Оказалось, что указанный адрес электронной почты действительно есть в базе сайта. На основании этого исследователь заключил, что слитые сведения являются подлинными. Всего в базе насчитывается 226 883 414 логинов и паролей.
Подробнее
Киберпреступники стали чаще воровать доменные имена.
Киберпреступники стали чаще воровать доменные имена.
Взломанные ресурсы используются для фишинговых атак, заражения вредоносным ПО и мошенничества.
Исследователи безопасности сообщают об увеличении случаев кражи доменных имен. Причем злоумышленников интересуют ресурсы в зонах .RU, .SU и .РФ. Как правило, речь идет либо о заброшенных, либо о недавно приобретенных доменах, не привязанных к хостинг-аккаунту.

На данный момент, подобные атаки угрожают более 30 тыс. доменов. Взломанные ресурсы затем используются для фишинговых атак, заражения вредоносным ПО и мошенничества. В одном из случаев исследователи обнаружили сайт, на котором рекламировалась акция о выплате денежной суммы за участие в опросе. После ответа на несколько вопросов пользователям предлагали прислать реквизиты банковской карты для выплаты.

По словам исследователей, на «угон» домена киберпреступникам требуется от 30 минут до нескольких часов. Специалисты провели эксперимент: зарегистрировали собственное доменное имя, соответствующее интересам злоумышленников. Последние обнаружили ресурс через несколько дней и успешно его взломали.
Подробнее
Обнаружен новый вариант скиммера Grelos.
Обнаружен новый вариант скиммера Grelos.
Заимствования в коде усложняют отслеживание конкретных хакерских группировок.
Новый вариант скиммера Grelos выявил сложности, связанные с отслеживанием групп, участвующих в атаках в стиле Magecart. Под последним обычно подразумевают кампании и группировки, специализирующиеся на краже данных платежных карт с веб-сайтов электронной коммерции.

Grelos представляет собой скиммер на основе WebSocket, который использует обфускацию base64 для скрытия своей деятельности. Новый штамм имеет аналогичную стадию загрузчика, но содержит только один слой кодировки, повторяющиеся теги скриптов, орфографические ошибки и включает словарь под названием «translate», который содержит фразы, используемые поддельными платежными формами, созданными вредоносной программой. Веб-сокеты по-прежнему используются для эксфильтрации данных.

Исследователи из фирмы RiskIQ отметили, что новый скиммер демонстрирует то, как перемешалась инфраструктура, вредоносы и группы, участвующие в Magecart атаках. Это усложняет процесс отслеживания конкретных злоумышленников. Так, специалисты расследовали атаку группы Fullz House, которая загрузила вредоносный JavaScript на провайдера мобильной сети, чтобы очистить данные клиентов. Однако вместо того, чтобы найти скиммер принадлежащий группировке, исследователи обнаружили новый вариант Grelos. Последний даже использует часть той же инфраструктуры, например, IP-адреса и хостинг-провайдеров для размещения.
Подробнее
Определены самые популярные пароли 2020 года.
Определены самые популярные пароли 2020 года.
Большинство из них оказались на столько простыми, что на их подбор злоумышленниками уйдет меньше секунды.
Специалисты NordPass опубликовали данные о наиболее популярных паролях в 2020 году. Они изучили более 275 млн. слитых паролей и составили свой топ.

Несмотря на то, что пароли в стиле «123456» и «password» считаются анекдотичными, они лидируют в подобных рейтингах уже на протяжении пяти лет. Так, на первом месте оказался «123456», а на втором – «123456789». Пользователи видимо решили, что это как-то усложнит взлом. Специалисты смогли выделить разве что пароль «picture1», который стоит на третьем месте. На его взлом злоумышленникам бы потребовалось три часа.

В остальных случаях, киберпреступники бы потратили меньше секунды на взлом при помощи простого перебора. Большинство слитых в 2020 году паролей, оказались невероятно простыми. Специалисты NordPass назвали уникальными только 44%.
Подробнее
Граждане России смогут требовать удаления персональных данных из общего доступа.
Граждане России смогут требовать удаления персональных данных из общего доступа.
В Государственную Думу РФ внесен соответствующий законопроект.
Комитет Государственной Думы РФ по информационной политике разработал и внес на голосование законопроект, который запретит использовать общедоступные персональные данные граждан без их согласия. В дополнение к этому, они смогут требовать от операторов удаления сведений о себе.

Законопроект предполагает штраф за нарушение правил обработки персональных данных для тех ресурсов, которые откажутся выполнить требования граждан. Пользователи получат возможность самостоятельно определить информацию, которая может быть общедоступной. Без ведома владельца публиковать личные данные будет запрещено.

По мнению Антона Горелкина, который внес законопроект на рассмотрение, это позволит пользователям самостоятельно решать, какую информацию о себе он готов предоставить интернет-ресурсам и на каких условиях.
Подробнее
Китайская APT-группировка атакует правительства Юго-Восточной Азии.
Китайская APT-группировка атакует правительства Юго-Восточной Азии.
Основной целью FunnyDream является правительственный и промышленный шпионаж.
ИБ-фирма Bitdefender опубликовала доклад о деятельности новой киберпреступной APT-группы FunnyDream. За последние два года хакерам удалось заразить более 200 систем в странах Юго-Восточной Азии.

Атаки поддерживаемой китайским правительством группировки нацелены на Вьетнам, Малайзию, Тайвань и Филиппины. FunnyDream специализируется на кибершпионаже. Злоумышленников интересуют конфиденциальные данные в правительственных и промышленных сферах.
Подробнее
Фармацевтические компании подвергаются мобильному фишингу.
Фармацевтические компании подвергаются мобильному фишингу.
Вместо кражи учетных данных, злоумышленники теперь стараются доставить вредоносное ПО на устройства жертв.
Фармацевтические компании все чаще становятся целью киберпреступников. Группировки, которые занимаются фишингом мобильных устройств, меняют свою тактику в надежде получить данные об исследованиях вакцины от COVID-19. В третьем квартале 2020 года в 77% случаев они стараются доставить вредоносные программы на устройства своих жертв, хотя раньше киберпреступников интересовали учетные данные.

Национальный центр кибербезопасности в Великобритании, а также Агентство по кибербезопасности и инфраструктурной безопасности в США выпустили рекомендации организациям, участвующим в изучении COVID-19. Поскольку тема пандемии остается актуальной, фармацевтические компании являются приоритетной целью шпионских группировок. Любая информация о вакцине сейчас очень востребована как для получения прибыли на черном рынке, так и для правительств.

Сдвиг на доставку вредоносного ПО, по мнению исследователей, продиктован несколькими факторами. Успешная доставка шпионских программ или средств наблюдения на устройство может привести к долгосрочному успеху для злоумышленника. Кроме того, злоумышленники хотят иметь возможность наблюдать за всем, что делает пользователь, и заглядывать в файлы, к которым обращается устройство. Более того, в период повсеместной удаленной работы, мобильные девайсы могут стать шлюзом к корпоративной инфраструктуре.
Подробнее
Личные данные более 3,2 млн. подписчиков Pluto TV выложены в открытый доступ.
Личные данные более 3,2 млн. подписчиков Pluto TV выложены в открытый доступ.
База данных содержит имена, адреса электронной почты, хэшированные пароли, даты рождения и IP-адреса.
На одном из хакерских форумов обнаружена база данных клиентов американской службы интернет-телевидения Pluto TV. Слитые сведения включают имена, адреса электронной почты, хэшированные пароли, даты рождения и IP-адреса более 3,2 млн. подписчиков сервиса. Последняя запись датирована 2018 годом. Это может говорить о том, что хакеры два года использовали украденные данные с целью заработка.

Базу данных разместили члены группировки ShinyHunters. Они также ответственны за взлом Animal Jam, 123RF, Geekie, Athletico, Wongnai и RedMart. Как сообщает издание BleepingComputer, они проверили несколько адресов электронной почты и установили, что те действительно принадлежат подписчикам Pluto TV. В компании факт утечки не подтвердили, однако их клиентам все равно рекомендуется сменить пароли.

Pluto TV – это сервис, который позволяет бесплатно просматривать различные телепередачи. На данный момент канал насчитывает более 28 млн. подписчиков. Официальное приложение сервиса было загружено около 10 млн. раз.
Подробнее
Киберпреступность нанесла российской экономике ущерб в 44 млрд. долларов.
Киберпреступность нанесла российской экономике ущерб в 44 млрд. долларов.
В будущем году прогнозируется двукратное падение экономики.
Представители Сбербанка заявили о серьезном ущербе, который российской экономике нанесла киберпреступность в 2020 году. По оценкам специалистов, к концу года эта сумма составит 44 млрд. долларов.

В качестве причин отмечается переход на безналичные способы оплаты и низкая осведомленность населения в вопросах информационной безопасности. Многие, даже в целом известные мошеннические схемы все еще приносят прибыль злоумышленникам. По данным МВД России, в 2020 году количество киберпреступлений, связанных с банковскими карточками, выросло на 500%.
Подробнее
Операторов связи могут обязать блокировать мошеннические номера.
Операторов связи могут обязать блокировать мошеннические номера.
Согласно задумке, абоненты смогут жаловаться на нежелательные звонки и сообщения.
Министерство цифрового развития, связи и массовых коммуникаций РФ подготовило законопроект, который обяжет операторов связи блокировать номера, используемые для телефонного мошенничества. Ведомство обсуждает проект документа с МВД, ФСБ, Роскомнадзором, Банком России и операторами связи.

Согласно задумке, у абонентов будет возможность подать жалобу на конкретный номер, который после проверки должен быть заблокирован оператором на уровне сети. Для этого должны быть установлены системы противодействия фроду, под которым станут понимать все вызовы, осуществляющиеся при помощи подменных номеров, а также специального софта и технических средств, в результате чего нарушаются права и безопасность третьих лиц.

На данном этапе отмечаются две проблемы законопроекта. Во-первых, внедрение подобных мер может привести к блокировке нормальных номеров. Во-вторых, помимо новых обязанностей на операторов возложат дополнительные расходы. Не известно, как это отразится на стоимости услуг для конечных пользователей.
Подробнее
Правительственные и финансовые сайты в Южной Корее атакованы группировкой Lazarus.
Правительственные и финансовые сайты в Южной Корее атакованы группировкой Lazarus.
Конечная цель злоумышленников – доставка трояна удаленного доступа на компьютеры посетителей зараженных ресурсов.
Киберпреступная группа Lazarus использует новую цепочку атак на посетителей веб-сайтов, управляемых южнокорейским правительством и финансовыми фирмами. Злоумышленники стремятся доставить вредоносное ПО, которое в конечном итоге устанавливает троян удаленного доступа на компьютер жертвы. Эти атаки используют украденные цифровые сертификаты от двух охранных фирм, которые позволяют операторам Lazarus повредить плагин браузера, предназначенный для защиты пользователей от взлома.

По данным ESET, два незаконно полученных сертификата подписи кода принадлежат охранным фирмам Alexis Security Group и Dream Security USA. Последняя является американским филиалом Wizvera. Первая стадия атаки заключается в том, чтобы операторы Lazarus повредили сайт, на котором работает программное обеспечение Wizvera. Исследователи полагают, что это достигается с помощью фишинговых атак, которые обманывают администраторов. Как только злоумышленники закрепляются на целевом сервере, вредоносные двоичные файлы, которые кажутся законными и используют украденные цифровые сертификаты, помещаются на скомпрометированный веб-сайт и автоматически передаются ничего не подозревающим посетителям.

Когда жертва посещает затронутый сайт, подключаемый модуль браузера запрашивает загрузку JavaScript и конфигурационного файла WIZVERA.  После загрузки они проверяются с помощью сильного криптографического алгоритма (RSA), поэтому злоумышленники не могут легко изменить содержимое этих файлов. Однако они могут заменить программное обеспечение, которое будет доставлено пользователям Wizver VeraPort, с законного, но скомпрометированного веб-сайта.
Подробнее
Уязвимости BlueKeep и SMBGhost все еще угрожают Windows-системам по всему миру.
Уязвимости BlueKeep и SMBGhost все еще угрожают Windows-системам по всему миру.
Microsoft уже давно выпустила соответствующие патчи, однако сотни тысяч администраторов не спешат обновлять свое ПО.
Критические уязвимости, позволяющие злоумышленнику удаленно получить доступ к Windows-системам, даже после выпуска патчей угрожают компьютерам по всему миру. Так, BlueKeep подвержено более 245 тыс. устройств. Обновление вышло уже полтора года назад. SMBGhost угрожает 103 тыс. компьютеров, несмотря на то, что соответствующий патч вышел в марте этого года.

Ни рекомендации правоохранительных органов, ни спецслужб не мотивируют администраторов устранить критические уязвимости в своих системах. Конкретно об этих ошибках речь заходит чаще всего, так как они считаются одними из наиболее опасных.

Однако, только ими не ограничиваются проблемы с исправлением известных уязвимостей. Другие дыры также остаются без внимания. Например, уязвимости CVE-2019-0211 в Apache, которая позволяет перехватить контроль над сервером, подвержены более 3,3 млн. устройств.
Подробнее
Более двух десятков RaaS-группировок активно ищут партнеров.
Более двух десятков RaaS-группировок активно ищут партнеров.
Злоумышленники готовы разделять прибыль от атак, сдавая свои вредоносы в аренду.
ИБ специалисты компании Intel 471 рассказали о текущих тенденциях среди хакерских группировок, действующих по схеме «вымогатель как услуга» (Ransomware-as-a-Service, RaaS). На текущий момент эксперты выделяют более двух десятков групп, которые готовы предоставлять свои вредоносные программы сторонним хакерам и разделять прибыль от выкупа. Сейчас такие группировки активно ищут новых партнеров.

Исследователи разделили вымогателей на три группы: от наиболее известных до совершенно новых. В первую категорию вошли Ryuk, DoppelPaymer, Egregor, Netwalker и REvil. Атаки с использованием этих шифровальщиков регулярно попадают в СМИ из-за многомиллионных ущербов, нанесенных известным компаниям по всему миру. Во второй оказались SunCrypt, Conti, Clop, Ragnar Locker, Pysa/Mespinoza, Avaddon и DarkSide, которые приобрели определенную популярность в 2020 году, в том числе, на волне проблем с массовым переходом на удаленный режим работы. В третью вошли Nemty, Wally, XINOF, Zeoticus, CVartek.u45, Muchlove, Rush, Lolkek, Gothmog и Exorcist, информации о которых пока недостаточно для полноценного анализа.  

Сдача своего вымогательского ПО в аренду приносит разработчикам серьезные прибыли, учитывая, что им не нужно самостоятельно заниматься взломом. Злоумышленники поставляют вредоносные программы для шифрования файлов аффилированным лицам, которые осуществляют непосредственную атаку и получают большую часть прибыли. Разработчики вымогательского ПО при этом берут 20-30% от выкупа. Они же устанавливают сумму выкупа и ведут переговоры с жертвой.
Подробнее
Email Appender доставляет поддельные письма в обход защитных фильтров.
Email Appender доставляет поддельные письма в обход защитных фильтров.
Инструмент поддерживает полную смену отправителя, которая останется незамеченной для получателя.
Email Appender – новая программа для таргетированных атак, активно рекламируемая на русскоязычных теневых форумах. Главная ее особенность – доставка мошеннических писем адресату в обход защитных фильтров. Формально, инструмент даже не доставляет письма, а внедряет их непосредственно в почтовый ящик жертвы, после прохождения авторизации на сервере. Поскольку сообщение не проходит весь путь доставки, смена отправителя останется незамеченной.

Программа предполагает наличие списка скомпрометированных учетных записей. Email Appender перебирает имеющиеся логины и пароли, а затем добавляет мошенническое письмо в ящик. Специалисты ИБ полагают, что такой инструмент повысит эффективность целевого фишинга и BEC-атак, а также упростит доставку сообщений, содержащих вредоносные вложения.  

В качестве противодействия Email Appender рекомендуется использовать средства многофакторной аутентификации, а также включить оповещения о входе в ящик с необычного IP-адреса. Даже если взлом произойдет, пользователь узнает об инциденте, обратит внимание, сможет внимательнее относиться к полученным сообщениям и увидит необходимость в смене учетных данных.
Подробнее
Операторы Egregor атаковали чилийскую компанию Cencosud.
Операторы Egregor атаковали чилийскую компанию Cencosud.
Вредонос зашифровал устройства практически во всех магазинах розничной сети.
Один из крупнейших ретейлеров в Южной Америке, чья прибыль в прошлом году превысила 15 млн. долларов, стал жертвой шифровальщика Egregor. Вредонос зашифровал устройства практически во всех магазинах Cencosud. Розничная сеть сейчас работает с ограничениями, например, временно не принимаются карты Cencosud Card, возвраты, и не выдаются интернет-заказы.

Атака произошла на прошедших выходных. Многие принтеры, подключенные к общей сети, начали распечатывать записки с требованием выкупа. В них злоумышленники уточнили, что перед шифрованием устройств им удалось похитить конфиденциальные сведения компании. Если представители Cencosud не свяжутся с киберпреступниками в течение трех дней, то они начнут публиковать украденные сведения.

Использование взломанной техники для печати своих требований – известная функция Egregor. Вредонос стал активен в сентябре этого года и уже успел атаковать сети таких компаний как Ubisoft, Crytek и Barnes & Noble. Исследователи полагают, что за нападениями Egregor стоят те же люди, что отвечали за вредоносные кампании шифровальщика Maze. Последние как раз в сентябре сообщили, что сворачивают свои операции.
Подробнее
Компания Ticketmaster оштрафована 1,25 млн. фунтов стерлингов.
Компания Ticketmaster оштрафована 1,25 млн. фунтов стерлингов.
Сайт фирмы был заражен вредоносным ПО, которое выкрало данные более чем 11 млн. покупателей.
Британская компания по продаже и распространению билетов оштрафована на 1,25 млн. фунтов стерлингов за утечку данных, произошедшую в 2018 году. Сайт компании Ticketmaster был заражен вредоносным ПО, которому удалось выкрасть имена, почтовые и электронные адреса, телефонные номера, номера платежных карт, даты истечения, CCV-коды и детали регистрации более чем 11 млн. покупателей.

Утечка началась в феврале 2018 года, однако обнаружена была только в июне. Клиенты Monzo Bank обнаружили и сообщили о мошеннических операциях, проводимых с их счетов. Банку пришлось заменить данные 6 тыс. платежных карт.

Как выяснило расследование, компания Ticketmaster не обеспечила адекватные меры безопасности на своем сайте. Даже после появления сообщений о возможных атаках, фирма инициировала анализ своего сетевого трафика только через 9 недель. Таким образом, компания нарушила Общий регламент защиты персональных данных, за что и была оштрафована Офисом Комиссара по информации Великобритании.
Подробнее
Хакерская группировка атакует южноазиатские организации.
Хакерская группировка атакует южноазиатские организации.
Некоторые из целей CostaRicto также были расположены в Африке, Америке, Австралии и Европе.
BlackBerry опубликовали отчет о деятельности новой хакерской группировки, получившей название CostaRicto. Цели злоумышленников расположены в более чем дюжине стран по всему миру. Приоритетным направлением группировки остаются организации в Южной Азии, особенно в Индии, Бангладеш и Сингапуре. Некоторые из целей CostaRicto также были расположены в Африке, Америке, Австралии и Европе.

