Специалисты Check Point Research приоткрыли завесу над текущей кибермошеннической операцией, проводимой палестинскими и египетскими хакерами. В ходе операции за 12 месяцев злоумышленники скомпрометировали VoIP-серверы более 1,2 тыс. организаций в 60 странах мира. Хакеры атаковали Sangoma PBX – пользовательский интерфейс с открытым исходным кодом для управления системами VoIP-телефонии Asterisk, в частности серверами Session Initiation Protocol (SIP).
https://www.securitylab.ru/news/513801.php
https://www.securitylab.ru/news/513801.php
t.me
Хакеры взломали VoIP-серверы 1,2 тыс. организаций для мошенничества с премиум-номерами
Поскольку осуществление звонков является легитимной функцией, определить, что сервер находится под контролем хакеров, очень сложно.
Согласно отчету криптоаналитической компании CipherTrace от 3 ноября, недавнее движение, связанное с двумя транзакциями на сумму до 69 370 биткойнов (BTC) - или более 960 миллионов долларов на момент публикации, - возникло с адреса, связанного с торговой площадкой Silk Road. Пользователь криптовалюты сначала отправил 1 BTC - вероятно, в качестве тестовой транзакции - прежде чем переместить большую часть монет.
https://www.securitylab.ru/news/513804.php
https://www.securitylab.ru/news/513804.php
t.me
Неизвестные перевели рекордную сумму с криптокошелька Silk Road.
Зафиксирована транзакция с биткоинами на сумму $1 млрд
Включить или отключить режим исчезающих сообщений может любой участник индивидуального чата. При этом в групповых это может сделать администратор. Для пользователей WhatsApp в мире эта функция станет доступна в течение ноября.
https://www.securitylab.ru/news/513805.php
https://www.securitylab.ru/news/513805.php
t.me
WhatsApp внедрил функцию исчезающих сообщений
Данная опция способна автоматически удалять переписку спустя семь дней.
Forwarded from Анонсы лучших ИБ мероприятий
10 ноября в 16.00 пройдет вебинар «Контейнеры vs Compliance. Или как выполнить требования ГОСТ Р 57580.1-2017 для сред контейнеризации».
На онлайн-мероприятии эксперты «Инфосистемы Джет» рассмотрят терминологию сред контейнеризации и проанализируют группы регуляторных требований для оценки применимости к контейнерным средам, а именно:
📍 регистрации событий
📍 контролю доступа
📍 сегментированию сети
📍 контролю целостности
📍 управлению уязвимостями
Вы узнаете про возможные варианты реализации регуляторных требований с использованием механизмов, доступных в контейнерных средах с учетом ограничений, которые они накладывают. А в завершении онлайн-мероприятия вас ждут примеры ответов ЦБ РФ на вопрос «является ли контейнер виртуальной машиной?»
Будет полезно организациям, для которых стандарт ГОСТ Р 57580.1-2017 является обязательным требованием, а также ИБ-специалистам, которым предстоит построить защиту сред контейнеризации.
На онлайн-мероприятии эксперты «Инфосистемы Джет» рассмотрят терминологию сред контейнеризации и проанализируют группы регуляторных требований для оценки применимости к контейнерным средам, а именно:
📍 регистрации событий
📍 контролю доступа
📍 сегментированию сети
📍 контролю целостности
📍 управлению уязвимостями
Вы узнаете про возможные варианты реализации регуляторных требований с использованием механизмов, доступных в контейнерных средах с учетом ограничений, которые они накладывают. А в завершении онлайн-мероприятия вас ждут примеры ответов ЦБ РФ на вопрос «является ли контейнер виртуальной машиной?»
Будет полезно организациям, для которых стандарт ГОСТ Р 57580.1-2017 является обязательным требованием, а также ИБ-специалистам, которым предстоит построить защиту сред контейнеризации.
Компания Apple выпустила исправления для трех уязвимостей нулевого дня в iOS и macOS, уже эксплуатирующихся в атаках на пользователей.
https://www.securitylab.ru/news/513806.php
https://www.securitylab.ru/news/513806.php
t.me
Apple исправила три уязвимости нулевого дня в iOS и macOS
Эксплуатация уязвимостей в атаках аналогична недавно раскрытым уязвимостям нулевого дня в Windows и Chrome.
Администрация сервиса для хостинга IT-проектов и их совместной разработки GitHub вынуждена убеждать своих пользователей в том, что слухи о взломе сервиса не имеют под собой оснований.
https://www.securitylab.ru/news/513809.php
https://www.securitylab.ru/news/513809.php
t.me
Сервис GitHub опроверг слухи о взломе
Неизвестный опубликовал под именем главы GitHub Ната Фридмана исходный код GitHub Enterprise Server.