Несопоставимые таргетинг и характеристики набора инструментов группировки, по словам исследователей, предполагают, что она работает по найму. CostaRicto нацеливается на жертв с помощью специального бэкдора, который появился в октябре прошлого года, но редко используется в атаках. То, как настроен их пользовательский бэкдор, получивший название SombRAT, намекает на то, что он предназначен для обновления и адаптации к различным потребностям. Исследователи пишут, что хорошо структурированный код, позволяющий легко расширять функциональность, указывает на то, что этот набор инструментов является частью долгосрочного проекта, а не одноразовой кампанией.

Как и многие другие хакерские операции по найму, эта, судя по данным BlackBerry, действовала по меньшей мере много месяцев. Исследователи считают, что операция CostaRicto является частью растущей тенденции взломов «под заказ».
Подробнее
Данные пользователей 123RF продаются в даркнете.
Данные пользователей 123RF продаются в даркнете.
Украденная база данных содержит полные имена, адреса электронной почты, хешированные пароли, имена организаций, физические адреса, привязанную к PayPal почту и IP-адреса.
Популярный сервис стоковых фотографий 123RF стал жертвой утечки данных. Ресурс принимает более 26 млн. пользователей каждый месяц. На площадке можно приобрести изображения, иллюстрации, видео- и аудиофайлы для дальнейшего использования.

На хакерском форуме была обнаружена база данных, содержащая 8,3 млн. записей пользователей сервиса. Среди них находятся полные имена клиентов площадки, адреса электронной почты, захешированные MD5 пароли, имена организаций, физические адреса, привязанная к PayPal почта и IP-адреса. Кстати, инструменты для взлома MD5 уже существуют и позволяют перевести зашифрованные пароли в простой текст.

Представители 123RF факт утечки подтвердили. В то же время, они отметили, что украденные данные вероятно устарели. В представленных пробниках самая поздняя запись датирована 27 октября 2019 года.  
Подробнее
Правительство Австралии предупреждает об атаках на сектор здравоохранения.
Правительство Австралии предупреждает об атаках на сектор здравоохранения.
Австралийский центр кибербезопасности обнаружил всплеск активности SDBBot, который предшествует нападениям с использованием вымогателя Clop.
Австралийское правительство выпустило предупреждение, призывающее местные организации сектора здравоохранения проверить свою киберзащиту, особенно контроль за обнаружением и остановкой атак вымогателей. Австралийский центр кибербезопасности (ACSC) заявил, что наблюдал повышенную активность со стороны субъектов, использующих инструмент удаленного доступа SDBBot (RAT).

Обнаруженный вредонос в основном используется киберпреступной группировкой TA505. Эти злоумышленники опираются на массовые кампании по рассылке спама, заражающего рабочие станции вредоносными программами. С сентября 2019 года TA505 часто развертывает полезную нагрузку SDBBot в качестве средства удаленного доступа к зараженным хостам. SDBBot состоит из трех компонентов: установщик, который обеспечивает постоянство в системе, загрузчик дополнительных компонентов и сам троян удаленного доступа. После установки вредонос используется для бокового перемещения по сети и эксфильтрации данных.

Вместе с тем, заражение SDBBot обычно предшествует атакам с использованием вымогателя Clop. Это тип шифровальщика обычно используется для нападений на крупные цели. Операторы Clop сначала сосредотачиваются на расширении своего первоначального доступа к как можно большему количеству систем, крадут конфиденциальные документы из зараженной компании и только затем вручную развертывают вредоносное ПО. Злоумышленники обычно вымогают у жертв огромные выплаты: от нескольких сотен тысяч до миллионов долларов. Если жертвы отказываются заплатить выкуп, вымогатели публикуют украденные данные на сайте в даркнете.
Подробнее
Разработчик вакцины от коронавируса подвергся атаке хакеров.
Разработчик вакцины от коронавируса подвергся атаке хакеров.
Shionogi & Co. к концу следующего года планирует выпустить в общей сложности 30 млн. доз.
Тайваньское подразделение японской фармацевтической компании Shionogi & Co. подверглось кибератаке. Сейчас там проходят клинические испытания вакцины от коронавируса. К концу следующего года компания планирует выпустить в общей сложности 30 млн. доз.

Представители Shionogi & Co. заверили, что данные о вакцине не пострадали в результате хакерской атаки. Однако в продаже на хакерском форуме были обнаружены сведения о лицензиях на импорт медицинского оборудования, а также личная информация сотрудников фармацевтического гиганта. Судя по всему, злоумышленники выставили на продажу не все данные, которые им удалось украсть. Киберпреступники потребовали выкуп от компании, а в случае отказа угрожают опубликовать дополнительные конфиденциальные сведения.

За атакой на Shionogi & Co., предположительно, стоят злоумышленники из Китая. С апреля этого года наблюдается рост количества нападений на японские научно-исследовательские институты. Специалисты ИБ отмечают, что информация о вакцине мало интересует киберпреступные группы, однако в условиях пандемии, эти сведения могут быть конвертированы в большой денежный выкуп.
Подробнее
Атака Platypus позволяет обойти защитные механизмы через наблюдение за изменениями энергопотребления ЦП.
Атака Platypus позволяет обойти защитные механизмы через наблюдение за изменениями энергопотребления ЦП.
С ее помощью можно узнать, какие данные обрабатываются внутри процессора, обнаруживать ключи шифрования, пароли, конфиденциальные документы и другие данные.
«Power Leakage Attacks: Targeting Your Protected User Secrets» (Platypus) – это атака, эксплуатирующая RAPL-интерфейс процессоров Intel. Последний используется для контроля энергопотребления ЦП и DRAM. Разработчикам он помогает в оптимизации приложений и оборудования. Ученые из Грацского технического университета, университета Бирмингема, а также Центра информационной безопасности имени Гельмгольца в Германии рассказали, как злоумышленники могут использовать RAPL-интерфейс для кражи данных.

Наблюдение за изменениями энергопотребления позволяет обойти защитные механизмы, такие как рандомизация адресного пространства ядра и аппаратно-изолированные среды, для обнаружения ключей шифрования, паролей и конфиденциальных документов. Проведение атаки возможно на всех основных ОС, однако в системах под управлением Linux, из-за обязательного наличия драйвера powercap, отслеживающего взаимодействие различных интерфейсов. Более того, нападение можно провести удаленно, а вредоносный код может быть скрыт внутри приложения. Platypus работает против десктопных и серверных процессоров Intel.

Исследование ученых частично финансировалось компанией Intel, поэтому, в первую очередь, проверялись процессоры именного этого производителя. Разработчики уже подготовили исправления кода, блокирующие осуществление Platypus. В то же время, RAPL-интерфейс используется и в решениях других производителей, поэтому специалисты не исключают вероятности реализации атаки на оборудовании других брендов.
Подробнее
В даркнете продается доступ администратора к сети пакистанских авиалиний.
В даркнете продается доступ администратора к сети пакистанских авиалиний.
Злоумышленник также выставил на продажу клиентскую базу данных, содержащую имена, фамилии и номера паспортов.
ИБ-фирма KELA обнаружила в дакрнете объявление о продаже доступа уровня администратора к сети авиалиний Пакистана. По заявлением исследователей, с июля 2020 года злоумышленник заключил 38 сделок и «заработал» по крайней мере 118 тыс. долларов. В дальнейшем такой доступ может использоваться для кражи конфиденциальных данных и заражения вредоносным, в том числе вымогательским, ПО.

Судя по всему, и сам продавец воспользовался этим. Хакер выставил на продажу базу данных, содержащую имена, фамилии и номера паспортов клиентов пакистанских авиалиний. Исследователи из KELA не уверены, что вся информация в базе верна.
Подробнее
Исследователи проанализировали 103 крупных киберинцидента за последние 5 лет.
Исследователи проанализировали 103 крупных киберинцидента за последние 5 лет.
В среднем эти атаки стоили жертвам 47 млн. долларов, а осуществлялись с помощью простых взломов или программ-вымогателей.
Исследователи из фирмы Cyentia Insitute проанализировали 103 крупных киберинцидента за последние 5 лет. Они отметили, что подобные атаки составляют относительно небольшой объем от общего количества нападений. Крупные киберинциденты, в среднем, стоили жертвам 47 млн. долларов, а осуществлялись с помощью простых взломов или программ-вымогателей.

В докладе отмечается, что такие атаки становятся более частыми. В организации 43% из них принимали участие группировки, финансируемые государствами. Это удивило исследователей, ведь принято считать, что «правительственных хакеров» не интересуют частные компании и кража денежных средств. Выяснилось же, что они на равных могут соперничать с преступными группировками.

Чаще всего крупные кибератаки приходятся на финансовый, информационный и производственный сектора. Самые большие ущербы компаниям нанесли вредоносные программы удаленного доступа. Убытки от прерывания производства стали наиболее частыми по результатам исследования. В число наиболее пострадавших от действий хакеров компаний вошли Facebook, FedEx Corp. и Marriott International.
Подробнее
Злоумышленники используют рекламу поддельных обновлений Microsoft Teams.
Злоумышленники используют рекламу поддельных обновлений Microsoft Teams.
Для заражения сетей используется Cobalt Strike, что в конечном итоге приводит к полной компрометации всех служб идентификации Active Directory.
Microsoft предупреждает своих клиентов о рекламных кампаниях поддельных обновлений «FakeUpdates». Злоумышленники нацелены на различные типы организаций, в частности в секторе образования, которые в настоящее время зависят от использования приложений, например, для видеоконференций из-за ограничений в связи с пандемией COVID-19. Если жертвы нажимают на рекламное сообщение, происходит выполнение сценария PowerShell, загружающего вредоносное содержимое.

Злоумышленники используют Cobalt Strike – инструмент моделирования атак и распространения вредоносных программ, особенно вымогателей. Недавно было замечено, что киберпреступники используют Cobalt Strike в атаках, эксплуатирующих Zerologon – уязвимость повышения привилегий, которая позволяет получить доступ к контроллеру домена и полностью скомпрометировать все службы идентификации Active Directory. Распространяемое вредоносное ПО также включает Predator The Thief, который крадет учетные и платежные данные с устройства.

Microsoft предложила ряд методов смягчения последствий атак «FakeUpdates». Компания рекомендует пользователям использовать веб-браузеры, которые могут фильтровать и блокировать вредоносные веб-сайты, а также гарантировать надежность паролей локальных администраторов. Права администратора должны быть ограничены основными пользователями, а загрузка исполняемого контента – заблокирована.
Подробнее
Киберпреступники создают клоны популярных Twitch-каналов.
Киберпреступники создают клоны популярных Twitch-каналов.
Встроенные баннеры, обещающие легкий заработок, крадут данные банковских карт.
Киберпреступники решили воспользоваться возросшей популярностью стриминговой площадки Twitch. Они создают клоны популярных каналов, запускают записи эфиров и встраивают баннер, перенаправляющий зрителей на фишинговую страницу. Такие рекламные сообщения предлагают пользователям поучаствовать в розыгрыше, а для получения выигрыша заплатить небольшую «комиссию». Введенные данные банковских карт попадают в руки злоумышленников.

Такие страницы-клоны практически ничем не отличаются от оригиналов, вплоть до комментариев с реальных стримов. Киберпреступники использовали сервисы накрутки, чтобы вывести свои каналы в топ. На мошенническую страницу также были добавлены комментарии «счастливых победителей».

Популярность стриминговой платформы начала расти на волне пандемии COVID-19, равно как и других онлайн-сервисов. Среднее число одновременных зрителей достигло 1,5 млн. человек. Сумма выигрыша, которую обещают на мошенническом ресурсе (winstainq[.]dub/draw.) достигает 5 тыс. долларов.
Подробнее
Атака на сеть медицинского учреждения препятствует проведению процедур.
Атака на сеть медицинского учреждения препятствует проведению процедур.
Университет Вермонта приостановил осуществление химиотерапии, маммографии и скрининга.
Сеть здравоохранения Университета Вермонта (UVM) занимается восстановлением своих систем после кибератаки, приведшей к массовым задержкам в приеме пациентов – включая назначение химиотерапии, а также маммограмм и биопсий. UVM – это система из шести больниц, домов здоровья и хосписов, которая включает более 1000 врачей, 2000 медсестер и других сотрудников в Вермонте и северном Нью-Йорке. В отчетах сообщается, что атака прошла через главный компьютерный сервер Медицинского Центра UVM и затронула всю систему учреждений. Расследованием инцидента занимается ФБР и Национальная гвардия Вермонта.

На данный момент не сообщается, какие именно данные были затронуты, однако серьезно пострадал график приема пациентов. До атаки от 45 до 60 пациентов могли получить назначение химиотерапии в Медицинском Центре UVM, после – 15, что привело к серьезным задержкам. По состоянию на понедельник, медицинское учреждение не могло осуществлять маммограммы, ультразвуковые скрининги молочной железы и биопсии. Кибератака также затронула персонал больницы, в результате чего некоторые сотрудники не смогли выполнять свою обычную работу. Порядка 300 сотрудников Медицинского Центра UVM были либо переведены, либо уволены.

Больницы и индустрия здравоохранения столкнулись со шквалом кибератак за последние несколько месяцев. Они остаются приоритетной целью вымогателей, особенно по мере того, как увеличивается объем данных о пациентах. В начале пандемии большинство известных группировок приняло решение не атаковать медицинские учреждения. Однако недавние предупреждения CISA и ФБР указывают на то, что киберпреступники больше не намерены обходить сферу здравоохранения стороной.
Подробнее
Вымогатели сообщают об украденных данных через рекламу в Facebook.
Вымогатели сообщают об украденных данных через рекламу в Facebook.
Недавняя кампания операторов Ragnar Locker охватила 7150 пользователей.
Операторы шифровальщика Ragnar Locker использовали новую методику для оказания давления на свою жертву. Ранее в этом месяце был взломан производитель алкогольных напитков Campari Group. Злоумышленники потребовали выкуп в размере 15 млн. долларов, однако компания предпочла не платить.

Группировка Ragnar Locker использовала взломанные аккаунты в Facebook, чтобы запустить рекламную кампанию, в которой сообщается о краже 2 ТБ конфиденциальных данных. Рекламные механизмы социальной сети позволили киберпреступникам охватить 7150 пользователей, которые теперь также знают об утечке данных в Campari Group.

Производителю алкогольных напитков принадлежат такие бренды, как Campari, Cinzano, SKYY vodka, Epsolon, Wild Turkey, Grand Marnier и Appleton. После сообщения о взломе хакеры опубликовали на своем сайте в даркнете скриншоты из внутренней сети компании. Среди слитых файлов можно было найти копию контракта, подписанного Campari с актером Мэттью МакКонахи.
Подробнее
В продаже обнаружена база данных 20 млн. клиентов BigBasket.
В продаже обнаружена база данных 20 млн. клиентов BigBasket.
Украденные данные могут включать имена пользователей, адреса электронной почты, хэшированные пароли, пин-коды, контактные номера, адреса, даты рождения, сведения о местоположении и IP-адреса.
В даркнете обнаружена база данных клиентов индийской службы доставки BigBasket. Требуемая злоумышленниками сумма составляет 40 тыс. долларов. Специалисты ИБ-фирмы Cable сообщили, что за эти деньги покупатель получит сведения 20 млн. клиентов компании, включая их имена, адреса электронной почты, хэшированные пароли, пин-коды, контактные номера, адреса, даты рождения, сведения о местоположении и IP-адреса.

Представители торговой компании признали факт утечки и уведомили правоохранительные органы. В то же время, они отрицают факт кражи финансовой информации клиентов. На данный момент масштабы нанесенного ущерба уточняются.

Считается, что BigBasket стала целью киберпреступников в связи с ростом популярности онлайн-доставок в период пандемии COVID-19. Генеральный директор BigBasket Хари Менон (Hari Menon) заявил, что спрос на услуги компании вырос в 3-6 раз. Ритейлер планировал привлечь порядка 300-400 млн. долларов в связи с ростом спроса.
Подробнее
DoppelPaymer атаковали крупного производителя электроники.
DoppelPaymer атаковали крупного производителя электроники.
Вымогателям удалось нарушить работу 30% компьютеров компании Compal.
В воскресенье, 8 ноября, группировка DoppelPaymer атаковала компанию Compal. На заводах тайваньской фирмы осуществляется сборка ноутбуков, мониторов, планшетов, умных часов, телевизоров и различной компьютерной периферии для таких компаний как Apple, Acer, Lenovo, Dell, Toshiba, HP и Fujitsu.

В результате нападения пострадало порядка 30% всех компьютеров производителя. Сотрудникам, чьи рабочие станции не пострадали, было рекомендовано сделать резервные копии важных файлов. Специалисты занялись восстановлением данных.

Тайваньские СМИ сообщили, что получили записку о выкупе от работников Compal, которая и подтвердила атаку вымогателей DoppelPaymer. Интересно, что заместитель главы компании Цинсюн Лю (Qingxiong Lu) в интервью с United News Network отрицал требование о выкупе и сообщил, что в атаке пострадала только внутренняя офисная сеть фирмы.
Подробнее
Шифровальщику Pay2Key требуется час для заражения сети.
Шифровальщику Pay2Key требуется час для заражения сети.
Киберпреступники обычно атакую свои цели ночью и требуют выкуп до 139 тыс. долларов.
Специалисты Check Point Software Technologies проанализировали новую вымогательскую программу Pay2Key. Шифровальщик уже был замечен в атаках на территории Израиля и Бразилии. Судя по всему, злоумышленники используют слабозащищенные RDP-соединения для проникновения во внутреннюю сеть, после чего шифровальщику достаточно одного часа для распространения.

Киберпреступники обычно осуществляют свои атаки ночью. На взломанном устройстве устанавливается прокси-сервер, который обеспечивает скрытую связь всех копий вредоноса. Полезная нагрузка запускается при помощи утилиты PsExec. По словам специалистов, вымогатель не имеет аналогов на подпольном рынке и на данном этапе плохо детектируется антивирусами. Он написан на C++, шифрует файлы ключом AES и использует RSA для связи с командным сервером, который отправляет конфигурационный файл.

Злоумышленники требуют от своих жертв выкуп на сумму до 139 тыс. долларов. Если не заплатить в установленный срок, он увеличится вдвое. Сообщается, что киберпреступники крадут корпоративную информацию перед шифрованием и угрожают опубликовать ее в случае неуплаты.
Подробнее
Выкуп не гарантирует удаление украденных данных вымогателями.
Выкуп не гарантирует удаление украденных данных вымогателями.
Специалисты ИБ советуют не платить киберпреступникам.
С конца прошлого года операторы вымогательского ПО приняли на вооружение тактику двойного вымогательства. Перед шифрованием систем жертвы они осуществляют кражу конфиденциальных данных, чтобы увеличить сумму требуемого выкупа, а также склонить жертву к переговорам. Из-за угрозы публикации или продажи третьим лицам корпоративной информации, компании стали чаще платить киберпреступникам выкуп.

ИБ-специалисты из Coveware рассказали, что далеко не всегда злоумышленники действительно удаляют украденные данные после того, как получили деньги. Например, группировка Sodinokibi требовала у жертв дополнительный выкуп через несколько недель после первой оплаты за те же самые данные. Netwalker и Mespinoza все равно публиковали данные, за которые им заплатили жертвы. Группировка Conti и вовсе предоставляла поддельные доказательства удаления.

Не существует никаких гарантий того, что вымогатели действительно удалят украденные данные после того, как им заплатят выкуп. Специалисты ИБ советуют не платить злоумышленникам и воспринимать любой взлом как утечку данных, о которой необходимо проинформировать затронутых лиц.
Подробнее
Язык тела может выдать конфиденциальные данные.
Язык тела может выдать конфиденциальные данные.
Анализ движений человека во время видеоконференций позволяет определить вводимый текст.
Ученые из Техасского и Оклахомского университетов рассказали о том, как можно добраться до конфиденциальных данных человека во время видеоконференций. Свой метод они описали в статье «Zoom on the Keystrokes: Exploiting Video Calls for Keystroke Inference Attacks».

Движение плеч человека позволяет, например, определить пароли, номера банковских карт, коды аутентификации и даже адреса. Ключевым фактором является связь пальцев, плечевых суставов и мышц. В зависимости от того, какой палец для набора использовал человек, реакция его плечевых суставов отличается. Анализ таких реакций ученые осуществляли при помощи популярных сервисов видеоконференций, таких как Zoom, Google Chat и Skype.

Использование этой методики злоумышленниками на данном этапе ее развития маловероятна. Ученым пришлось дополнительно задействовать специальные программы со словарями для определения конкретных символов, которые вводит человек. И все же, в 18,9% случаев им удалось определить вводимый текст.  В случае подходящих окружающих условий этот показатель возрастает до 75%.
Подробнее
Операторы вымогателя Ryuk в третьем квартале 2020 года атакуют по 20 целей в неделю.
Операторы вымогателя Ryuk в третьем квартале 2020 года атакуют по 20 целей в неделю.
Злоумышленники использовали законные инструменты для нападения, которое стоило их жертве 34 млн. долларов.
ИБ-компания Check Point опубликовала отчет об активности операторов вымогателей в третьем квартале 2020 года. Так, одна из русскоязычных киберпреступных групп, использующая вымогательское ПО Ryuk, атакует по 20 целей в неделю. Группировке, которая получила наименование «один», с 2018 года жертвы заплатили 150 млн. долларов.

Интересно, что для своей крупнейшей атаки и самого высокого подтвержденного выкупа злоумышленники использовали законные инструменты. Mimikatz, PowerShell PowerSploit, LaZagne, AdFind, Bloodhound и PsExec – это программы, при помощи которых специалисты обычно проводят тестирование безопасности. Атака, состоящая из 15 шагов, принесла операторам Ryuk 34 млн. долларов.

Группировку интересуют предприятия технологической и энергетической сфер, финансовые сервисы, организации здравоохранения и госорганы. Средняя сумма выкупа, получаемого операторами Ryuk, составляет порядка 750 тыс. долларов в биткоинах.
Подробнее
За атакой на Capcom стоят вымогатели Ragnar Locker.
За атакой на Capcom стоят вымогатели Ragnar Locker.
Злоумышленники утверждают, что им удалось украсть 1ТБ данных из корпоративных сетей в Японии, США и Канаде.
Вчера мы сообщали об атаке хакеров на корпорацию Capcom, в результате которой постарадали почтовые сервисы японского разработчика видеоигр. Новые подробности нападения говорят о том, что компания стала жертвой вымогателей Ragnar Locker. Злоумышленникам удалось украсть 1ТБ данных из корпоративных сетей в Японии, США и Канаде. По крайне мере так они заявляют в своей записке о выкупе.

Киберпреступники утверждают, что им удалось получить доступ к каждому серверу сети компании в офисах по всему миру. В числе украденных данных оказались финансовые документы, частная деловая информация, данные клиентов и сотрудников, корпоративные соглашения и контракты. Злоумышленники угрожают опубликовать или перепродать информацию, в случае если Capcom откажется заключить сделку.

Дополнительно киберпреступникам удалось зашифровать 2 тыс. устройств. Требуемый выкуп составляет 11 млн. долларов в биткоинах. В качестве доказательства операторы Ragnar Locker приложили семь print.sc URL-адресов со скриншотами украденных файлов, а также ссылку на архив с документами, включающими прогнозы доходов, таблицы зарплат, NDA, иммиграционные формы, корпоративные коммуникации и отчеты о роялти.
Подробнее
Обнаружена уязвимость в AnyConnect Secure Mobility Client.
Обнаружена уязвимость в AnyConnect Secure Mobility Client.
Компания Cisco занимается устранением ошибки, позволяющей выполнить произвольный код.
Специалист Secure Mobile Networking Lab Герберт Ройтбурд (Gerbert Roitburd) обнаружил уязвимость в AnyConnect Secure Mobility Client, разработанном компанией Cisco. Ошибка, получившая наименование CVE-2020-3556, позволяет злоумышленнику выполнить произвольный код. Также для уязвимости уже обнаружен PoC-эксплоит.

Проблема была обнаружена в канале связи для межпроцессного взаимодействия (IPC). Из-за отсутствия аутентификации для слушателя IPC киберпреступник может отправить слушателю IPC специально сконфигурированное IPC-сообщение. Имея действительные учетные данные пользователя AnyConnect, злоумышленник может использовать уязвимость во время активного сеанса жертвы и выполнить вредоносные скрипты с ее привилегиями.

Специалисты ИБ сообщают, что опции клиента AnyConnect, такие как Auto Update (включена по умолчанию) и Enable Scripting (отключена по умолчанию) необходимо изменить. Это позволит обезопасить себя от атак до выпуска соответствующего патча разработчиком. Уязвимость затрагивает все версии клиента AnyConnect для Windows, Linux, и macOS.
Подробнее
Судебная система Бразилии подверглась атаке вымогателей RansomExx.
Судебная система Бразилии подверглась атаке вымогателей RansomExx.
Злоумышленникам удалось зашифровать все файлы дел и резервные копии.
Верховный суд Бразилии был атакован вымогателями во вторник, 3 ноября. Судебные заседания в этот момент проходили в режиме видеоконференции. Секретариат по информационно-коммуникационным технологиям работает над восстановлением систем, чтобы как можно быстрее восстановить все судебные службы. Сообщается, что веб-сайты многих других бразильских федеральных правительственных учреждений также в настоящее время находятся в автономном режиме. Однако до сих пор неизвестно, были ли они атакованы теми же злоумышленниками или размещены на том же ресурсе, что и суды.

По словам IT-специалистов, системы высшего трибунала юстиции были отключены, чтобы остановить распространение атаки по всей сети, однако злоумышленникам удалось зашифровать все файлы дел и резервные копии. На текущий момент веб-сайт и системы Верховного суда все еще находятся в автономном режиме. «В нападении была использована учетная запись администратора домена, которая позволила хакеру получить доступ к серверам, войти в группы администрирования виртуальной среды и зашифровать значительную часть виртуальных машин», - сообщил один из IT-специалистов компании O Bastidor.

В официальных заявлениях не упоминается группа, ответственная за эту атаку. Однако, записка о выкупе, восстановленная с одного из зашифрованных компьютеров, показывает, что за нападением стояли хакеры RansomExx. Злоумышленники отказывают комментировать инцидент и готовы сотрудничать только с уполномоченными для переговоров лицами. RansomExx – это версия программы-вымогателя Defray777, которая стала намного более активной в июне 2020 года. Как только операторы вымогателя успешно компрометируют контроллер домена Windows жертвы, они развертывают полезные нагрузки вымогателей на всех доступных сетевых устройствах.
Подробнее
Новая APT-группа нацелена на неправительственные организации в Мьянме.
Новая APT-группа нацелена на неправительственные организации в Мьянме.
Хакеры используют передовые методы развертывания и таргетинга, а также включают несерьезные сообщения в свои скрипты.
Исследователи ИБ-фирмы Sophos рассказали о новой передовой группе постоянных угроз (APT), нацеленной на неправительственные организации в стране Юго-Восточной Азии – Мьянме. Несерьезные сообщения, скрытые в образцах вредоносных программ, такие как «KilllSomeOne», «Happiness is a way station between too much and too little» и «HELLO_USA_PRISIDENT», по мнению специалистов, могут использоваться для маскировки. Тогда как цели, передовые методы развертывания и таргетинга указывают на серьезную группировку.

Хакеры полагаются в первую очередь на технику кибератаки, известную как боковая загрузка DLL. Этот метод приобрел популярность в Китае в 2013 году. Этот факт, вкупе с продолжающейся пограничной напряженностью между этническими китайскими повстанцами и мьянманскими военными, наводит на мысль, что группировка является проектом Китая.

Четыре различных сценария боковой загрузки DLL обеспечивают либо полезную нагрузку оболочки для запуска команд на целевых системах, либо установку набора вредоносных программ. Побочная загрузка DLL – это тип приложения, которое кажется законным и часто может обойти слабые механизмы безопасности, такие как белый список приложений. Будучи доверенным, приложение получает дополнительные разрешения от Windows во время его выполнения. Все четыре сценария боковой загрузки DLL выполняют вредоносный код и устанавливают бэкдоры в сетях целевых организаций. В данном случае, каждый из них также имеет один и тот же путь к базе данных программы и строки открытого текста, написанные на плохом английском языке с политически вдохновленными сообщениями в своих образцах.
Подробнее
Разработан новый способ получения удаленного доступа к сервисам TCP/UDP.
Разработан новый способ получения удаленного доступа к сервисам TCP/UDP.
Он представляет собой обход механизма Network Address Translation (NAT) и межсетевых экранов.
Исследователь безопасности Сами Камкар (Samy Kamkar) рассказал об атаке NAT Slipstreaming, которая позволяет обходить механизм NAT и межсетевые экраны. Атака позволяет злоумышленнику получить удаленный доступ к сервисам TCP/UDP во внутренней сети. Для реализации нападения исследователь использовал браузер и механизм Application Level Gateway (ALG), задействованный в NAT, межсетевых экранах и маршрутизаторах.

По заявлению Камрака, все современные браузеры уязвимы к этой атаке. Она позволяет обходить реализованные ограничения на доступ к портам. Специалист сообщил, что может обойти NAT жертвы и подключиться к любом порту на компьютере, раскрывая защищенные и скрытые сервисы.

NAT Slipstreaming базируется на поддержке ALG в NAT и межсетевых экранах. Механизм является обязательной функцией для многопортовых протоколов, таких как FTP, IRC DCC, SIP, H323 (VoIP). Атака предполагает извлечение внутренних IP-адресов, обнаружение MTU и IP-фрагментации, сжатие TCP-пакетов, неправильное использование аутентификации TURN, точный контроль границ пакетов и создание путаницы протоколов в браузере.
Подробнее
Компания Capcom стала жертвой хакеров.
Компания Capcom стала жертвой хакеров.
Нападение затронуло почтовые системы корпорации, другие вероятно были отключены для оказания противодействия злоумышленникам.
Японский разработчик видеоигр, компания Capcom, сообщает, что 2 ноября 2020 года стала жертвой атаки хакеров. Нападение затронуло некоторые сети Capcom Group, в результате чего в работе ряда систем возникли проблемы. Доподлинно известно, что в атаке пострадали электронная почта и некоторые файловые системы, при этом доступность онлайн-сервисов компании осталась на прежнем уровне.

На данный момент неизвестны ни ответственные за нападение хакеры, ни характер самой атаки. В компании заверили, что кража данных клиентов на текущем этапе расследования не зарегистрирована. Некоторые части корпоративной сети, вероятно, были отключены самими сотрудниками Capcom, чтобы предотвратить дальнейшее распространение атаки.

Источники специализированного ресурса BleepingComputer отмечают, что еще в августе этого года внутренняя сеть Capcom стала жертвой ботнета TrickBot. Обычно злоумышленники продают полученный доступ операторам шифровальщиков, например, Ryuk или Conti. В своем недавнем интервью один из представителей REvil заявлял, что их жертвой стала крупная игровая компания. Если Capcom действительно стала жертвой вымогателей, существует высокая вероятность кражи конфиденциальных данных компании, за которую злоумышленники потребуют выкуп.
Подробнее
Штраф за нарушение IT-безопасности систем КИИ составит до 500 тыс. рублей.
Штраф за нарушение IT-безопасности систем КИИ составит до 500 тыс. рублей.
В Государственную думу РФ внесен соответствующий законопроект.
Власти РФ разработали законопроект, предусматривающий внесение поправок в виде новых статей в Кодекс административных правонарушений. Они будут касаться IT-безопасности систем значимых объектов критической информационной инфраструктуры (КИИ). Сейчас проект обсуждается в Государственной думе РФ.

Так, если нарушение требований к созданию и функционированию систем безопасности объектов КИИ не повлекло ущерба, предполагается введение штрафа до 50 тыс. рублей для физических лиц и до 100 тыс. для юридических. Нарушение же порядка информирования о компьютерных инцидентах, реагирования на них и принятия мер по ликвидации последствий кибератак в отношении значимых объектов предполагает штраф до 50 тыс. рублей для должностных лиц и до 500 тыс. для юридических.

Рассматривать такие дела сможет только ФСБ РФ, в тоже время правом рассматривать дела о нарушении правил защиты информации (ст. 13.12 и 13.13 КоАП) планируют наделить Федеральную службу по техническому и экспортному контролю. Напомним, что к 2025 году объекты КИИ должны осуществить переход на преимущественное использование отечественного ПО и оборудования.
Подробнее
«Русский» киберпреступник осужден на 8 лет.
«Русский» киберпреступник осужден на 8 лет.
Он украл персональную и финансовую информацию на 100 млн. долларов.
Суд приговорил к 8 годам лишения свободы 36-летнего Александра Бровко. Русский по национальности гражданин Чешской республики признал свою вину в краже и последующей продаже персональной и финансовой информации на сумму в 100 млн. долларов.  

Согласно материалам следствия, злоумышленник более 10 лет принимал участие в мошеннической схеме. Он управлял ботнетами для сбора конфиденциальных данных и за годы своей противозаконной деятельности получил доступ более чем к 200 тыс. устройств. Бровко продавал персональные и учетные данные для онлайн-банкинга на теневых площадках, где являлся активным участником.

Киберпреступник написал программные скрипты для анализа реестра ботнета и вручную искал на скомпрометированных устройствах сведения, которые можно было бы продать. Также он всегда занимался проверкой подлинности похищенных сведений и даже проводил оценку счетов, для определения потенциальной прибыли от совершения атаки.
Подробнее
Вредоносный пакет открывает бэкдоры на компьютерах программистов.
Вредоносный пакет открывает бэкдоры на компьютерах программистов.
«twilio-npm» позволяет злоумышленникам получать доступ к рабочим станциям.
Команда безопасности npm (Node Package Manager) удалила библиотеку JavaScript со своего веб-сайта, содержащую вредоносный код для открытия бэкдоров на компьютерах программистов. Библиотека была названа «twilio-npm», и ее вредоносное поведение было обнаружено на прошлой неделе компанией Sonatype, которая отслеживает общедоступные репозитории пакетов в рамках своих служб безопасности разработчиков.

В опубликованном отчете специалистов говорится, что библиотека была впервые опубликована на веб-сайте в пятницу, обнаружена в тот же день, а удалена в понедельник. Несмотря на короткий срок службы на портале npm, библиотека была загружена более 370 раз и автоматически включена в проекты JavaScript, построенные и управляемые с помощью утилиты командной строки npm.

«Любой компьютер, на котором установлен или запущен этот пакет, должен считаться полностью скомпрометированным», - заявила команда безопасности npm. Все секреты и ключи, хранящиеся на этом компьютере, должны быть изменены.
Подробнее
Хакерская группа использует 0Day-уязвимость в Oracle Solaris.
Хакерская группа использует 0Day-уязвимость в Oracle Solaris.
Судя по всему, инструменты для взлома были куплены на черном рынке за 3 тыс. долларов.
Mandiant, подразделение расследований охранной фирмы FireEye, опубликовало подробности о новой хакерской группировке, получившей наименование UNC1945. Специалисты сообщают, что она использовала уязвимость нулевого дня в операционной системе Oracle Solaris для вторжений в корпоративные сети. Целью злоумышленников являлись телекоммуникационные, финансовые и консалтинговые компании.

Уязвимость CVE-2020-14871, является ошибкой в подключаемом модуле аутентификации Solaris (PAM). Она позволяла UNC1945 обходить процедуры аутентификации и устанавливать бэкдор под названием SLAPSTICK на интернет-серверы Solaris. Затем хакеры использовали этот бэкдор в качестве точки входа для запуска разведывательных операций внутри корпоративных сетей и перемещения в них. Чтобы избежать обнаружения, группа загрузила и установила виртуальную машину QEMU, работающую под управлением версии ОС Linux. Судя по всему, она была изготовлена под заказ с предварительно установленными хакерскими инструментами, такими как сетевые сканеры, дамперы паролей и эксплойты.

Специалисты Mandiant считают, что хакеры купили инструменты, которые позволили им использовать Solaris 0Day и установить фарсовый бэкдор, с публичного хакерского форума. В апреле 2020 года на одном из сайтов в даркнете «Oracle Solaris SSHD Remote Root Exploit» продавался за 3 тыс. долларов. CVE-2020-14871 была исправлена в прошлом месяце.
Подробнее
Половина российских компаний планирует увеличить расходы на ИБ.
Половина российских компаний планирует увеличить расходы на ИБ.
Аналитики считают, что в ближайшее время может возникнуть дефицит специалистов в этой области.
Консалтинговая фирма PwC опубликовала отчет, согласно которому 55% опрошенных компаний в мире планируют в следующем году увеличить расходы на информационную безопасность. Руководители считают, что даже в условиях прогнозируемого снижения выручки, это необходимо делать в современных условиях. Пандемия COVID-19 и массовый перевод сотрудников на удаленный режим работы привел к существенному росту количества киберинцидентов в этом году.

Российские компании идут в ногу с общемировым трендом. 52% из них тоже собираются увеличить расходы на ИБ и расширить штат специалистами в этой области. За июль-август 2020 года сотрудники PwC опросили 3249 руководителей предприятий.

В то же время, аналитики прогнозируют дефицит на рынке кадров. Компании столкнутся с жесткой конкуренцией. Уже сейчас, например, в США количество вакансий в сфере ИБ вдвое превышает количество соискателей.
Подробнее
Мошенники обманули республиканцев Висконсина на 2,3 млн. долларов.
Мошенники обманули республиканцев Висконсина на 2,3 млн. долларов.
Похищенные в результате BEC-атаки денежные средства предназначались для переизбрания президента Трампа.
Республиканская партия штата Висконсин (США) лишилась 2,3 млн. долларов в результате BEC-атаки киберпреступников. Последние выдавали себя продавцов предвыборной атрибутики, в частности MAGA-кепок (Make America Great Again – предвыборный лозунг Трампа). «Киберпреступники, используя изощренную фишинговую атаку, похитили средства, предназначенные для переизбрания президента Трампа, изменили счета-фактуры и совершили мошенничество с переводами», – говорится в заявлении председателя партии штата Висконсин Эндрю Хитта (Andrew Hitt).

Исследователи безопасности из компании Ivalua отметили, что в этой атаке нет ничего изощренного. Она довольно проста и отражает уязвимость любой организации, которая не оцифровала свои процессы управления расходами. Подделка счетов – это область, которую давно освоили киберпреступники. Они знают, что жертвы редко сомневаются в счетах, если они выглядят убедительно.

Согласно последним подсчетам ИБ-фирмы Agari, атаки BEC (компрометация деловой переписки) составляют 40% всех потерь от киберпреступности, затрагивая более 177 стран по всему миру. В подобных нападениях мошенник выдает себя за доверенную сторону, чтобы попытаться обмануть бизнес и заставить его заплатить. В типичной атаке преступники сделают все предварительные исследования, чтобы их сообщения казались достоверными.
Подробнее
Взломан интернет-ретейлер драгоценных металлов JM Bullion.
Взломан интернет-ретейлер драгоценных металлов JM Bullion.
С февраля по июль 2020 года платежная информация клиентов сайта отправлялась на удаленный сервер.
JM Bullion – интернет-магазин изделий из драгоценных металлов раскрыл информацию об утечке данных. Сайт компании была взломан, в результате чего злоумышленники использовали вредоносные скрипты для сбора платежной информации клиентов. В период с 18 февраля по 17 июля 2020 года, украденные данные отправлялись на сервер злоумышленников.