Российская госкорпорация «Роскосмос» просит у правительства 1,5 триллиона рублей на создание спутниковой системы «Сфера».
https://www.securitylab.ru/news/513831.php
https://www.securitylab.ru/news/513831.php
t.me
«Роскосмос» хочет потратить 1,5 трлн рублей на создание спутникового интернета «Сфера»
Эта сумма превышает десятилетний бюджет всей Федеральной космической программы России.
Инцидент не угрожает сохранности личных данных пользователей, а также баллов на счетах клиентов", - сообщили в РЖД в субботу.
Вчера в 15:50 (МСК) один из Telegram-каналов сообщил , что на сайте «РЖД Бонус» (rzd-bonus.ru, в данный момент не работает) в свободном доступе находится MySQL-дамп базы данных этого сайта и два других файла (bash_history-файл и закрытый RSA-ключ). В bash_history, помимо пути к дампу базы данных, находился логин и пароль пользователя. https://www.securitylab.ru/news/513833.php
Вчера в 15:50 (МСК) один из Telegram-каналов сообщил , что на сайте «РЖД Бонус» (rzd-bonus.ru, в данный момент не работает) в свободном доступе находится MySQL-дамп базы данных этого сайта и два других файла (bash_history-файл и закрытый RSA-ключ). В bash_history, помимо пути к дампу базы данных, находился логин и пароль пользователя. https://www.securitylab.ru/news/513833.php
SecurityLab.ru
Несколько часов был доступен для скачивания дамп базы данных РЖД Бонус
Инцидент не угрожает сохранности личных данных пользователей, а также баллов на счетах клиентов", - сообщили в РЖД в субботу.
Forwarded from Анонсы лучших ИБ мероприятий
🛡⚔️🛡Ежегодная конференция Check Point: <Secure>
Впервые в формате онлайн встретятся больше тысячи участников из России и СНГ!
🗓Когда: 10-11 ноября
⏰Начало: 10:00 по московскому времени
За два дня виртуальной конференции:
-Вы узнаете, как пандемия изменила ландшафт киберугроз
- Поймёте, как устроена безопасная экосистема Интернета вещей, и может ли ИИ отражать атаки
-Узнаете, что лучше выбрать для защиты периметра, и как облачная безопасность влияет на рост бизнеса
Участников ждёт телемост с международными ИБ-специалистами, разборы кейсов кибератак, технические сессии, воркшопы и интерактивные демозоны.
⏩Регистрируйтесь, будет интересно!
Впервые в формате онлайн встретятся больше тысячи участников из России и СНГ!
🗓Когда: 10-11 ноября
⏰Начало: 10:00 по московскому времени
За два дня виртуальной конференции:
-Вы узнаете, как пандемия изменила ландшафт киберугроз
- Поймёте, как устроена безопасная экосистема Интернета вещей, и может ли ИИ отражать атаки
-Узнаете, что лучше выбрать для защиты периметра, и как облачная безопасность влияет на рост бизнеса
Участников ждёт телемост с международными ИБ-специалистами, разборы кейсов кибератак, технические сессии, воркшопы и интерактивные демозоны.
⏩Регистрируйтесь, будет интересно!
Русскоязычная киберпреступная группировка, атакующая компании с высоким доходом с помощью вымогательского ПО Ryuk, получила от одной из своих жертв $34 млн за ключ для восстановления зашифрованных файлов.
Обозначенная как группа «один» в соответствии с идентификацией, полученной от ботнета Trickbot, который способствует развертыванию Ryuk в сетях атакуемых компаний, весьма неразборчива в жертвах. По данным специалиста компании Advanced Intelligence Виталия Кремеза, в число недавних жертв группы «один» входят предприятия технологической и энергетической сфер, финансовые сервисы, организации здравоохранения и госорганы. Согласно октябрьскому отчету ИБ-компании Check Point, в третьем квартале 2020 года группа атаковала в среднем 20 жертв в неделю.