Согласно уведомлению для клиентов, 6 июля 2020 года JM Bullion была предупреждена о подозрительной активности на своем веб-сайте. Компания начала расследование с привлечением стороннего аудитора, чтобы оценить характер и масштабы инцидента. В его ходе было установлено, что вредоносный код имел возможность захватывать информацию о клиентах, введенную на веб-сайт в ограниченных сценариях при совершении покупки.

Этот тип атаки называется MageCart. Злоумышленники внедряют вредоносные скрипты JavaScript в различные разделы веб-сайта. Пострадать могли имена клиентов, адреса и информация о платежных картах, включая номер счета, дату истечения срока действия и коды безопасности. Вредоносные скрипты были удалены с сайта 17 июля 2020 года. JM Bullion уведомила правоохранительные органы и все затронутые бренды кредитных карт. Все клиенты, совершившие покупки на сайте JM Bullion в период с 18 февраля 2020 года по 17 июля 2020 года, должны отслеживать свои выписки по кредитным картам на предмет мошеннических действий.
Подробнее
Обнародована уязвимость повышения привилегий в ядре Windows.
Обнародована уязвимость повышения привилегий в ядре Windows.
Microsoft пока не выпустила соответствующий патч.
Специалисты компании Google опубликовали информацию о 0Day-уязвимости в Windows, получившей наименование CVE-2020-17087. Она предоставляет злоумышленникам возможность повышения привилегий в ядре ОС.

По словам исследователей, она использовалась совместно с другой уязвимостью, а именно CVE-2020-15999 в браузере Google Chrome. Последняя позволяла хакерам запускать вредоносный код в браузере, однако была исправлена в актуальной версии Chrome. Ошибка CVE-2020-17087 при этом использовалась для выхода за пределы браузера и запуска скрипта непосредственно в ОС.

Google предоставила Microsoft неделю на решение проблемы, однако исправлена уязвимость так и не была. На данный момент ей подвержены все версии Windows от 7 до 10. Ожидается, что патч, исправляющий CVE-2020-17087, будет выпущен 10 ноября.
Подробнее
Пользователи Facebook получают фишинговые письма.
Пользователи Facebook получают фишинговые письма.
Благодаря им злоумышленникам удается обходить двухфакторную аутентификацию.
Исследователи из ИБ-фирмы Sophos рассказали о недавней кампании киберпреступников, направленной на пользователей Facebook. Злоумышленники используют фишинговые письма для сбора учетных данных. Жертве на электронную почту приходит поддельное уведомление о нарушении авторских прав и удалении страницы в соцсети. Во избежание этого необходимо перейти по ссылке и на открывшейся странице ввести свой логин, пароль и код 2FA.

Специалисты отметили простоту, краткость и правдоподобность фишинговых писем. Пользователю дается 24 часа на обжалование уведомления, что создает дополнительную мотивацию к действию. Сам фишинговый ресурс расположен доменной зоне .CF, расположенной в Центральноафриканской Республике. Обнаружение сайта усложняется, так как он расположен на облачном хостинге, генерирующем сертификат HTTPS.

Украденные учетные и личные данные обычно используются для продажи и дальнейших мошеннических атак. Злоумышленники получают полный контроль над страницей жертвы и могут, например, от ее лица осуществлять покупки в приложениях или попробовать комбинации логин/пароль для учетных записей на других ресурсах, где зарегистрирован пользователь.
Подробнее
Подготовлен указ президента по обеспечению независимости и безопасности объектов КИИ.
Подготовлен указ президента по обеспечению независимости и безопасности объектов КИИ.
До 2025 года субъектам КИИ необходимо будет перейти на использование отечественного оборудования и ПО.
На Федеральном портале проектов нормативных правовых актов опубликован указ президента о мерах экономического характера по обеспечению технологической независимости и безопасности объектов критической информационной инфраструктуры. Проект указа подготовлен Министерством цифрового развития, связи и массовых коммуникаций РФ и сейчас находится на стадии обсуждения.

Текст постановления обязывает субъекты КИИ перейти на преимущественное использование российского программного обеспечения до 1 января 2024 года. После этого, до 1 января 2025 года, им необходимо осуществить переход на отечественное оборудование. Требования к оборудованию и порядок перехода должны определить в правительстве РФ.

Указ, в случае его подписания, распространяется на государственные органы и учреждения, а также на юридических лиц и индивидуальных предпринимателей, которые используют информационные системы в сферах финансового рынка, здравоохранения, науки, транспорта, связи, энергетики и обороны. Сюда же относятся ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность. Предприниматели, обеспечивающие взаимодействие информационных систем в вышеперечисленных отраслях, также относятся к субъектам КИИ.
Подробнее
Киберпреступники используют электронную почту университетов для рассылки фишинговых писем.
Киберпреступники используют электронную почту университетов для рассылки фишинговых писем.
Учетные записи высших учебных заведений позволяют злоумышленникам обходить автоматизированные системы защиты.
Киберпреступники захватили учетные записи электронной почты из более чем дюжины университетов, включая Университет Пердью, Оксфордский университет в Великобритании и Стэнфордский университет. Они используют эти учетные записи для обмана жертв и автоматических систем безопасности. Цель злоумышленников – кража учетных данных или установка вредоносного ПО.

Исследователи безопасности заявили, что в 2020 году они обнаружили ряд вредоносных кампаний, использующих скомпрометированную электронную почту по крайней мере из 13 различных университетов. Наибольшее число обнаруженных фишинговых писем поступило от Университета Пердью. Злоумышленники использовали их для различных типов атак. В одном случае жертвы получили сообщение от учетной записи Стэнфордского университета, якобы являющееся «системным сообщением» Microsoft, в котором сообщается о состоянии некоторых сообщений, помещенных в карантин. В электронном письме предлагались различные ссылки для просмотра помещенных в карантин объектов, которые после нажатия приводили к сайту сбора учетных данных Microsoft Outlook или инициировали заражение вредоносным кодом.

Сектор высшего образования регулярно подвергается атакам со стороны киберпреступников. Исследователи отмечают, что с распространением пандемии COVID-19 и переходом на удаленную систему обучения злоумышленники увеличили количество нападений на студентов и преподавателей.
Подробнее
Вымогатели REvil заработали более 100 млн. долларов за год.
Вымогатели REvil заработали более 100 млн. долларов за год.
Злоумышленники не планируют останавливаться и хотят выйти на прибыль в 2 млрд. долларов.
Представитель группировки REvil, использующий псевдонимы «UNKN» и «Unknown», дал интервью YouTube-каналу «Russian OSINT» и рассказал о некоторых подробностях деятельности группы. Как утверждается, злоумышленникам удалось заработать более 100 млн. долларов за последний год, однако они планируют выйти на 2 млрд., привлекая к сотрудничеству новые группировки и используя дополнительные тактики оказания давления на своих жертв.

Разработчики REvil работают по модели «вымогатель как услуга» (RaaS). запускает операцию ransomware-as-a-service (RaaS). Они поставляют вредоносные программы для шифрования файлов аффилированным лицам, которые осуществляют непосредственную атаку и получают большую часть прибыли. Разработчики вымогательского ПО при этом берут 20-30% от выкупа. Они же устанавливают сумму выкупа и ведут переговоры с жертвой.

Для проникновения в систему операторы REvil используют протокол удаленного рабочего стола (RDP), брутфорс-атаки, а также большое количество старых и новых уязвимостей. Если раньше злоумышленники зарабатывали просто на шифровании файлов жертвы, то сейчас основной тенденцией стала дополнительная кража конфиденциальных данных. Компании, которые не желают, чтобы их информация оказалась в публичном доступе или у конкурентов, охотнее идут на переговоры. В будущем злоумышленники планируют осуществлять еще и DDoS-атаки на сервера жертвы, чтобы та охотнее шла на взаимодействие.

Из-за большой популярности группировки и преследования правоохранительными органами, злоумышленники планируют сосредоточить свои атаки на компаниях, расположенных в странах СНГ. Несколько зарубежных источников подтверждают подлинность данного интервью.
Подробнее
Зафиксирован рост количества утечек данных в сферах российской промышленности, ТЭК и транспорта.
Зафиксирован рост количества утечек данных в сферах российской промышленности, ТЭК и транспорта.
В 2019 году этот показатель увеличился на 177% по сравнению с предыдущим.
Аналитики ГК InfoWatch опубликовали отчет, который констатирует существенный рост количества утечек информации в сферах промышленности, топливно-энергетического комплекса и транспорта. В работе сравниваются данные об инцидентах безопасности 2018 и 2019 годов.

В России количество утечек выросло на 177%, при том, что по миру этот показатель составил 42%. Речь идет в первую очередь о персональных данных. На российских предприятиях за 2019 год зафиксировано 2,2 млн. утечек.

Большая часть инцидентов приходится на транспортную отрасль. В ней фиксируется до 1,15 инцидентов с записями персональных данных. Основной канал утечек – рядовые сотрудники. В России по их вине происходит порядка 52% случаев.
Подробнее
В России 11 тыс. устройств уязвимы для SMBGhost.
В России 11 тыс. устройств уязвимы для SMBGhost.
Критическая ошибка угрожает системам Windows 10 и Windows Server 2019.
Исследователи ИБ-фирмы SANS сообщают о 103 тыс. устройств по всему миру, уязвимых для критической ошибки SMBGhost. Компания Microsoft еще весной этого года выпустила специальный патч. В России количество уязвимых устройств составляет 11 тысяч.

SMBGhost, она же CVE-2020-0976, – это критическая уязвимость, получившая максимальный рейтинг опасности по шкале CVSS. Она затрагивает системы под управлением Windows 10 и Windows Server 2019. Ошибка содержится в версии 3.1.1. протокола Microsoft Server Message Block и может привести к удаленному выполнению кода злоумышленников.

Эксперты безопасности настоятельно рекомендуют установить патч под номером KB4551762. Одна из особенностей уязвимости и ее эксплуатации заключается в возможности проведения «червеподобной» атаки: вредонос может перемещаться от устройства к устройству в общей сети.
Подробнее
Иранские хакеры нацелились на участников Мюнхенской конференции по безопасности.
Иранские хакеры нацелились на участников Мюнхенской конференции по безопасности.
По данным Microsoft, злоумышленникам удалось получить доступ к почтовым ящикам нескольких высокопоставленных лиц.
По данным Microsoft, связанные с иранским правительством хакеры рассылают фишинговые электронные письма большим группам высокопоставленных потенциальных участников предстоящей Мюнхенской конференции по безопасности, а также саммита Think 20 в Саудовской Аравии. Иранская группировка Phosphorous, от лица организаторов конференций разослала поддельные приглашения, содержащие PDF-документы с вредоносными ссылками.

Том Берт (Tom Burt), корпоративный вице-президент Microsoft Security and Trust, сообщил в своем блоге, что в некоторых случаях эти атаки оказались успешны. Злоумышленникам удалось перенаправить нескольких участников на страницы сбора учетных данных. Судя по всему, целью хакерской группы был доступ к почтовым ящикам высокопоставленных бывших правительственных чиновников, политических экспертов, ученых и лидеров неправительственных организаций.

Связанные с иранским правительством хакеры, как правило, проводят долгосрочный стратегический сбор разведданных. Ранее их целями становились компании в военном, энергетическом, бизнес-сервисном и телекоммуникационном секторах по всей территории США и Ближнего Востока.
Подробнее
Вымогатели NetWalker атаковали Enel Group.
Вымогатели NetWalker атаковали Enel Group.
Злоумышленники требуют выкуп в размере 14 млн. долларов.
Многонациональная энергетическая компания Enel Group во второй раз в этом году подверглась атаке вымогателей. На этот раз от группы Netwalker, которая требует выкуп в размере 14 млн. долларов за ключ расшифровки. Более того, злоумышленникам удалось украсть несколько Тбайт данных, которые, в случае отказа, будут опубликованы в открытом доступе.

Судя по всему, компания не стала выходить на контакт с киберпреступниками. Приватный чат, созданный для этой цели, оказался пустым. Вымогатели Netwalker добавили Enel Group на свой сайт утечки данных и поделились скриншотами незашифрованных файлов компании. По словам злоумышленников, они украли около 5 Тбайт данных у Enel и готовы обнародовать часть из них через неделю. Они также сказали, что проанализируют каждый файл на предмет интересных вещей и опубликуют его на своем сайте.

Enel является одним из крупнейших игроков в европейском энергетическом секторе. Группа имеет более 61 млн. клиентов в 40 странах. По состоянию на 10 августа, она занимает 87-е место в Fortune Global 500, а ее выручка в 2019 году составит почти 90 млрд. долларов. Предыдущая атака вымогателей произошла в июне. Однако тогда шифровальщик Snake удалось остановить до его распространения по внутренней сети.
Подробнее
В Москве взломаны 15 тыс. камер видеонаблюдения.
В Москве взломаны 15 тыс. камер видеонаблюдения.
Злоумышленники планируют создать собственную систему распознавания лиц.
Издание «Известия» со ссылкой на свой источник в хакерских кругах сообщает о взломе 15 тыс. камер видеонаблюдения в Москве. Неустановленные киберпреступники заявили, что речь идет об устройствах, установленных в банках, торговых центрах, магазинах, частных компаниях и даже квартирах.

Злоумышленники планируют использовать скомпрометированные камеры для создания собственной системы распознавания лиц. Потоковое видео в связке с программой для идентификации может позволить создать систему, схожую с ЕЦХД. Злоумышленники смогут организовать собственную базу данных, включающую информацию и местоположении человека.

В департаменте информационных технологий Москвы отметили, что камеры, входящие в городскую систему видеонаблюдения, не могут использоваться для реализации плана злоумышленников. Речь может идти только о частных камерах.
Подробнее
Киберпреступники используют SonarQube для кражи конфиденциальных данных.
Киберпреступники используют SonarQube для кражи конфиденциальных данных.
В публичном доступе обнаружена информация, принадлежащая Microsoft, Adobe, Lenovo, AMD, Nintendo, Disney и многим другим.
Федеральное бюро расследований США выпустило экстренное предупреждение о хакерах, использующих небезопасные версии SonarQube для кражи данных из правительственных учреждений и корпоративных организаций. Ведомство зарегистрировало утечки из компаний в технологическом, финансовом, розничном, продовольственном и производственном секторах. Разработчик и инженер Тилли Коттманн (Tillie Kottmann) обнаружил в публичном репозитории GitLab данные более 50 организаций, включая Microsoft, Adobe, Lenovo, AMD, Qualcomm, Motorola, Hisilicon (принадлежит Huawei), Mediatek, GE Appliances, Nintendo, Roblox, Disney и многих других.

Злоумышленники начинают свои атаки со сканирования интернета на предмет незащищенных экземпляров SonarQube, используя номер порта по умолчанию (т. е. 9000). Обнаружив открытый сервер, они пытаются получить к нему доступ, используя учетные данные по умолчанию (admin/admin). Для противодействия таким атакам рекомендуется:

- изменить настройки SonarQube по умолчанию, включая имя администратора, пароля и порта;
- поместить экземпляры SonarQube за экран входа в систему и проверить, не получили ли несанкционированные пользователи доступ к этому экземпляру;
- отменить доступ к любым ключам интерфейса прикладного программирования или другим учетным данным, которые были предоставлены в экземпляре SonarQube, если это возможно;
- настроить экземпляры SonarQube так, чтобы они располагались за брандмауэром организации и другими средствами защиты периметра для предотвращения несанкционированного доступа.

SonarQube – это платформа с открытым исходным кодом для автоматизированного аудита качества кода и статического анализа, целью которых является обнаружение ошибок и уязвимостей безопасности в проектах, использующих 27 языков программирования. Незащищенные серверы платформы активно эксплуатируются злоумышленниками с апреля 2020 года. Полученные конфиденциальные данные, принадлежащие как государственным, так и корпоративным организациям, затем публикуются на общедоступных ресурсах.
Подробнее
Хакеры взломали сеть психотерапевтических клиник Vastaamo.
Хакеры взломали сеть психотерапевтических клиник Vastaamo.
Украденные данные включают имена, номера социального страхования, почтовые и электронные адреса, номера телефонов пациентов, а также заметки терапевтов.
Финская общенациональная медицинская сеть Vastaamo стала жертвой взлома. В сентябре злоумышленник вышел на связь с руководством психотерапевтических клиник и потребовал выкуп в размере 40 биткойнов, что составляется порядка 500 тыс. долларов. Компания официально объявила об инциденте на прошлой неделе, когда в даркнете были найдены предложения о продаже конфиденциальных данных. Всего хакер уже опубликовал сведения 2 тыс. пациентов.

Украденные сведения включают включают имена, номера социального страхования, почтовые и электронные адреса, номера телефонов десятков тысяч пациентов, а также заметки врачей. Судя по всему, руководство клиник отказалось заплатить выкуп, в результате чего злоумышленник начал связываться непосредственно с пациентами, предлагая удалить их данные из украденной базы. В этом случае требуемый выкуп составляет 240 долларов в биткойнах. Примечательно, что, узнав об утечке, некоторые жертвы поспешили сами связаться со злоумышленником.

Сейчас Vastaamo проводит расследование совместно с правоохранительными органами Финляндии и ИБ-фирмой Nixu. Последняя, изучая технические аспекты взлома, сообщила, что инцидент произошел еще в ноябре 2018 года. Более того, была обнаружена еще одна атака, произошедшая в марте 2019 года. Тогда глава сети клиник предпочел скрыть факт взлома от совета директоров, однако, когда об этом стало известно, он был уволен. Других атак специалисты по кибербезопасности не обнаружили.

Подробнее
Российские банки стали чаще подвергаться фишинговым атакам.
Российские банки стали чаще подвергаться фишинговым атакам.
Представители кредитных организаций сообщают о двукратном увеличении вредоносных сообщений.
Представители сразу нескольких российских банков сообщили об увлечении количества фишинговых писем, поступающих на электронную почту сотрудников. Связывать это со второй COVID-19 специалисты не спешат, зачастую злоумышленники используют другую тематику в своих сообщениях.

Собеседники «РИА Новости» из Росбанка, «Абсолют банка» и «ФК Открытие» не исключают вероятность использования темы коронавируса в случае ужесточения ограничительных мер. Однако, уже сейчас регистрируется двукратных рост количества попыток фишинга. Спад активности киберпреступников на данный момент не наблюдается.

Напомним, что цель фишинговых писем – заражение корпоративной сети и кража конфиденциальных данных при помощи вредоносных ссылок или вложений. Злоумышленники используют различные шаблоны сообщений, способных побудить потенциальную жертву на взаимодействие с письмом. Весной тема COVID-19 чаще остальных использовалась в фишинговых атаках по всему миру.
Подробнее
Базы данных пользователей Nitro Software и их документы продаются в даркнете.
Базы данных пользователей Nitro Software и их документы продаются в даркнете.
Учитывая, что приложение Nitro используют более 10 тыс. бизнес-клиентов и 1,8 млн. частных пользователей, инцидент может являться одной из крупнейших утечек данных.
21 октября Nitro Software сообщила, что в компании произошел «инцидент безопасности с низким уровнем опасности», в результате которого данные клиентов не пострадали. Неавторизированное лицо получило ограниченный доступ к базе данных организации. Однако, ИБ-фирма Cyble обнаружила в даркнете злоумышленника, который продает сведения пользователей, а также 1 ТБ документов, которые, как утверждается, были украдены из облачного сервиса Nitro Software. Сейчас эти данные продаются на частном аукционе с начальной ценой, в 80 тыс. долларов.

Cyble утверждает, что таблица базы данных «user_credential» содержит 70 млн. записей пользователей, включающих адреса электронной почты, полные имена, хэшированные пароли bcrypt, названия компаний, IP-адреса и другие системные данные. Значительное количество записей, согласно Cyble, принадлежит известным компаниям, таким как Google, Apple, Microsoft, Chase и Citibank. В базе данных, содержащей документы, одни только их названия раскрывают большую часть информации о финансовых отчетах, деятельности по слияниям и поглощениям, NDA или выпусках продуктов.

Nitro – это приложение, которое используют более 10 тыс. бизнес-клиентов и 1,8 млн. частных пользователей для создания, редактирования и подписания PDF-документов, в том числе финансовых, юридических и маркетинговых. В рамках своих услуг компания предлагает облачный сервис, используемый клиентами для обмена файлами с коллегами или другими организациями, участвующими в процессе создания документов. Если злоумышленникам действительно удалось украсть 1ТБ файлов из облачного хранилища компании, данный инцидент может быть одной из крупнейших утечек данных.
Подробнее
Microsoft использует новую систему машинного обучения для выявления кибератак.
Microsoft использует новую систему машинного обучения для выявления кибератак.
Благодаря ей удается выявлять в два раза больше скомпрометированных учетных записей в Azure Active Directory.
Корпорация Microsoft улучшила свою систему обнаружения атак типа «Password Spraying» в Azure Active Directory. Удвоить количество обнаруженных скомпрометированных учетных записей удалось благодаря новому механизму машинного обучения.

Ранее Microsoft построила эвристический движок, ориентированный на обнаружение парольной атаки, который помог компании выявлять и предупреждать арендаторов о сотнях тысяч нападений каждый месяц. Теперь компания улучшила этот механизм с помощью новой системы машинного обучения, которая использует известные шаблоны атак и дополнительные данные для повышения эффективности обнаружения. Так новая система включает, но не ограничивается анализом различных сигналов отклонения поведения учетной записи, таких как незнакомые свойства входа и репутация IP.

Обычно злоумышленники запускают атаки типа «Password Spraying» через большие ботнеты, пытаясь перебрать учетные записи одной или нескольких организаций, сопоставляя имена пользователей с коротким списком распространенных и как правило слабых паролей. При этом, использование различных IP-адресов позволяет скрывать неудачные попытки и продолжать нападение. Эта методика также позволяет избежать автоматической блокировки IP-адреса или пароля на стороне сервера.
Подробнее
Вымогатели вывели из строя серверы индийского информагентства.
Вымогатели вывели из строя серверы индийского информагентства.
IT-инженерам потребовалось 11 часов для поэтапного восстановления данных.
Издание The Hindu Business Line сообщает об атаке вымогателей на системы крупнейшего индийского информационного агентства Press Trust of India. Шифровальщик LockBit затронул почти все серверы компании, в результате чего данные и приложения оказались недоступны.

Сумма требуемого вымогателями выкупа не разглашается. Представители информагентства заявили, что у их IT-инженеров ушло 11 часов на поэтапное восстановление информации, однако злоумышленники не получили никаких выплат.

Не известно станет ли это окончанием текущей истории. Тактики вымогателей постоянно меняются, а главный нынешний тренд – это кража конфиденциальных данных перед шифрованием внутренних систем. Press Trust of India не прокомментировала вероятность утечки, однако в случае таковой злоумышленники все равно найдут способ монетизировать свою атаку.
Подробнее
В рунете массово создаются мошеннические сайты.
В рунете массово создаются мошеннические сайты.
Злоумышленники используют названия известных брендов и окончание –off для регистрации доменов.
В преддверии сезона распродаж специалисты ИБ обнаружили массовую регистрацию доменов, направленных на дальнейшую мошенническую деятельность. Злоумышленники используют названия известных брендов из разных отраслей и добавляют окончание –off, указывающее на распродажу. Например, уже были обнаружены такие домены как familiya-off.ru, detskiy-mir-off.ru, tele2-off.ru, rosneft-off.ru и citilink-off.ru.

Домены оформляются через российскую компанию-регистратора, чей сервер находится в центральноамериканском государстве Белиз. Уже сейчас становится понятно, что заблокировать такие домены, даже в случае их однозначной мошеннической или вредоносной активности, может быть проблематично. По состоянию на 20 октября было зарегистрировано порядка 200 подобных доменных имен.

Сейчас эти сайты по большей части пустуют. Массовое продвижение таких площадок ожидается в ноябре-декабре. Использоваться злоумышленниками такие ресурсы могут по-разному: от простой продажи контрафактного товара, до непосредственного распространения вредоносных программ и фишинговых писем. В каждом отдельном случае скорость блокировки такого сайта может отличаться. В случаях нарушения прав бренда, вероятно, потребуется обращение в суд.
Подробнее
Ботнет KashmirBlack заразил сотни тысяч сайтов.
Ботнет KashmirBlack заразил сотни тысяч сайтов.
Эксплойты злоумышленников позволили успешно атаковать CMS платформы WordPress, Joomla!, PrestaShop, Magneto, Drupal, vBulletin, osCommerce, OpenCart и Yeager.
KashmirBlack – это сложный ботнет, впервые замеченный в ноябре 2019 года. ИБ-специалисты из компании Imperva на прошлой неделе провели анализ вредоносной сети и пришли к выводу, что ей удалось заразить сотни тысяч веб-сайтов по всему миру. На данный момент ботнет считается разработкой хакера по имени Exect1337, который является членом индонезийской группировки PhantomGhost.

Основная цель ботнета, по мнению исследователей, состоит в том, чтобы использовать зараженные серверы для добычи криптовалют, а также перенаправлять законный трафик сайта на спам-страницы. За несколько месяцев KashmirBlack сильно разросся и теперь способен атаковать тысячи сайтов ежедневно. Самые большие изменения произошли в мае этого года, когда ботнет увеличил как свою инфраструктуру командования и управления (C&C), так и арсенал используемых эксплойтов.

KashmirBlack расширяется, сканируя интернет на наличие сайтов, использующих устаревшее программное обеспечение. В дальнейшем они и базовые серверы заражаются путем эксплуатации известных уязвимостей. С ноября 2019 года ботнет использует 16 ошибок, позволяющих ему успешно атаковать ресурсы на CMS платформах WordPress, Joomla!, PrestaShop, Magneto, Drupal, vBulletin, osCommerce, OpenCart и Yeager. При этом, некоторые эксплойты атаковали саму CMS, другие же – некоторые из ее внутренних компонентов и библиотек.
Подробнее
Французская IT-фирма Sopra Steria стала жертвой вымогателей Ryuk.
Французская IT-фирма Sopra Steria стала жертвой вымогателей Ryuk.
Компания подтвердила заражение и «приняла меры безопасности».
Французский гигант IT-услуг Sopra Steria подвергся кибератаке 20 октября, которая, как сообщается, зашифровала часть сети фирмы с помощью программы-вымогателя Ryuk. Компания опубликовала подтверждение инцидента, сообщила, что «приняла меры безопасности», и сейчас работает над восстановлением систем и расследованием инцидента.

Хакерская группа Ryuk известна своими атаками. Ее вредоносное ПО позволяет получить доступ к внутренней сети предприятий. В частности, вредонос BazarLoader, который все чаще используется в атаках, после установки позволяет удаленно получить доступ к компьютеру жертвы и использовать его для компрометации остальной сети. Получив доступ к контроллеру домена Windows, злоумышленники затем развертывают программу-вымогатель Ryuk, чтобы зашифровать все устройства, подключенные к сети.

Sopra Steria – это европейская информационно-технологическая компания с 46 тыс. сотрудников в 25 странах мира. Компания предоставляет широкий спектр IT-услуг, включая консалтинг, системную интеграцию и разработку программного обеспечения.
Подробнее
Вымогатели атаковали производителя лекарств от COVID-19.
Вымогатели атаковали производителя лекарств от COVID-19.
Dr. Reddy’s была вынуждена отключить свои серверы обработки данных по всему миру.
Индийская фармацевтическая компания Dr. Reddy’s была атакована киберпреступниками. В данный момент она является производителем препараторов «Ремдесивир» и «Фавипиравир», применяемых для лечения короновирусной инфекции, а несколько дней назад получила разрешение на проведение клинических испытаний российской вакцины «Спутник V».

Атака злоумышленников вынудила компанию отключить свои серверы обработки данных и приостановить производства в России, США, Великобритании, Бразилии и Индии. Все процессы, осуществляемые Dr. Reddy’s при помощи электронных средств, были остановлены.

Известно, что злоумышленники применили вымогательское ПО, однако компания не предвидит осложнений или серьезного воздействия атаки на производственные процессы. Как сообщили представители Dr. Reddy’s, полное возобновление рабочих процессов ожидается в течение 24 часов.
Подробнее
Данные американских избирателей продаются в даркнете.
Данные американских избирателей продаются в даркнете.
База данных содержит сведения 186 млн. американских граждан.
Сразу на нескольких подпольных площадках появилось предложение о продаже данных 186 млн. американских избирателей. По мнению портала Techradar, – это все, кто имеет право голоса на предстоящих выборах. База данных включает имена, адреса, возраст, пол и контактную информацию.

По оценкам специалистов ИБ, стоимость этих сведений составляет порядка 1000 долларов. Продавец под ником GreenMoon2019 не озвучивает цену публично, а предлагает всем заинтересованным обсудить сделку в личной переписке. Отмечается, что на один из его биткойн-кошельков уже переведено более 100 млн. долларов.

Судя по всему, база данных была собрана из нескольких источников, включая общедоступные. Использованы эти сведения могут быть как для проведения мошеннических операций с элементами социальной инженерии, так и для оказания влияния на результаты предстоящих выборов.

Подробнее
Группировка MuddyWater атакует страны Ближнего Востока.
Группировка MuddyWater атакует страны Ближнего Востока.
Цель злоумышленников – шпионаж и кража конфиденциальных данных.
Исследователи безопасности из Symantec сообщают о причастности иранской группировки MuddyWater к десяткам попыткам взлома телекоммуникационных операторов и правительственных ресурсов стран Ближнего Востока. В развернутой в последние месяцы кампании злоумышленники использовали как старые свои методики, так и, вероятно, новый инструмент.

От их рук пострадали организации в Ираке, Кувейте, Турции и Объединенных Арабских Эмиратах, которые представляют стратегический интерес для Ирана. Основной деятельностью группировки считаются шпионаж и кража конфиденциальных данных. Киберпреступники проникают в целевые среды при поддержке программ собственной разработки, крадут то, что хотят, и двигаются дальше.

Исследователи из Symantec и других ИБ-фирм исследуют новый инструмент взлома, использование которого приписывается MuddyWater. PowGoop – это вредоносный код, который может устанавливать другие программы для кражи данных из скомпрометированной сети. При этом, специалисты до конца не уверены, что именно иранская группировка несет ответственность за создание вредоноса. Независимо от этого отмечаются достижения группы в области вредоносных программ, которые с годами перешли от исключительно скриптовых инструментов, таких как PowerShell, к .NET, а теперь и к пользовательским полезным нагрузкам C++.
Подробнее
Октябрьское обновление Oracle исправляет 402 ошибки в 27 продуктах компании.
Октябрьское обновление Oracle исправляет 402 ошибки в 27 продуктах компании.
Из них более половины могут быть использованы без аутентификации удаленно, а две признаны критическими.
Гигант программного обеспечения для бизнеса – компания Oracle призывает клиентов обновить свои системы. Крупный октябрьский патч исправляет 402 уязвимости в различных продуктах фирмы.

Отмечается, что 272 исправленные ошибки открывают продукты Oracle для удаленной эксплуатации без аутентификации. Это означает, что дефект может быть использован по сети, не требуя учетных данных пользователя. Недостатки коснулись 27 семейств продуктов, среди которых Oracle Financial Services, Oracle MySQL, Oracle Communications, Oracle Fusion Middleware, Oracle Retail Applications и Oracle E-Business Suite.

Две уязвимости оцениваются по шкале CVSS как наиболее серьезные – 10 из 10. Они включают недостаток в компоненте аналитики самообслуживания Oracle Healthcare Foundation, который представляет собой единую платформу аналитики здравоохранения, входящую в состав пакета прикладных программ Oracle Health Science. Ошибка (CVE-2020-1953) может быть удаленно использована без каких-либо учетных данных пользователя, не требует взаимодействия с пользователем и легко эксплуатируется, согласно заявлению компании. Затронутые версии включают 7.1.1, 7.2.0, 7.2.1 и 7.3.0. Второй серьезный недостаток (CVE-2020-14871) находится в подключаемом модуле аутентификации Oracle Solaris, его корпоративной операционной системе для баз данных Oracle и Java-приложений. Он также удаленно эксплуатируется без учетных данных пользователя, не требует взаимодействия с пользователем и представляет собой атаку “низкой сложности”. Затронуты версии 10 и 11.
Подробнее
Вымогатель LockBit зашифрует данные жертвы за пять минут.
Вымогатель LockBit зашифрует данные жертвы за пять минут.
Исследователи ИБ выяснили подробности техник вредоносной программы.
Специалисты компании Sophos проанализировали инциденты с участием вредоноса LockBit – программы-вымогателя, активно используемой киберпреступниками с 2019 года. Шифровальщик предоставляется по схеме «вымогатель как услуга» (RaaS), которая призвана максимально облегчить заинтересованным злоумышленникам незаконную деятельность.

Автоматизация работы вредоноса является главным преимуществом LockBit. Более того, он загружается напрямую в системную память и подчищает логи, чтобы осложнить проведение расследования в будущем. Начинаются его атаки обычно с запуска скрипта PowerShell, который создаст ряд бэкдоров и инициирует загрузку дополнительных команд, сценариев и модулей.

Вымогатель в состоянии самостоятельно определить степень ценности атакуемого ресурса. Согласно отчету исследователей, LockBit не будет устанавливаться в систему, если она не соответствует ряду критериев. Полноценный цикл атаки от проникновения до шифрования ресурсов жертвы займет около пяти минут.
Подробнее
АНБ предупреждает оборонных подрядчиков об атаках китайских хакеров.
АНБ предупреждает оборонных подрядчиков об атаках китайских хакеров.
Киберпреступники специально ищут известные уязвимости.
Агентство национальной безопасности США опубликовало доклад, в котором сообщает об атаках хакеров, поддерживаемых китайским правительством. Злоумышленники активно используют множество известных уязвимостей для успешного взлома сетей оборонных подрядчиков. Системным администраторам рекомендуется в кратчайшие сроки исправить указанные ошибки.

Специалисты ведомства перечислили 25 уязвимостей, которые в первую очередь затрагивают продукты, используемые для удаленного доступа или внешних веб-сервисов. Они включают в себя уязвимости Pulse Secure VPN, продуктов Oracle, пользовательского интерфейса управления трафиком Big-IP, серверов системы доменных имен Windows, а также ряд недостатков в устройствах Citrix ADC и Gateway.

В докладе отмечается, что оборонные предприятия – не единственная цель злоумышленников. Специалистам по кибербезопасности в других секторах также рекомендуется обратить внимание на указанные проблемы. Согласно исследованию FireEye, опубликованному в марте, китайские государственные структуры использовали некоторые из перечисленных АНБ уязвимостей, чтобы нацелиться на компании в телекоммуникационном, медицинском, финансовом, транспортном, нефтехимическом и производственном секторах.

Подробнее
94% серверов ботнета TrickBot были отключены.
94% серверов ботнета TrickBot были отключены.
Специалисты Microsoft провели операцию по обезвреживанию вредоносной сети.
Компании Microsoft удалось обезвредить 120 из 128 командных серверов ботнета TrickBot. Данная вредоносная сеть заразила миллионы компьютеров по всему миру и используется для распространения вымогательского ПО.

Разрешение на захват зараженных серверов Microsoft получила в суде штата Вирджиния. Основанием для этого стало нарушение операторами ботнета авторских прав, так как Trickbot наносит непоправимый ущерб репутации, торговым маркам и клиентам компании.

Технологический гигант планирует отключить всю инфраструктуру ботнета до 3 ноября. Оставшиеся в работе сервера, по заявлению Microsoft, не являются основными и представляют собой «умные» устройства. Для их отключения требуется дополнительная координация с местными поставщиками интернет-услуг, однако компания находится в процессе решения данной проблемы.
Подробнее
Обнаружены версии трояна GravityRAT для Android и macOS.
Обнаружены версии трояна GravityRAT для Android и macOS.
Вредонос представляет собой шпионское ПО, отправляющее файлы с устройства жертвы киберпреступникам.

GravityRAT – шпионская программа, ранее заражавшая только устройства под управлением Windows, получила версии для Android и macOS. Функционал вредоноса остался примерно тем же: он в состоянии отправлять злоумышленникам различные документы, скопировать списки контактов, пересылать сообщения и логи звонков.

Впервые GravityRAT был обнаружен в 2017 году. В рамках целевых атак на сотрудников оборонных ведомств и полицейских подразделений Индии злоумышленникам удалось заразить около 100 устройств.

Новая кампания по распространению вредоноса использует схожую модель. GravityRAT распространяется вместе с копиями легитимных приложений. Злоумышленники отправляют конкретной жертве ссылку на скачивание, казалось бы, официального приложения. Более того, новые модификации используют действующие сертификаты и цифровые подписи, выданные на имя существующих компаний.
Подробнее
Органы государственной власти субъектов РФ переходят на отечественные криптоалгоритмы.
Органы государственной власти субъектов РФ переходят на отечественные криптоалгоритмы.
Текст проекта опубликован на Федеральном портале проектов нормативных правовых актов.
В РФ утверждены рекомендации по переходу органов государственной власти субъектов Российской Федерации, органов местного самоуправления на использование отечественных криптографических алгоритмов и средств шифрования при электронном взаимодействии между собой, с гражданами и организациями.

Основным пунктом проекта, опубликованного на Федеральном портале проектов нормативных правовых актов, является «Сервис защищенного взаимодействия». Это комплекс организационно-технических мер с клиент-серверной архитектурой, который и должен отвечать за взаимодействие с органами власти. Технические решения «СЗВ» должны быть основаны на использовании российских протоколов безопасности и ПО, входящего в Единый реестр российских программ для ЭВМ и БД.

«СЗВ» и ее подсистема реализации протокола защиты транспортного уровня должны обеспечивать перенаправление трафика граждан и организаций при их обращении к государственным и муниципальным информационным системам, одностороннюю аутентификацию средств СЗВ, а также расшифровку трафика и его передачу на обработку в другие подсистемы СЗВ.
Подробнее
Вымогатели пожертвовали по 10 тыс. долларов благотворительным организациям.
Вымогатели пожертвовали по 10 тыс. долларов благотворительным организациям.
Получателями помощи являются «Children International» и «The Water Project».
Хакерская группировка Darkside пожертвовала по 0,88 биткойнов (10 тыс. долларов) двум благотворительным организациям. Данные денежные средства были получены киберпреступниками в результате вымогательской деятельности. Получателями стали «Children International», некоммерческая организация, спонсирующая детей, живущих в условиях крайней нищеты, и «The Water Project», некоммерческая организация, направленная на обеспечение доступа к чистой и надежной воде во всех странах Африки к югу от Сахары.