В среднем сумма получаемого операторами Ryuk выкупа составляет 48 биткойнов (около $750 тыс.), и с 2018 года им в общей сложности удалось «заработать» $150 млн. Как сообщил Кремез, киберпреступники ведут переговоры со своими жертвами в жесткой форме и практически никогда не проявляют снисходительность.
https://www.securitylab.ru/news/513834.php
Обозначенная как группа «один» в соответствии с идентификацией, полученной от ботнета Trickbot, который способствует развертыванию Ryuk в сетях атакуемых компаний, весьма неразборчива в жертвах. По данным специалиста компании Advanced Intelligence Виталия Кремеза, в число недавних жертв группы «один» входят предприятия технологической и энергетической сфер, финансовые сервисы, организации здравоохранения и госорганы. Согласно октябрьскому отчету ИБ-компании Check Point, в третьем квартале 2020 года группа атаковала в среднем 20 жертв в неделю.
В среднем сумма получаемого операторами Ryuk выкупа составляет 48 биткойнов (около $750 тыс.), и с 2018 года им в общей сложности удалось «заработать» $150 млн. Как сообщил Кремез, киберпреступники ведут переговоры со своими жертвами в жесткой форме и практически никогда не проявляют снисходительность.
https://www.securitylab.ru/news/513834.php
SecurityLab.ru
Как операторам Ryuk удалось получить $34 млн выкупа
Атака включает в себя 15 шагов и предполагает использование легитимных инструментов для тестирования безопасности.
Центр сертификации Let’s Encrypt, предоставляющий криптографические сертификаты для TLS-шифрования, в январе переходит на формирование подписей с использованием только своего корневого сертификата. Из-за этого 33% смартфонов на Android перестанут открывать многие сайты.
1 сентября следующего года заканчивает срок перекрёстного соглашения Let's Encrypt с IdenTrust, и продлевать его не будут. А это означает, что все браузеры и операционные системы без корневого сертификата Let's Encrypt больше не будут работать с сайтами и службами, использующими сертификаты группы. В операционной системе Android до версии 7.1.1 включительно не доверяют корневому сертификату Let’s Encrypt. Поэтому доступ к сайтам, подписанным такими сертификатами, будет невозможен.
https://www.securitylab.ru/news/513835.php
1 сентября следующего года заканчивает срок перекрёстного соглашения Let's Encrypt с IdenTrust, и продлевать его не будут. А это означает, что все браузеры и операционные системы без корневого сертификата Let's Encrypt больше не будут работать с сайтами и службами, использующими сертификаты группы. В операционной системе Android до версии 7.1.1 включительно не доверяют корневому сертификату Let’s Encrypt. Поэтому доступ к сайтам, подписанным такими сертификатами, будет невозможен.
https://www.securitylab.ru/news/513835.php
t.me
Каждый третий смартфон с операционной системой Android в начале следующего года перестанет открывать многие сайты.
1 сентября следующего года заканчивает срок перекрёстного соглашения Let's Encrypt с IdenTrust, и продлевать его не будут.
SecurityLab.ru pinned «🛡⚔️🛡Ежегодная конференция Check Point: <Secure> Впервые в формате онлайн встретятся больше тысячи участников из России и СНГ! 🗓Когда: 10-11 ноября ⏰Начало: 10:00 по московскому времени За два дня виртуальной конференции: -Вы узнаете, как пандемия…»
Центр компетенций управления доступом «Ростелеком-Солар» запускает экспертный Блог Solar inRights, посвященный популяризации тематики управления доступом к информационным системам в российских компаниях https://rt-solar.ru/products/solar_inrights/blog/
Блог Solar inRights предназначен для руководителей и специалистов ИБ- и ИТ-подразделений, а также для всех желающих получить дополнительные знания о теории и практике построения инфраструктуры и выстраивания процессов управления доступом к информационным ресурсам компании.
https://www.securitylab.ru/news/513840.php
Блог Solar inRights предназначен для руководителей и специалистов ИБ- и ИТ-подразделений, а также для всех желающих получить дополнительные знания о теории и практике построения инфраструктуры и выстраивания процессов управления доступом к информационным ресурсам компании.
https://www.securitylab.ru/news/513840.php
t.me
«Ростелеком-Солар» запускает Блог Solar inRights по тематике управления доступом
Наша цель – сделать блог источником полезной информации для всего рынка», - отмечает Дмитрий Бондарь, директор Центра компетенций управления доступом компании «Ростелеком-Солар».
Генеральный директор компании NSS Labs Джейсон Брвеник (Jason Brvenik), занимающейся тестированием продуктов безопасности, собрал сотрудников на телеконференцию 15 октября и внезапно объявил о закрытии фирмы. Единственным публичным объявлением о закрытии было короткое сообщение на официальном web-сайте «Из-за последствий, связанных с COVID-19, NSS Labs прекратила свою деятельность 15 октября».
https://www.securitylab.ru/news/513842.php
https://www.securitylab.ru/news/513842.php
t.me
Внезапное закрытие NSS Labs оставило много вопросов без ответов
Бывшие руководители и сотрудники делятся некоторыми мыслями о закрытии компании.