«Мы считаем справедливым, что часть денег, которые они (жертвы) заплатили, пойдет на благотворительность. Независимо от того, как плохо вы относитесь к нашей деятельности, мы рады знать, что помогли изменить чью-то жизнь», - сообщила группировка в своем заявлении. После этого были опубликованы подтверждения пожертвований.

Жертвами Darkside являются исключительно крупные компании. Группировка специально выбирает свои цели так, чтобы после успешного шифрования запросить многомиллионный выкуп. Если жертвы отказываются платить, хакеры публикуют украденные данные на своем портале в даркнете.

Подробнее
Emotet притворяется сообщениями от Центра обновления Windows.
Emotet притворяется сообщениями от Центра обновления Windows.
Вредоносные вложения сообщают о необходимости обновления Microsoft Word.
Ботнет Emotet начал использовать новое вредоносное вложение, которое притворяется сообщением из Центра Обновления Windows, предлагающим обновить Microsoft Word. При открытии вложения в формате .doc пользователю будет предложено «включить содержимое», чтобы запустить вредоносные макросы, которые установят ПО Emotet на компьютер жертвы.

На текущий момент Emotet считается наиболее распространенной вредоносной программой. Она особенно опасна, поскольку устанавливает и другое зловредное ПО, например, Trickbot и QBot. Последние в состоянии и сами осуществлять кражу сохраненных паролей и банковской информации, однако зачастую они приводят к атакам вымогателей.

Вредоносная сеть Emotet вернулась к работе 14 октября после небольшого перерыва и начала распространять спам по всему миру. Эти сообщения обычно притворяются счетами-фактурами, информацией о доставке, новостями о COVID-19, информацией о здоровье президента Трампа, резюме или заказами на покупку. Вложения, распространяемые вместе с письмами, содержат вредоносные макросы, при включении которых происходит заражение Emotet.
Подробнее
Twitter был взломан за 24 часа.
Twitter был взломан за 24 часа.
В июле хакеры получили доступ к внутренним инструментам поддержки сервиса.
В США закончено расследование июльского взлома Twitter. Управление финансовых услуг штата Нью Йорк (New York Department of Financial Services) опубликовало соответствующий отчет. Согласно ему, на взлом сервиса злоумышленникам потребовалось 24 часа.

В ходе атаки киберпреступники связались с сотрудниками компании по телефону и обманом получили доступ к внутренним инструментам поддержки. Трое злоумышленников позвонили в компанию от лица IT-отдела и сообщили о проблемах с VPN. Они попросили своих жертв ввести учетные данные в форму на заранее подготовленной фишинговой странице. В последствии они использовали эти сведения для перемещения во внутренней сети и поиска сотрудников с более высокими правами. На следующий день у хакеров уже был весь необходимый доступ к инфраструктуре Twitter.

Они использовали его для изменения учетных данных интересующих их пользователей и захвата контроля над аккаунтами. Затем от лица ряда известных личностей, таких как Билл Гейтс, Илон Маск, Барак Обама, Канье Уэст, Ким Кардашян, компаний Apple и Uber, а также крупнейших криптовалютных бирж они просили прислать им небольшую денежную сумму в биткойнах, обещая ее удвоить. Всего злоумышленникам удалось украсть 118 тыс. долларов.
Подробнее
Ростех подтверждает рост количества фишинговых атак.
Ростех подтверждает рост количества фишинговых атак.
Российские оборонные предприятия подвергаются атакам северокорейских хакеров.
Промышленные и военные российские организации подверглись атакам северокорейской хакерской группировки Kimsuky. Киберпреступники используют тему пандемии COVID-19 в своих фишинговых рассылках. Основная их цель на первом этапе – кража учетных данных сотрудников указанных предприятий для дальнейшего продвижения в закрытых системах.

Представители Ростеха подтвердили рост количества фишинговых атак, однако отметили, что большинство из них подготовлены достаточно небрежно. Специалисты ИБ считают, что это можно объяснить подготовительной и разведывательной функцией текущих нападений. Ранее на одном из Telegram-каналов появлялась информация о том, что злоумышленникам все-таки удалось добиться успеха в атаках на Ростех, однако подтверждения этого от представителей корпорации не последовало.

Киберпреступники используют различные каналы для своих атак. Помимо непосредственных спам-рассылок они задействовали социальные сети и фейковые страницы авторизации. Кража учетных данных в конечном итоге может привести к хищению конфиденциальной информации оборонных предприятий.
Подробнее
В платформе Magento обнаружены девять уязвимостей.
В платформе Magento обнаружены девять уязвимостей.
Компания Adobe выпустила соответствующие патчи, исправляющие недочеты безопасности.
На платформах Magento Commerce и Magento Open Source, используемых для осуществления электронной коммерции, обнаружены девять уязвимостей, две из которых отмечены как критические. Компания Adobe выпустила соответствующие патчи, поэтому администраторам рекомендуется обновление до актуальных сборок.

Наиболее опасным считается баг CVE-2020-24407, который представляет собой уязвимость удаленного исполнения кода. Эксплуатация данной ошибки возможна благодаря внедрению в систему вредоносного файла в обход списка расширений, разрешенных к загрузке. Другая критическая ошибка представляет собой инъекцию SQL-кода. Из-за неправильной санации данных CVE-2020-24400 позволяет злоумышленнику читать, удалять или изменять данные, а также захватить контроль над приложением посредством вредоносного запроса. В обоих случаях киберпреступнику необходимо обладать правами администратора, однако предварительная аутентификация для эксплуатации уязвимостей не требуется.

Оставшиеся ошибки вызваны несовершенством процедуры проверки прав доступа. Так, злоумышленник может осуществить чтение и модификацию закрытых данных, например, список клиентов или страницы CMS. Ошибка CVE-2020-24408 позволяет провести XSS-атаку. Если пользователь перейдет по ссылке злоумышленника, то он может стать жертвой кражи персональных данных или даже загрузить вредоносный код на свое устройство.
Подробнее
91% российских компаний столкнулись с утечками данных в 2020 году.
91% российских компаний столкнулись с утечками данных в 2020 году.
В большинстве случаев причиной этого становятся сами сотрудники.
Журналисты издания Forbes при поддержке ИБ-специалистов провели собственное расследование на тему информационной безопасности. Согласно их данным, 91% российских компаний в первом полугодии 2020 года столкнулись с утечками клиентских баз, финансовой информации или персональных данных. Более того, в 60% случаев это является следствием умышленных действий сотрудников и в меньшей степени по невнимательности.

Обучение и повышение цифровой грамотности работников – это необходимое условие для обеспечения сохранности данных. Это и регулярное обновление антивирусных программ сводят случайные сливы к минимуму. Против инсайда же помогают стандартные технологии мониторинга – DLP и SIEM.

По данным Лаборатории Касперского, утечка данных в небольшой компании обычно стоит ей порядка 1,9 млн. рублей. Чаще всего пытаются украсть техническую и финансовую информацию. Персональные данные и юридические документы реже, однако в 6% случаев страдают именно они. USB-носители пока лидируют среди средств для кражи, однако облачные сервисы, электронная почта и мессенджеры продолжают набирать популярность.
Подробнее
В октябре выросло количество угроз DDoS-атак.
В октябре выросло количество угроз DDoS-атак.
Компании по всему миру получают письма с требованием денежных выплат.
Специалисты ИБ-фирмы Radware сообщают об увеличении количества угроз в адрес компаний по всему миру. Злоумышленники, выдающие себя за известные киберпреступные группы, такие как Fancy Bear и Lazarus, угрожают осуществить DDoS-атаки, если им в течение недели не будет выплачено 20 биткойнов, что составляет порядка 230 тыс. долларов.

Одной из таких компаний стала британская валютная фирма Travelex. Она отказалась заплатить злоумышленникам выкуп и через некоторое время на ее сети обрушилась мощная атака на настраиваемый порт из четырех IP-адресов, обслуживающих ее поддомены. Позже киберпреступники организовали новую атаку с применением техник усиления DNS, используя DNS-серверы Google.

В сентябре количество таких угроз начало снижаться, однако к началу октября снова выросло. Выбор того, за какую группировку себя выдавать, продиктован сферой деятельности компании. Так, финансовым учреждениям приходят вымогательские письма от лица Lazarus, потому что именно их киберпреступники обычно выбирают своими жертвами. Промышленным предприятиям угрозы поступают якобы от лица Fancy Bear. Каждый день неуплаты, по словам злоумышленников, будет стоить жертвам дополнительных 10 биткойнов.
Подробнее
Ubisoft и Crytek стали жертвой вымогателей.
Ubisoft и Crytek стали жертвой вымогателей.
Злоумышленники опубликовали на своей странице часть украденных данных.
Игровые компании Ubisoft и Crytek стали жертвой киберпреступной группировки Egregor. Злоумышленники опубликовали часть скомпрометированных данных на своей странице в даркнете и, в случае отказа заплатить выкуп, угрожают выложить в открытый доступ исходный код готовящейся к выходу игры Watch Dogs: Legion.

В случае с Crytek злоумышленникам удалось выкрасть файлы разработки Arena of Fate и Warface. На данный момент было опубликовано 300 Мб конфиденциальных данных.  

Исследователи безопасности в течение года сообщали о фишинговых кампаниях, направленных против Ubisoft. Судя по всему, одна из них все же увенчалась успехом. Компании не сделали официальных заявлений, однако киберпреступники сообщили, что ни одна из жертв пока с ними не связалась. Они угрожают продолжить публиковать данные, если компании не пойдут на диалог.
Подробнее
Очередная хакерская группировка начала использовать вымогательское ПО.
Очередная хакерская группировка начала использовать вымогательское ПО.
FIN11 занимаются кражей персональных данных и шифрованием организаций по всему миру.
Киберпреступная группа, атакующая компании в США и Европе, изменила свою тактику и начала использовать вымогательское ПО. Начиная с августа FIN11 нападает на предприятия в сфере обороны, энергетики, финансов, здравоохранения, фармацевтики, телекоммуникаций, технологий и транспорта с целью загрузки вымогателя Clop.

Основным способом заражения являются фишинговые письма. Киберпреступники используют вредоносные документы, замаскированные под счетов-фактуры или конфиденциальную информацию о бонусах компании. Вместе с ними на устройство жертв попадает загрузчик вредоносного ПО FRIENDSPEAK.

Шифрование систем – не единственный способ вымогательства, используемый FIN11. В одном из случаев группировка угрожала раскрыть украденные конфиденциальные данные. Группировка также не склонна покидать внутреннюю сеть компании-жертвы после совершения нападения. Исследователи сообщают, что FIN11 способна повторно скомпрометировать свою жертву даже после восстановления данных из резервных копий.
Подробнее
Qbot притворяется предупреждением от Windows Defender.
Qbot притворяется предупреждением от Windows Defender.
Новый шаблон должен побудить жертву включить вредоносный макрос в присланном файле.
Qbot (он же QakBot или QuakBot) – это вредоносная программа под Windows, которая крадет банковские учетные данные, сведения домена Windows и предоставляет удаленный доступ киберпреступникам, устанавливающим программы-вымогатели. Жертвы обычно заражаются Qbot через другую вредоносную инфекцию или через фишинговые кампании с использованием различных приманок. К этим спам-письмам прилагаются вредоносные Excel (.xls) вложения, при открытии которых пользователю будет предложено «включить содержимое», чтобы вредоносные макросы запускались для установки вредоносного ПО на компьютер жертвы.

С 25 августа Qbot переключился на новый шаблон, который притворяется предупреждением от антивируса Windows Defender, утверждая, что документ зашифрован. Для его расшифровки пользователи должны нажать на кнопку «включить редактирование» или «включить содержимое». После ее нажатия будут выполнены вредоносные макросы, которые загружают и устанавливают программу Emotet.

За последние пару месяцев Qbot получил более широкое распространение, ввиду сотрудничества с ботнетом Emotet. После заражения Qbot выполняет различные вредоносные действия, которые позволяют злоумышленникам получить доступ к банковским счетам и внутренней сети. После этого, киберпреступники нередко устанавливают программы-вымогатели, такие как ProLock, по всей системе.
Подробнее
С августа наблюдается всплеск активности ботнетов для майнинга.
С августа наблюдается всплеск активности ботнетов для майнинга.
Lemon Duck, например, использует 12 векторов для заражения устройств.
Исследователи ИБ-фирмы Cisco Talos сообщают об увеличении активности ботнетов для майнинга криптовалюты. Данные вредоносные сети обычно используют вычислительные мощности зараженных устройств в собственных целях, не осуществляя, например, кражи данных. В то же время, украденные вычислительные циклы и затраты на электроэнергию делают их в достаточной степени дорогостоящими для жертвы ботнета.

В частности, специалисты рассказали о деятельности Lemon Duck – активной с 2018 года вредоносной сети. Она использует как минимум 12 векторов для заражения своих целей. Сюда входит эксплуатация уязвимостей, перебор паролей для служб удаленного рабочего стола, формирование фишинговых писем с вредоносными вложениями и многое другое. Попадая на устройство, ботнет загружает скрипт PowerShell, который использует функцию «bpu» для отключения Защитника Windows в реальном времени и установки powershell.exe в список процессов, исключенных из сканирования.

Lemon Duck имеет модульную систему. Основной проверяет уровень привилегий пользователя и компоненты, имеющие отношение к майнингу. Другой отвечает за распространение внутри сети и отключение других обнаруженных ботнетов. Еще один используется для создания и распространения фишинговых писем на все электронные адреса, обнаруженные в адресной книге жертвы. В рассылке используется тема COVID-19 и эмоционально окрашенные заголовки.

Ранее в этом году вредоносная сеть была замечена в кампании, нацеленной «умные» устройства. Исследователи предупредили, что процессорно-интенсивные усилия по добыче криптовалюты сказываются на механизмах и вызывают сбои в работе оборудования, подвергают устройства проблемам с безопасностью, а также приводят к потере данных.
Подробнее
Количество хищений с банковских счетов выросло вдвое.
Количество хищений с банковских счетов выросло вдвое.
По данным генеральной прокураторы РФ, с января по август 2020 года выявлено 107,2 тыс. подобных инцидентов.
Существенный рост активности хакерских группировок в этом году отмечают исследователи безопасности. Количество случаев мошенничества, связанного с использованием электронных средств платежа, выросло в два раза по сравнению с прошлым годом. Генеральная прокуратура РФ сообщает, что с января по август 2020 года было зафиксировано 107,2 тыс. инцидентов, связанных с кражей денежных средств с банковских счетов.

Количество случаев мошенничества выросло во всех субъектах РФ. Чаще всего нападения происходят в Саратовской и Омской областях. Общая сумма нанесенного ущерба остается неизвестной. На преступления, совершенные с использованием информационно-телекоммуникационных технологий или в сфере компьютерной информации, приходится 25% от их общего числа.

В то же время, в Центробанке отметили, что результативность хакерских атак на банки не изменилась. Чаще всего поступают заявления о телефонных мошенниках, которые выдают себя за сотрудников финансовых учреждений. Число таких звонков выросло в четыре раза. Методики мошенников принципиально не изменились, однако добавились упоминания темы COVID-19. Главная опасность телефонного мошенничества заключается в том, что жертва сама сообщает преступникам необходимые данные. Это считается нарушением договора с банком, который в дальнейшем имеет право отказать в возврате денежных средств.
Подробнее
Лондонский совет подвергся кибератаке.
Лондонский совет подвергся кибератаке.
Некоторые службы могут быть недоступны или работать медленнее в ближайшее время.
Совет Хакни (Hackney Council) в Северном Лондоне сообщает о серьезной кибератаке, затронувшей многие его службы и ИТ-системы. В настоящее время ведомство тесно сотрудничает с Национальным центром кибербезопасности, внешними экспертами и Министерством жилищного строительства для расследования и понимания последствий инцидента. То, какую именно форму приняла кибератака и когда она произошла, остается неизвестным.

В данный момент основное внимание уделяется продолжению предоставления основных услуг жителям и защите данных при одновременном восстановлении пострадавших сведений и сервисов. Некоторые службы Совета могут быть недоступны или работать медленнее, чем обычно в ближайшее время. Например, у жителей возникают трудности с онлайн-доступом к коммунальным платежам.

Хакни – один из районов Лондона, расположенный в северо-восточной части города. Исторически сложилось, что «Ист Энд» (его неофициальное название) считается неблагополучным районом и у местных жителей ассоциируется с бедностью.
Подробнее
Покупка доступа к корпоративным сетям становится популярнее.
Покупка доступа к корпоративным сетям становится популярнее.
Вымогателям нет необходимости самостоятельно искать лазейку в безопасности жертвы.
Команда специалистов Accenture Cyber Threat Intelligence обнаружила 25 продавцов постоянного доступа к корпоративным сетям. К их услугам регулярно прибегают операторы вымогателей Maze, NetWalker, REvil и других. Благодаря этому, последним не требуется месяцами искать лазейки в безопасности своих жертв, а можно сразу приступать к непосредственному шифрованию.

Чтобы начать кибератаку, злоумышленникам необходимо найти точку входа в целевую сеть. На это может уходить по несколько месяцев. В даркнете начали приобретать популярность субъекты, которые помогают вымогателям сэкономить время. Они находят уязвимости, разрабатывают эксплойты, занимаются кражей учетных данных, а затем перепродают их операторам шифровальщиков. Предложения о продаже доступа в корпоративные сети варьируются от 300 до 10 000 долларов.

«Успешная атака программ-вымогателей зависит от разработки и поддержания стабильного доступа к сети, который сопряжен с более высоким риском обнаружения и требует времени и усилий. Продавцы доступа заполняют эту нишу рынка для групп программ-вымогателей», –рассказали эксперты Accenture.
Подробнее
Вымогатели потребовали выкуп в размере 23 млн. долларов.
Вымогатели потребовали выкуп в размере 23 млн. долларов.
Пострадавшая Software AG изначально отрицала утечку данных, однако позднее была вынуждена ее подтвердить.
Немецкая ИТ-компания и крупный разработчик ПО Software AG стала жертвой киберпреступников. Операторы вымогателя The Clop похитили у компании конфиденциальные данные, зашифровали системы и потребовали выкуп в размере 2083,0069 биткойнов, что составляет порядка 23 млн. долларов.

Изначально компания признала атаку, однако уведомила общественность, что данные их клиентов не пострадали. Судя по всему, Software AG отказалась вступать в переговоры с киберпреступниками, и в минувшие выходные они опубликовали на своем сайте скриншот с украденными данными. В руках злоумышленников оказались сканы удостоверений личности сотрудников, электронные письма, финансовые документы, а также ряд каталогов из внутренней сети. Компании пришлось признать факт утечки данных.

Требуемый злоумышленниками выкуп является одним из самых больших в истории. Использовав специальный ID, указанный преступниками, специалисты из MalwareHunterTeam вышли на онлайн-чат, в котором планировались переговоры. Просмотрев его логи, исследователи убедились, что Software AG не заплатила киберпреступникам.
Подробнее
Киберпреступники используют сразу две уязвимости для атак на частные и правительственные сети.
Киберпреступники используют сразу две уязвимости для атак на частные и правительственные сети.
Существует вероятность, что в результате атак могли пострадать данные, связанные с выборами в США.
Федеральное бюро расследований опубликовало предупреждение о хакерах, которые получили доступ к правительственным сетям, объединив эксплуатацию уязвимостей в VPN и Windows. Атаки были, в основном, нацелены на федеральные и государственные сети, однако были отмечены случаи нападения и на неправительственные ресурсы. CISA стало известно о некоторых случаях несанкционированного доступа к системам поддержки выборов в стране.

Согласно предупреждению, наблюдаемые атаки сочетали в себе два недостатка безопасности. CVE-2018-13379 – это уязвимость в VPN Fortinet FortiOS Secure Socket Layer (SSL), локальном VPN-сервере, предназначенном для использования в качестве безопасного шлюза доступа к корпоративным сетям из удаленных мест. Ошибка была раскрыта в прошлом году и позволяет злоумышленникам загружать вредоносные файлы на устаревшие системы и захватывать VPN-серверы Fortinet. Другая уязвимость – это CVE-2020-1472, также известная как Zerologon. Она представляет собой недочет в Netlogon, протоколе для аутентификации рабочих станций на сервере Windows, работающем в качестве контроллера домена. Уязвимость позволяет злоумышленникам завладеть контроллерами доменов, серверами пользователей, управлять целыми корпоративными сетями и похищать пароли для всех подключенных рабочих станций.

В совместном предупреждении не содержалось подробных сведений о нападавших, за исключением описания их как «продвинутых постоянных угроз» (APT). Этот термин часто используется экспертами по кибербезопасности для описания спонсируемых государством хакерских групп. Организациям как в частном, так и в государственном секторах рекомендуется обновить системы для исправления этих двух ошибок при помощи соответствующих патчей безопасности.
Подробнее
Рассказываем о наиболее популярных вредоносных вложениях под Windows.
Рассказываем о наиболее популярных вредоносных вложениях под Windows.
Как они попадают во внутреннюю систему и как от них защититься?
Вредоносные вложения используются киберпреступниками для распространения зловредного ПО. Чтобы не стать их жертвой, имеет смысл научиться распознавать такие вложения. Обычно в своих фишинговых и спам-компаниях злоумышленники маскируют их под счета, приглашения, платежную информацию, сведения о доставке и т.д.

В случае, когда в такие письма включены вредоносные вложения Word и Excel или ссылки на них, Office требует, чтобы вы нажали на кнопки «включить редактирование» или «включить содержимое», чтобы вредоносный макрос начал свою работу. Делать этого не рекомендуется ни в коем случае.

BazarLoader, Dridex, Emotet, QBot (QakBot) и большое количество исполняемых файлов (.vbs, .js, .exe, .ps1, .jar, .bat, .scr) будут различными способами убеждать пользователя включить макросы. Делается это при помощи различных шаблонов сообщений о том, что содержимое не может отображаться корректно, например, из-за разных версий программы. Поскольку большинство почтовых служб, включая Office и Gmail, блокируют исполняемые вложения, распространители вредоносных программ могут отправлять их в защищенные паролем архивы и включать пароль в электронную почту. Если пользователь получает электронное письмо, содержащее один из типов исполняемых файлов, оно почти несомненно является вредоносным и должно быть немедленно удалено. Заражение любым из упомянутых вредоносов означает кражу учетных данных и конфиденциальных сведений, доступ злоумышленников во внутреннюю сеть, а также вероятность более серьезных проблем с безопасностью в будущем.
Подробнее
На одну компанию в среднем приходится 17 скомпрометированных учетных записей.
На одну компанию в среднем приходится 17 скомпрометированных учетных записей.
По данным исследователей, с марта 2020 года их количество выросло на 429%.
Аналитики компании Arctic Wolf опубликовали отчет, согласно которому за последние полгода количество учетных данных, в том числе паролей, доступных для покупки в даркнете, выросло на 429%. Это означает, что на одну пострадавшую от утечки компанию в среднем приходится по 17 скомпрометированных записей.

Исследователи также отметили, что порядка 35% взломов происходит, когда на месте нет сотрудников безопасности: между 20:00 и 8:00. В 14% случаев инциденты с безопасностью происходят и вовсе в выходные дни.

Кража учетных данных позволяет киберпреступникам находиться во внутренней сети предприятия абсолютно легитимно с точки зрения автоматизированных систем безопасности. В этом случае злоумышленники получают доступ к конфиденциальной информации, равно как и возможность передвигаться в информационной инфраструктуре жертвы, захватывая новые устройства.
Подробнее
Выявлена новая кампания киберпреступников, нацеленная на промышленные предприятия.
Выявлена новая кампания киберпреступников, нацеленная на промышленные предприятия.
Набор MontysThree содержит четыре модуля и облачные сервисы для передачи данных злоумышленникам.
Специалисты Лаборатории Касперского выявили целевую кампанию группировки MontysThree, направленную на промышленные предприятия. Особое внимание исследователей привлек вредонос злоумышленников, который использует модульную систему, стенографию и облачные сервисы.

Заражение происходит при помощи целевых фишинговых писем, снабженных вредоносными вложениями. Обычно они замаскированы под техническую документацию, результаты медицинских анализов или списки контактов сотрудников. Специально созданный алгоритм расшифровывает вредоносный модуль из растрового изображения. Для связи с сервером преступников используется сразу несколько алгоритмов шифрования. Также один из модулей задействует панель быстрого запуска Windows таким образом, чтобы при ее использовании запускался и сам вредонос.

Целью злоумышленников являются файлы Microsoft Office и Adobe Acrobat. Более того, вредонос в состоянии делать скриншоты и оценивать то, какой интерес представляет жертва для преступников. Украденные данные вредонос передает при помощи облачных сервисов, таких как Google Drive и Dropbox.
Подробнее
Количество атак вымогателей на российские компании увеличилось на 57,9%.
Количество атак вымогателей на российские компании увеличилось на 57,9%.
Исследователи отмечают резкое увеличение нападений по сравнению с первым полугодием 2020 года.
Специалисты ИБ-фирмы Check Point Research информируют о резком увеличении количества атак вымогателей в последние месяцы. На фоне первой половины 2020 года такой прирост в среднем составил 50%.

Россия вошла в пятерку наиболее пострадавших стран. Российские компании в третьем квартале 2020 года стали страдать от атак с использованием вымогательского ПО на 57,9% чаще. В США этот показатель составил 98,1%. В этот же список вошли Индия, Турция
и Шри-Ланка.

Самыми популярными шифровальщиками признаны Maze, Ruyk и REvil (Sodinokibi). Еженедельно их операторы атакуют около 20 компаний. Своими целями злоумышленники выбирают организации в сфере здравоохранения, оптовой торговли и промышленности. Исследователи утверждают, что количество нападений продолжит расти. Во многом этому способствует тактика кражи конфиденциальных данных, которая предшествует непосредственному шифрованию. В случае, если компания-жертва откажется заплатить выкуп, злоумышленники все равно получат выгоду от продажи этих сведений в даркнете.
Подробнее
В Office 365 добавляется защита от «фишинга согласия».
В Office 365 добавляется защита от «фишинга согласия».
Этот тип атаки основывается на предоставлении вредоносным приложениям Office 365 OAuth разрешения на доступ к учетным записям.
Microsoft объявила, что защита от «фишинга согласия» теперь широко доступна в Office 365. Эти средства предназначены для противодействия фишинговым атакам, основанным на использовании OAuth-приложений. Средства повышения безопасности экосистемы приложений Office 365 включают в себя общую доступность проверки издателя, политик согласия самих приложений и обновление пользовательского согласия для непроверенных издателей.

Проверка издателя позволяет разработчикам добавить проверенное удостоверение к своим регистрациям приложений и продемонстрировать клиентам, что программа была получена из подлинного источника. Такие приложения, имеют синий значок «проверено» на всех запросах согласия Azure AD. Microsoft рекомендует использовать только проверенное ПО, чтобы снизить риск предоставления доступа злоумышленникам.

В июле компания предупредила клиентов об угрозах, связанных с использованием приложений Office 365 OAuth в фишинговых «атаках согласия». Конечная цель злоумышленников в таких случаях – завладеть учетными записями своих жертв и через вредоносные приложения совершать вызовы API от их имени. После компрометации учетной записи Office 365 злоумышленники получают доступ к почте, файлам, контактам, заметкам и профилям, а также к широкому спектру другой конфиденциальной информации и ресурсам, хранящимся в корпоративном облачном хранилище.
Подробнее
BAHAMUT – группировка, которую нанимают даже правительства.
BAHAMUT – группировка, которую нанимают даже правительства.
Исследователям удалось связать хакеров со многими нераскрытыми APT-инцидентами.
Специалисты BlackBerry обнаружили «сложную, невероятно хорошо обеспеченную группировку, которая участвовала во многих широкомасштабных шпионских и дезинформационных кампаниях». BAHAMUT была связана с нападениями против правительственных чиновников и высокопоставленных лиц частного сектора на Ближнем Востоке и в Южной Азии, а также участвовала в широкомасштабных кампаниях дезинформации. В то же время, специалисты отметили, что хакеры являются наемниками, которые продают свои услуги тому, кто больше заплатит, включая правительства. Исследователям удалось связать хакеров со многими нераскрытыми APT-инцидентами.

Группировка использует вредоносные программы в качестве последнего средства. Киберпреступники очень искусны в фишинге, проявляют исключительное внимание к деталям и очень терпеливы. Известно, что они следят за своими целями в некоторых случаях год или больше. Исследователи обнаружили, что BAHAMUT работает с множеством поддельных новостных поводов: от отдельных персонажей социальных сетей и заканчивая целыми новостными сайтами, созданными в целях дезинформации.

По словам исследователей, недавно группировка серьезно взялась за мобильные устройства. Отчет раскрыл девять вредоносных приложений iOS, которые были доступны в Apple App Store, и целый ассортимент приложений Android. Приложения были дополнены хорошо продуманными веб-сайтами, политикой конфиденциальности и письменными условиями предоставления услуг. Все это помогло им обойти средства защиты, установленными Google и Apple.
Подробнее
Китайские хакеры подозреваются в шпионаже против России и Казахстана.
Китайские хакеры подозреваются в шпионаже против России и Казахстана.
Правительство США следит за деятельностью иностранных киберпреступников, чтобы, в первую очередь, обезопасить американские компании.
Хакеры, связанные с китайским правительством, подозреваются в осуществлении продолжающейся глобальной кампании кибершпионажа, которую активно отслеживают американские официальные лица. Представитель Пентагона сообщил изданию CyberScoop, что атаки нацелены на организации в России, Украине, Индии, Казахстане, Кыргызстане и Малайзии.

Вредоносное программное обеспечение, используемое в кампании, окрестили «SlothfulMedia». Частные ИБ-фирмы также недавно сообщали, что отслеживают деятельность киберпреступников, использующих схожие инструменты. В частности, компания ESET сообщала о деятельности хакерской группы, получившей название PowerPool. Она имеет тенденцию ориентироваться на государственные структуры и университеты в России, Украине и Монголии, хотя в последнее время группа ограничила свое внимание российскими целями. Группа IAmTheKing, которую отслеживают специалисты Лаборатории Касперского также разделяет некоторые тактики, методы и процедуры со SlothfulMedia. Однако ни одна из фирм не приписывает данные кампании конкретному иностранному правительству.

Подозреваемые китайские хакеры настолько слабы в своем программировании, что американские военные основали название вредоносного ПО на этой черте. Термин «slothful» в отношении вредоносного ПО предполагает, что инструмент использует несколько ленивый бит программирования. После раскрытия правительством США информации о данном семействе вредоносов, антивирусные программы будут их блокировать, что может привести к изменению тактики киберпреступников и усложнению их ПО.
Подробнее
Служба регистрации ошибок Windows используется киберпреступниками.
Служба регистрации ошибок Windows используется киберпреступниками.
WER помогает вредоносу оставаться незамеченным в рамках бесфайловых атак.
Неизвестные злоумышленники 17 сентября осуществили бесфайловую кибератаку с использованием Службы регистрации ошибок Windows. По словам исследователей из Malwarebytes, такой метод позволяет нападению происходить незаметно и бесследно.

Инцидент начался с фишингового письма, содержащего вредоносный документ в
ZIP-архиве. После его открытия полезная нагрузка .NET загружается напрямую в память устройства. Делается это в результате выполнения shell-кода с помощью вредоносного макроса CactusTorch VBA. Затем вредоносный код, не оставляя следов, внедряется в WerFault.exe. На этом этапе он дополнительно убеждается, что никем не изучается и работает не на виртуальной машине, созданной для исследований. Расшифровка финального shell-кода приводит к загрузке полезной нагрузки со скомпрометированного злоумышленниками сайта.

Исследователям не удалось доподлинно установить организатора кибератаки. На основе индикаторов компрометации специалисты Malwarebytes пришли к выводу, что это может быть вьетнамская группировка OceanLotus, также известная как APT32.
Подробнее
Ботнет HEH заражает незащищенные IoT-устройства.
Ботнет HEH заражает незащищенные IoT-устройства.
Одна из его функций приводит к полному стиранию данных и выводу из строя «умных» гаджетов.
Исследователи Netlab сообщили о появлении нового ботнета, получившего название HEH. Он заражает устройства, которые подключены к интернету и имеют открытые SHH-порты. От него может пострадать большое количество устройств, включая маршрутизаторы, серверы и «умные» гаджеты.

Распространяется ботнет при помощи брутфорс-атак. Вредоносная сеть при помощи перебора заводских или ненадежных учетных данных заражает устройство, на которое загружает один из семи двоичных файлов. В дальнейшем такой гаджет будет использоваться для расширения ботнета и поиска новых уязвимых систем.

Расширение – это одна из двух функций вредоноса. Вторая заключается в запуске списка shell-команд. На данный момент это приводит к полному уничтожению данных на зараженном устройстве. Исследователи сомневаются было ли это изначальной целью создателей или является неправильным выполнением функции самоуничтожения HEH. Как бы то ни было, для пользователя, чье устройство пострадало от действий ботнета, это будет означать полный вывод зараженной техники из строя.
Подробнее
Компания лишилась 15 млн. долларов по вине хакеров.
Компания лишилась 15 млн. долларов по вине хакеров.
Злоумышленники влезли в электронную переписку о переводе денежных средств и заменили платежные счета.
Неназваная американская компания стала жертвой хакеров. В течение двух месяцев они собирали конфиденциальную информацию о жертве благодаря украденным учетным данным электронной почты, а в нужный момент влезли в переговоры о переводе денежных средств и подменили реквизиты платежа. В результате этого компания-жертва
лишилась 15 млн. долларов.

Для обеспечения постоянного доступа к внутренней переписки компании, злоумышленники настроили переадресацию всех входящих писем. Также, с помощью сервиса электронной почты Microsoft Office 365, они подделали доменные адреса сторон, участвующих в переговорах. Когда дело дошло до обсуждения денежного перевода, киберпреступники вступили в переписку от лица одной из сторон, а настоящие письма направили в скрытую папку. Таким образом, пострадавшая сторона долгое время не знала о краже, а у хакеров было время, чтобы перевести деньги на зарубежные счета и запутать след.

Специалисты компании Mitiga, которые занимались расследованием инцидента, не обнаружили следов какого-либо вредоносного ПО. В то же время они установили, что от действий данной группировки пострадали десятки фирм в различных секторах.
Подробнее
Киберпреступники разработали вредонос для заражения UEFI.
Киберпреступники разработали вредонос для заражения UEFI.
В случае успеха такой атаки не поможет ни переустановка ОС, ни замена жесткого диска.
Хакеры разработали и успешно опробовали в нескольких атаках буткит, созданный для заражения UEFI – интерфейса между операционной системой и оборудованием устройства. В случае успеха такой атаки не поможет ни переустановка ОС, ни замена жесткого диска.

Основная опасность этого метода кроется в глубоком проникновении вредоноса. Он позволяет злоумышленникам полностью контролировать устройство: модифицировать память, изменять содержание диска или запускать произвольные файлы.

Специалисты Лаборатории Касперского сообщают о двух известных на данных момент жертвах такой атаки. Несколько дипломатов и членов НКО столкнулись с целевыми фишинговыми кампаниями. Киберпреступники используют MosaicRegressor – сложную модульную структуру, в состав которой и входит буткит. В его основе лежит код Vector-EDK, разработанный группировкой Hacking Team.

Подробнее
Уязвимость в Windows активно эксплуатируется иранскими хакерами.
Уязвимость в Windows активно эксплуатируется иранскими хакерами.
ZeroLogon позволяет злоумышленнику захватить контроль над доменом, менять пароли пользователей и выполнять произвольные команды.
Microsoft Threat Intelligence Center опубликовал предупреждение об активной эксплуатации хакерами уязвимости ZeroLogon (CVE-2020-1472) в последние две недели. Иранская группировка MuddyWater использует ошибку в механизме аутентификации Netlogon для атак на крупные компании в странах Азии и Среднего Востока. Благодаря уязвимости киберпреступники могут, например, захватить контроль над целевым доменом, менять пароли пользователей и выполнять произвольные команды.

Компания Microsoft ранее публиковала предупреждение об ошибке и необходимости установки соответствующих патчей. Исправление ZeroLogon происходит в два этапа, чтобы избежать проблем с аутентификацией легитимных пользователей. Первый этап блокирует контроллеру домена Active Directory возможность использовать незащищенные RPC-соединения. Второй вводит принудительный режим, требующий от всех сетевых устройств использовать безопасные каналы RPC.

MuddyWater (MERCURY) – это финансируемая иранским правительством хакерская группировка. Она активна, как минимум, с 2017 года. Ее жертвами становятся телекоммуникационные, нефтяные и IT компании.

Подробнее
Персональные данные половины трудоспособных граждан Тайваня украдены хакерами.
Персональные данные половины трудоспособных граждан Тайваня украдены хакерами.
В даркнете продаются имена, даты рождения, адреса и номера телефонов порядка 6 млн. человек.
В сети обнаружено предложение о продаже персональных данных 5 924 397 трудоспособных жителей острова Тайвань в возрасте от 20 до 58 лет. Это составляет половину от их общего числа. Злоумышленники разделили данные на 35 наборов, стоимость каждого из которых варьируется между 500 и 1000 долларов. Считается, что за нападение ответственны хакеры из Китая.

Среди украденных сведений числятся имена, даты рождения, домашние и электронные адреса, идентификационные номера заявителей, а также номера мобильных телефонов. Популярная компания по трудоустройству, которая и стала жертвой взлома, уведомила об инциденте Министерство труда Тайбэя, а также отметила, что украденные данные были актуальны в 2013 году.

Популярный тайваньский форум PPT сообщает, что еще одна компания по трудоустройству также стала жертвой киберпреступников. В этом случае им удалось украсть сведения 3,92 млн. жителей. Хотя эти данные также были признаны устаревшими, онлайн-банк вакансий сформировал фонд объемом 200 млн. юаней для выплат пострадавшим.
Подробнее
Создана программа для противодействия вредоносам-шифровальщикам.
Создана программа для противодействия вредоносам-шифровальщикам.
Raccine отслеживает попытки удаления резервных копий и завершает вызывающие их процессы.
Исследователь безопасности Флориан Рот (Florian Roth) на прошедших выходных опубликовал программу для противодействия вредоносам-шифровальщикам. Ее идея заключается в том, чтобы не дать киберпреступникам удалить резервные копии Windows, из которых потом возможно восстановить систему в случае успешной атаки вымогателей.

Удаление резервных копий – это первое, с чего обычно начинают свои атаки операторы шифровальщиков. У жертвы не должно быть иного выхода кроме как заплатить выкуп. Одним из - способов является выполнение команды vssadmin.exe – delete. Логика программы исследователя достаточно проста: она перехватывает подобные запросы, отменяет их и завершает процессы, которые их вызвали. В таком случае, даже если файлы жертвы оказались зашифрованы, восстановить их остается возможным из резервной копии.