В прошлом некоторые организации ради шутки в качестве названия использовали строки кода, но как минимум одной из них пришлось его поменять. Как сообщает The Guardian, Регистрационная палата Великобритании вынудила одну из консалтинговых компаний изменить свое название после того, как стало известно, что с его помощью можно осуществлять XSS-атаки на уязвимые страницы, в том числе самой Регистрационной палаты. Как оказалось, лишь упомянув название компании, сайт регулятора мог неумышленно сам себя скомпрометировать. Не очень удобная ситуация для госоргана, изначально одобрившего проблемное название.
Речь идет о названии “><SCRIPT SRC=HTTPS://MJT.XSS.HT> LTD”, опасном для сайтов, не способных обрабатывать HTML-форматирование должным образом. Такие сайты могут решить, что поле с названием компании пустое, и запустить скрипт с сайта XSS Hunter. Данный скрипт вполне безобиден и просто отображает предупреждение, но Регистрационной палате этого показалось вполне достаточно для того, чтобы обязать компанию сменить название. Теперь она называется “THAT COMPANY WHOSE NAME USED TO CONTAIN HTML SCRIPT TAGS LTD” (“ТА САМАЯ КОМПАНИЯ, НАЗВАНИЕ КОТОРОЙ РАНЬШЕ СОДЕРЖАЛО СКРИПТОВЫЕ ТЕГИ HTML LTD”). По словам представителей Регистрационной палаты, ими были предприняты меры по предотвращению возникновения подобных ситуаций в будущем.
https://www.securitylab.ru/news/513846.php
Речь идет о названии “><SCRIPT SRC=HTTPS://MJT.XSS.HT> LTD”, опасном для сайтов, не способных обрабатывать HTML-форматирование должным образом. Такие сайты могут решить, что поле с названием компании пустое, и запустить скрипт с сайта XSS Hunter. Данный скрипт вполне безобиден и просто отображает предупреждение, но Регистрационной палате этого показалось вполне достаточно для того, чтобы обязать компанию сменить название. Теперь она называется “THAT COMPANY WHOSE NAME USED TO CONTAIN HTML SCRIPT TAGS LTD” (“ТА САМАЯ КОМПАНИЯ, НАЗВАНИЕ КОТОРОЙ РАНЬШЕ СОДЕРЖАЛО СКРИПТОВЫЕ ТЕГИ HTML LTD”). По словам представителей Регистрационной палаты, ими были предприняты меры по предотвращению возникновения подобных ситуаций в будущем.
https://www.securitylab.ru/news/513846.php
SecurityLab.ru
Компанию вынудили сменить название, способное спровоцировать XSS-атаку
Название “><SCRIPT SRC=HTTPS://MJT.XSS.HT> LTD” оказалось опасным для сайтов, не способных должным образом обрабатывать HTML.
Forwarded from Анонсы лучших ИБ мероприятий
Присоединяйтесь к онлайн-конференции Trend Micro CLOUDSEC 2020
В этом году конференция CLOUDSEC Trend Micro впервые пройдет в режиме онлайн, в том числе в странах Ближнего Востока и Африки. Мы хотим сделать это мероприятие максимально полезным, и нам важно узнать ваше мнение. CLOUDSEC 2020 Virtual проходит под девизом Transformation Your Way («Ваш путь к трансформации»), и поэтому мы приглашаем вас внести свой вклад в подготовку конференции и рассказать, какой ее хотите видеть вы.
Смотрите анонс CLOUDSEC 2020. Узнайте, что вас ждет на ведущей конференции по облачным технологиям и кибербезопасности.
В этом году конференция CLOUDSEC Trend Micro впервые пройдет в режиме онлайн, в том числе в странах Ближнего Востока и Африки. Мы хотим сделать это мероприятие максимально полезным, и нам важно узнать ваше мнение. CLOUDSEC 2020 Virtual проходит под девизом Transformation Your Way («Ваш путь к трансформации»), и поэтому мы приглашаем вас внести свой вклад в подготовку конференции и рассказать, какой ее хотите видеть вы.
Смотрите анонс CLOUDSEC 2020. Узнайте, что вас ждет на ведущей конференции по облачным технологиям и кибербезопасности.
Исследователи безопасности из Juniper Threat Labs обнаружили новый ботнет, получивший название Gitpaste-12. Вредонос использует платформы GitHub и Pastebin для размещения кода компонентов и использует 12 разных способов для компрометации систем.
Эксперты зафиксировали первые атаки Gitpaste-12 15 октября 2020 года, однако на платформе GitHub сам вредонос был обнаружен еще 9 июля. Операторы Gitpaste-12 в основном атакуют серверы x86 на базе Linux и IoT-устройства на базе процессоров Linux ARM и MIPS.
На первом этапе атаки Gitpaste-12 пытается использовать известные эксплоиты для взлома систем и может попытаться осуществить брутфорс-атаку. После взлома вредоносная программа загружает скрипт из Pastebin, который повторно запускается каждую минуту. Как предполагают эксперты, таким образом и обновляется ботнет.
Основной скрипт оболочки, загруженный на устройство жертвы во время атаки, начинает загружать и выполнять компоненты с GitHub. После этого вредоносная программа подготавливает целевую среду, устраняя системные средства защиты, такие как правила межсетевого экрана и стандартное программное обеспечение для предотвращения и мониторинга киберугроз. Исследователи обнаружили скрипт, содержащий комментарии на китайском языке и команды для отключения некоторых инструментов безопасности. В одном из случаев команды отключали агенты облачной безопасности, указывая на намерения киберпреступников атаковать инфраструктуру общедоступного облака, предоставляемую Alibaba Cloud и Tencent.
https://www.securitylab.ru/news/513852.php
Эксперты зафиксировали первые атаки Gitpaste-12 15 октября 2020 года, однако на платформе GitHub сам вредонос был обнаружен еще 9 июля. Операторы Gitpaste-12 в основном атакуют серверы x86 на базе Linux и IoT-устройства на базе процессоров Linux ARM и MIPS.
На первом этапе атаки Gitpaste-12 пытается использовать известные эксплоиты для взлома систем и может попытаться осуществить брутфорс-атаку. После взлома вредоносная программа загружает скрипт из Pastebin, который повторно запускается каждую минуту. Как предполагают эксперты, таким образом и обновляется ботнет.
Основной скрипт оболочки, загруженный на устройство жертвы во время атаки, начинает загружать и выполнять компоненты с GitHub. После этого вредоносная программа подготавливает целевую среду, устраняя системные средства защиты, такие как правила межсетевого экрана и стандартное программное обеспечение для предотвращения и мониторинга киберугроз. Исследователи обнаружили скрипт, содержащий комментарии на китайском языке и команды для отключения некоторых инструментов безопасности. В одном из случаев команды отключали агенты облачной безопасности, указывая на намерения киберпреступников атаковать инфраструктуру общедоступного облака, предоставляемую Alibaba Cloud и Tencent.
https://www.securitylab.ru/news/513852.php
SecurityLab.ru
Новый ботнет Gitpaste-12 эксплуатирует 11 уязвимостей для компрометации систем
Операторы Gitpaste-12 размещают компоненты вредоноса на платформах GitHub и Pastebin.
В Телеграме есть только один канал, который делает обзоры на работающие на спецслужбы хакерские группы (APT), разбирает их атаки и шпионские трояны.
А еще изучает активность ransomware, постит инфосек юмор и, естественно, не забывает про новости из отрасли информационной безопасности.
Это канал SecAtor.
На канале можно найти обзоры на американскую APT Equation, северокорейскую Lazarus, вьетнамскую Ocean Lotus, индийскую Patchwork, тайваньскую PoisonVine и многие другие.
Подписывайтесь на канал SecAtor и вы узнаете это и многое другое!
А еще изучает активность ransomware, постит инфосек юмор и, естественно, не забывает про новости из отрасли информационной безопасности.
Это канал SecAtor.
На канале можно найти обзоры на американскую APT Equation, северокорейскую Lazarus, вьетнамскую Ocean Lotus, индийскую Patchwork, тайваньскую PoisonVine и многие другие.
Подписывайтесь на канал SecAtor и вы узнаете это и многое другое!
Telegram
SecAtor
Руки-ножницы российского инфосека.
Для связи - mschniperson@mailfence.com
Для связи - mschniperson@mailfence.com
SecurityLab.ru pinned «В Телеграме есть только один канал, который делает обзоры на работающие на спецслужбы хакерские группы (APT), разбирает их атаки и шпионские трояны. А еще изучает активность ransomware, постит инфосек юмор и, естественно, не забывает про новости из отрасли…»