Однако программа, получившая название «Raccine» - не панацея от всех вымогателей. Этот метод предотвращает шифрование большим количеством программ, но некоторые современные их семейства удаляют теневые тома с помощью других команд. В этом случае, разработка исследователя не поможет. Поддержка других команд может быть добавлена в будущем.

Следует также отметить, что Raccine может прекратить работу законного программного обеспечения, использующего vssadmin.exe как часть их процедур резервного копирования. Рот планирует добавить возможность разрешить некоторым программам обходить Raccine в будущем, чтобы они не были ошибочно остановлены.
Подробнее
Группировка XDSpy 9 лет шпионит за государственными органами восточноевропейских стран.
Группировка XDSpy 9 лет шпионит за государственными органами восточноевропейских стран.
За это время их жертвами становились различные министерства, ведомства и даже частные компании.
Исследователи ESET поделились с общественностью информацией о деятельности хакерской группировки XDSpy. Киберпреступники с 2011 года заражают внутренние сети государственных органов в странах Восточной Европы и Балканского полуострова. Для заражения злоумышленники используют фишинговые письма, содержащие вредоносные файлы или ссылки скомпрометированные ресурсы.

Киберпреступники используют целый набор программ. XDDown является загрузчиком и подгружает дополнительные модули. XDRecon собирает информацию об устройстве. XDList и XDMonitor занимаются поиском документов, которые могут представлять ценность для злоумышленников. XDUpload выгружает список файлов, расположенных на целевом устройстве.

Интересно, что за 9 лет своей деятельности группировка фактически оставалась незамеченной. За это время ее жертвами становились различные министерства, ведомства и даже частные компании. Только в феврале 2020 года белорусский CERT сообщил об атаках, которые затронули несколько министерств, ряд силовых структур, а также физических лиц.
Подробнее
Вредонос SlothfulMedia атакует компании в России.
Вредонос SlothfulMedia атакует компании в России.
Он используется для кражи данных, изменения файлов и кейлоггинга.
Министерство обороны США совместно с министерством внутренней безопасности США сообщили о новой вредоносной программе, используемой в атаках на компании в России, Украине, Индии, Казахстане, Кыргызстане и Малайзии. SlothfulMedia в состоянии осуществлять кражу данных, кейлоггинг, а также изменять файлы.

Программа загружает два файла. Первый – троян удаленного доступа «mediaplayer.exe». С его помощью злоумышленники способны делать снимки экрана, изменять файлы на системах, завершать процессы и выполнять произвольные команды. Вредонос взаимодействует с командным сервером злоумышленников с помощью HTTP-over-TCP. Второй файл удаляет сам загрузчик. SlothfulMedia создает службу с именем Task Frame, которая обеспечивает вредоносу постоянство в системе.

Специалисты ведомства загрузили образец SlothfulMedia на VirusTotal. В то же время, конкретные жертвы трояна, а также ответственные за него киберпреступники названы не были. Сообщается лишь, что благодаря вредонос уже позволяет злоумышленникам осуществлять успешные атаки в названных странах.
Подробнее
Популярные инструменты удаленного обслуживания промышленного оборудования могут быть взломаны.
Популярные инструменты удаленного обслуживания промышленного оборудования могут быть взломаны.
Кибератака может привести к сбою производственных процессов и краже конфиденциальных данных.
SiteManager, GateManager и mbCONNECT24 – популярные промышленные системы удаленного доступа, задействованные в энергетической, нефтегазовой и металлургической отраслях, содержат критические уязвимости. Их эксплуатация позволяет киберпреступникам получать доступ к корпоративным сетям предприятий, украсть конфиденциальные данные и даже остановить производственные процессы. О находке сообщили специалисты кибербезопасности из компании OTORIO.

В случае с SiteManager и GateManager исследователи обнаружили шесть уязвимостей. Сами эти системы могут быть перезагружены хакером, что приведет к сбою производства. Общая лицензия позволяет получать конфиденциальные данные и информацию о производственных процессах пользователей даже из других организаций. Все версии SiteManager до 9.2.620236042, GateManager 4260 и 9250 до 9.0.20262, а также GateManager 8250 до 9.2.620236042 могут быть взломаны.

Специально сформированные ссылки и устаревшие сторонние библиотеки позволяют киберпреступникам во всех версиях mymbCONNECT24 и mbCONNECT24 до 2.6.1 выполнять произвольный код. На данный момент, это самая опасная из обнаруженных уязвимостей по шкале CVSS. С помощью трех обнаруженных ошибок злоумышленники также могут получить доступ к конфиденциальной информации и украсть данные сеансов других пользователей.
Подробнее
Пользователи Microsoft Office 365 столкнулись с новыми фишинговыми атаками.
Пользователи Microsoft Office 365 столкнулись с новыми фишинговыми атаками.
Использование нескольких CAPTCHA позволяет вредоносным страницам избежать обнаружения и казаться законными.
CAPTCHA – это тип теста, используемого для определения того, является ли пользователь человеком. Чаще всего от пользователя требуется ввести набор символов или выбрать части сетки, на которых изображен определенный объект. Специалисты из Menlo Security сообщают, что зафиксировали использование таких тестов в недавней фишинговой компании против пользователей Microsoft Office 365.

По словам исследователей, такая тактика выполняет сразу две цели. Во-первых, пользователь начинает воспринимать фишинговый сайт как законный. Дело в предубеждениях о том, что подобные проверки используются только на официальных страницах. Во-вторых, такая стратегия позволяет обходить автоматизированные системы защиты, которые пытаются идентифициовать фишинговые атаки.

В первой проверке злоумышленники просят поставить галочку в графе «Я не робот». Вторая CAPTCHA требует, чтобы пользователь выбрал, например, все изображения в сетке, которые соответствуют велосипедам. Третья просит их идентифицировать, к примеру, все фотографии, которые соответствуют пешеходному переходу. Исследователи заявили, что во время своего исследования они столкнулись по крайней мере с четырьмя различными используемыми изображениями. После прохождения всех этих проверок цель попадает на фишинговый сайт, который имитирует страницу входа в систему Office 365. Введенные на ней учетные данные попадают в руки киберпреступников.
Подробнее
Вымогатели используют DDoS-атаки для дополнительного давления на жертву.
Вымогатели используют DDoS-атаки для дополнительного давления на жертву.
Пострадавшие компании фактически лишаются возможности оказывать услуги.
Специалисты MalwareHunterTeam сообщают о внедрении операторами вымогателей новой тактики. Теперь для оказания дополнительного давления на свою жертву злоумышленники используют DDoS-атаки.

Такая методика была использована в недавней вредоносной кампании шифровальщика SunCrypt. В своем сообщении киберпреступники прямо заявили жертве, что ее веб-ресурсы будут выведены из строя пока не начнутся переговоры.

Для компании-жертвы одновременное шифрование внутренних систем и DDoS означают полное прекращение деятельности. Организация попросту не может оказывать услуги при помощи своих официальных ресурсов до тех пор, пока не пойдет навстречу вымогателям.

Подробнее
Российские государственные структуры в подавляющем большинстве имеют серьезные проблемы с безопасностью.
Российские государственные структуры в подавляющем большинстве имеют серьезные проблемы с безопасностью.
Пилотное подключение к сервисам Solar JSOC выявило ряд серьезных уязвимостей.
Представители «Ростелеком-Солар» поделились результатами анализа ИТ-инфраструктур в государственных учреждениях. Подавляющее большинство из них имеют серьезные проблемы с безопасностью.

Основную опасность представляют изолированные системы, обновлять которые необходимо вручную. Как сообщили специалисты, в 96% случаев это не делается вовсе. Подобные изъяны ставят под угрозу безопасность выполнения протоколов RDP и SMB.

Государственные структуры в 70% случаев не пользуются базовыми средствами защиты электронной почты, что оставляет их практически беззащитными перед фишинговыми атаками. Такое же количество учреждений использует уязвимые веб-приложения. В некоторых случаях исследователи обнаружили устаревшие протоколы шифрования данных. В целом же специалисты отметили достаточно низкую степень информационной защиты и высокий риск заражения вредоносным ПО в случае реальной атаки.

Подробнее
Обнаружен новый вредоносный RTF-файл на русском языке.
Обнаружен новый вредоносный RTF-файл на русском языке.
Он позволяет злоумышленникам выполнять на устройстве произвольные команды: от загрузки вредоносного ПО до кражи конфиденциальных данных.
Обнаруженный в сентябре командой ClearSky вредоносный RTF-файл позволяет киберпреступникам выполнять произвольные команды на зараженном устройстве. В рассмотренном случае, текстовый файл эксплуатирует уязвимость в Internet Explorer (CVE-2020-0968). Интересно, что название и содержимое документа написаны на русском языке.

Обычный на первый взгляд документ загружает эксплойт для популярной в последнее время уязвимости. Для скачивания и выполнения HTM-файла злоумышленники использовали URL Moniker. Он позволяет открыть Internet Explorer в фоновом режиме и загрузить дополнительную полезную нагрузку.

Загружаемый «a1a.dll.» требует дополнительной расшифровки после попадания в систему, с чем успешно справляется ShellCode. Как сообщают исследователи, после соединения с командным сервером киберпреступников, в принципе, может выполняться любая произвольная команда.
Подробнее
SSL-сертификат не является гарантом безопасности веб-страницы.
SSL-сертификат не является гарантом безопасности веб-страницы.
Во втором квартале 2020 года 80% фишинговых сайтов использовали криптографический протокол.
Рабочая группа по борьбе с фишингом (Anti-Phishing Working Group) опубликовала результаты исследования, согласно которым 80% фишинговых интернет-страниц, выявленных во втором квартале 2020 года, использовали SSL-сертификаты. Обычно его наличие означает, что сайт надежно зашифрован, а данные пользователя находятся в безопасности, однако на практике выясняется, что это не всегда так.

Сейчас популярные браузеры предупреждают пользователя о попытке перехода на страницу без SSL-сертификата. К таким сайтам необходимо относиться с осторожностью и, по возможности, вообще их не посещать. Иконка замка в адресной строке для среднестатистического пользователя является гарантом безопасности веб-страницы, на которой можно безопасно использовать свои личные и финансовые данные.

Киберпреступники осознали проблему и стали чаще использовать сертификаты на своих страницах. Например, SSL-сертификат с проверкой домена можно получить абсолютно бесплатно в сервисе Let’s Encrypt. Исследователи также обнаружили, что фишинговые страницы стали использовать более надежные EV-сертификаты, которые к тому же сложнее получить. Пользователям рекомендуется внимательно относиться даже к защищенным сайтам, ведь сам процесс регистрации доменов оставляет киберпреступникам возможности для осуществления мошеннических действий.
Подробнее
Государственная платформа для отслеживания фишинговых сайтов будет создана в РФ.
Государственная платформа для отслеживания фишинговых сайтов будет создана в РФ.
По задумке создателей, она сможет также вычислять источники утечки данных и искать киберпреступников.
Обновленная версия федерального проекта «Информационная безопасность» предполагает создание в России специализированной платформы мониторинга фишинговых сайтов и утечек персональных данных. Данный ресурс должен быть запущен уже в 2021 году, а на его поддержку до 2024 года планируют потратить 1,4 млрд. рублей.

Предполагается, что платформа будет в состоянии сама вычислить источник утечки данных и обнаружить киберпреступников. Скомпрометированные сведения будут объединяться в общую базу данных, а страницы, которые их используют, должны автоматически блокироваться. Также в планах создателей использовать свою разработку для дополнительного контроля учетных записей Единой системы идентификации и аутентификации. Дополнительно в 2021 году планируется ввести в эксплуатацию «антивирусный мультисканер» для проверки файлов.

Специалисты ИБ скептически относятся к данной инициативе. Единая система по обработке всех утечек данных и запросов граждан потребует огромных ресурсов. Ежегодный рост количества инцидентов, связанных с сохранностью данных, может привести к тому, что срок обработки запросов такой системой будет составлять не один месяц.
Подробнее
Курсы для киберперступников предлагают в даркнете.
Курсы для киберперступников предлагают в даркнете.
HackTown обещает обеспечить человека профессиональными навыками для взлома как отдельной личности, так и целой компании.
В даркнете обнаружена площадка HackTown, которая предлагает начинающим хакерам профессиональные курсы. Подобные занятия должны обеспечить заинтересованных людей навыками для проведения мошеннических операций, которые позволят таким образом зарабатывать себе на жизнь.

Курсы предназначены для людей с минимальными познаниями в области написания кода или вообще без таковых. Создатели площадки утверждают, что после прохождения обучения «выпускник» будет в состоянии взломать отдельного человека или целую организацию.

Некоторые из занятий являются бесплатными. В их число, например, входят кардинг, взлом Wi-Fi и сетевые атаки. Доступ к полной программе обойдется начинающему киберпреступнику в 125 долларов.
Подробнее
Фишинг и вымогательское ПО стали главными угрозами кибербезопасности за последние два года.
Фишинг и вымогательское ПО стали главными угрозами кибербезопасности за последние два года.
В Microsoft заявили, что в некоторых случаях на полное шифрование корпоративных сетей хакерам требовалось менее 45 минут.
Отчет «Microsoft Digital Defense» проливает свет на основные угрозы информационной безопасности, с которыми столкнулись специалисты компании за последние два года. Топ составили фишинговые атаки и вымогательское ПО. В последние месяцы стали популярны атаки на цепочки поставок, когда хакеры взламывают лишь одну цель, а затем используют собственную инфраструктуру жертвы для нападения на всю сеть и партнеров.

В 2019 году Microsoft удалось заблокировать 13 млрд. вредоносных электронных писем. Чаще всего в фишинговых рассылках киберпреступники выдают себя за поставщиков программного обеспечения. Больше всего поддельные письма эксплуатировали такие бренды как Microsoft, UPS, Amazon, Apple и Zoom. В отчете также отмечается, что тема пандемии COVID-19 хоть и использовалась в фишинговых атаках, однако на общем фоне 2020 года она сыграла минимальную роль.

Вымогательское ПО же представляет наибольшую угрозу для компаний, считают в Microsoft. Крупные корпорации и правительственные учреждения продолжают терпеть многомиллионные убытки по вине киберпреступников. Для первоначального заражения целевых сетей используются те же фишинговые письма, бэкдоры, предоставленные вымогателям другими хакерами, а также массовое сканирование интернета на предмет недавно обнаруженных уязвимостей. В Microsoft заявили, что в некоторых случаях на полное шифрование корпоративных сетей хакерам требовалось менее 45 минут.
Подробнее
Swatch Group атакована киберпреступниками.
Swatch Group атакована киберпреступниками.
Швейцарская часовая компания была вынуждена отключить свои ИТ-системы.
В минувшие выходные швейцарская часовая компания Swatch Group отключила свои ИТ-системы после выявления кибератаки. Отключение было предпринято для противодействия распространения нападения во внутренней сети.

Согласно заявлению компании, она немедленно оценила и проанализировала характер атаки, приняла соответствующие меры и осуществила необходимые исправления. Полноценная работа ИТ-систем будет восстановлена в ближайшее время. В дальнейшем Swatch Group планирует подать уголовную жалобу против киберпреступников. Подробности атаки в заявлении раскрыты не были, однако портал BleepingComputer предположил, что организация стала жертвой атаки вымогателей.

Swatch Group – это крупнейший в мире производитель часов. Доход швейцарской компании в 2019 году составил 9,6 млрд. долларов.

Подробнее
Каждый пятый сотрудник на удаленке скачивает конфиденциальные данные на личное устройство.
Каждый пятый сотрудник на удаленке скачивает конфиденциальные данные на личное устройство.
К халатному отношению с данными чаще склонны сотрудники в возрасте до 24 лет.
Страховая компания Protect Your Bubble опубликовала сведения, согласно которым 20% сотрудников во время удаленной работы скачивают коммерческую информацию на свои личные устройства. Осложняется ситуация тем, что 40% из них даже не оснащены паролем или последней версией антивируса.

Чаще других от этого страдают сферы HR, ИТ и телеком, здравоохранение и финансы. Именно они в период пандемии стали основной целью киберпреступников и столкнулись с наибольшим количеством инцидентов с утечкой информации.

Страховая фирма также отметила, что к халатному отношению с данными чаще склонны сотрудники в возрасте до 24 лет. Почти треть из них призналась в загрузке конфиденциальных данных на личные устройства.

Подробнее
Данные сотен тысяч посетителей тренажерных залов обнаружены в открытом доступе.
Данные сотен тысяч посетителей тренажерных залов обнаружены в открытом доступе.
Ознакомиться с незащищенными сведениями мог любой желающий на протяжении года.
Исследователь безопасности Боб Дьяченко сообщил о нахождении в открытом доступе сведений сотен тысяч клиентов спортивных клубов Christi’s Fitness, принадлежащих компании Town Sports International. Незащищенный сервер содержал почти терабайт данных в формате электронных таблиц.

Любой желающий без пароля мог узнать имена, почтовые и электронные адреса, а также номера телефонов клиентов тренажерных залов. В некоторых случаях были обнаружены записи финансового характера и претензионные записи. В марте этого года компания сообщала о 588 тыс. клиентов, регулярно посещающих ее сеть спортивных клубов.

Информация находилась в открытом доступе почти год. После обращения Дьяченко Town Sports закрыла доступ к серверу. В сентябре компания подала заявление о банкротстве. Из-за пандемии COVID-19 ей пришлось закрыть все свои 185 тренажерных залов.
Подробнее
На официальных сайтах ВОЗ и ЮНЕСКО обнаружен вредоносный файл.
На официальных сайтах ВОЗ и ЮНЕСКО обнаружен вредоносный файл.
Загружен PDF-документ был непосредственно хакером, что свидетельствует о серьезной уязвимости.
Специализированный ресурс Cyberwarzone.com опубликовал сообщение о взломе официальных интернет-страниц Всемирной организации здравоохранения, ЮНЕСКО, Технологического института Джорджии, а также кубинского государственного веб-ресурса. В результате инцидента злоумышленнику удалось загрузить на них PDF-файл.

Ответственным за атаку называется хакер под ником «m1gh7yh4ck3r». Специалисты безопасности отметили, что вектор нападения не представляет серьезной опасности. В то же время, одно из антивирусных решений на VirusTotal распознало в загруженном документе троян.

Эксперты отмечают, что в случае если уязвимостью воспользуются более опытные киберпреступники, это может привести к серьезным последствиям. Администраторы пострадавших ресурсов поспешили удалить потенциально вредоносный документ.

Подробнее
Медицинские учреждения Universal Health Services подверглись атаке шифровальщика.
Медицинские учреждения Universal Health Services подверглись атаке шифровальщика.
Без доступа к компьютерам и телефонам больницы не смогли принимать пациентов.
Universal Health Services – одна из крупнейших частных американских компаний. Она управляет более 400 медучреждениями в США и Великобритании. В минувшие выходные ее компьютерные системы подверглись атаке хакеров.

Инцидент привел к тому, что больницы нескольких штатов остались без компьютерной и телефонной связи. Медучреждения не могли принимать пациентов, в том числе требующих срочной медицинской помощи. Напомним, что ранее в сентябре из-за похожего случая в Германии скончалась женщина, которую не смогли принять в ближайшей больнице.

Руководство UHS подтвердило факт кибератаки. Компания не стала раскрывать характер нападения, однако ее сотрудники обратили внимание на расширение .ryk, добавленное