Русскоязычная киберпреступная группировка, атакующая компании с высоким доходом с помощью вымогательского ПО Ryuk, получила от одной из своих жертв $34 млн за ключ для восстановления зашифрованных файлов.

Обозначенная как группа «один» в соответствии с идентификацией, полученной от ботнета Trickbot, который способствует развертыванию Ryuk в сетях атакуемых компаний, весьма неразборчива в жертвах. По данным специалиста компании Advanced Intelligence Виталия Кремеза, в число недавних жертв группы «один» входят предприятия технологической и энергетической сфер, финансовые сервисы, организации здравоохранения и госорганы. Согласно октябрьскому отчету ИБ-компании Check Point, в третьем квартале 2020 года группа атаковала в среднем 20 жертв в неделю.

В среднем сумма получаемого операторами Ryuk выкупа составляет 48 биткойнов (около $750 тыс.), и с 2018 года им в общей сложности удалось «заработать» $150 млн. Как сообщил Кремез, киберпреступники ведут переговоры со своими жертвами в жесткой форме и практически никогда не проявляют снисходительность.
https://www.securitylab.ru/news/513834.php

Центр сертификации Let’s Encrypt, предоставляющий криптографические сертификаты для TLS-шифрования, в январе переходит на формирование подписей с использованием только своего корневого сертификата. Из-за этого 33% смартфонов на Android перестанут открывать многие сайты.

1 сентября следующего года заканчивает срок перекрёстного соглашения Let's Encrypt с IdenTrust, и продлевать его не будут. А это означает, что все браузеры и операционные системы без корневого сертификата Let's Encrypt больше не будут работать с сайтами и службами, использующими сертификаты группы. В операционной системе Android до версии 7.1.1 включительно не доверяют корневому сертификату Let’s Encrypt. Поэтому доступ к сайтам, подписанным такими сертификатами, будет невозможен.


https://www.securitylab.ru/news/513835.php

Центр компетенций управления доступом «Ростелеком-Солар» запускает экспертный Блог Solar inRights, посвященный популяризации тематики управления доступом к информационным системам в российских компаниях https://rt-solar.ru/products/solar_inrights/blog/

Блог Solar inRights предназначен для руководителей и специалистов ИБ- и ИТ-подразделений, а также для всех желающих получить дополнительные знания о теории и практике построения инфраструктуры и выстраивания процессов управления доступом к информационным ресурсам компании.


https://www.securitylab.ru/news/513840.php

Генеральный директор компании NSS Labs Джейсон Брвеник (Jason Brvenik), занимающейся тестированием продуктов безопасности, собрал сотрудников на телеконференцию 15 октября и внезапно объявил о закрытии фирмы. Единственным публичным объявлением о закрытии было короткое сообщение на официальном web-сайте «Из-за последствий, связанных с COVID-19, NSS Labs прекратила свою деятельность 15 октября».

https://www.securitylab.ru/news/513842.php

В прошлом некоторые организации ради шутки в качестве названия использовали строки кода, но как минимум одной из них пришлось его поменять. Как сообщает The Guardian, Регистрационная палата Великобритании вынудила одну из консалтинговых компаний изменить свое название после того, как стало известно, что с его помощью можно осуществлять XSS-атаки на уязвимые страницы, в том числе самой Регистрационной палаты. Как оказалось, лишь упомянув название компании, сайт регулятора мог неумышленно сам себя скомпрометировать. Не очень удобная ситуация для госоргана, изначально одобрившего проблемное название.

Речь идет о названии “><SCRIPT SRC=HTTPS://MJT.XSS.HT> LTD”, опасном для сайтов, не способных обрабатывать HTML-форматирование должным образом. Такие сайты могут решить, что поле с названием компании пустое, и запустить скрипт с сайта XSS Hunter. Данный скрипт вполне безобиден и просто отображает предупреждение, но Регистрационной палате этого показалось вполне достаточно для того, чтобы обязать компанию сменить название. Теперь она называется “THAT COMPANY WHOSE NAME USED TO CONTAIN HTML SCRIPT TAGS LTD” (“ТА САМАЯ КОМПАНИЯ, НАЗВАНИЕ КОТОРОЙ РАНЬШЕ СОДЕРЖАЛО СКРИПТОВЫЕ ТЕГИ HTML LTD”). По словам представителей Регистрационной палаты, ими были предприняты меры по предотвращению возникновения подобных ситуаций в будущем.

https://www.securitylab.ru/news/513846.php

Исследователи безопасности из Juniper Threat Labs обнаружили новый ботнет, получивший название Gitpaste-12. Вредонос использует платформы GitHub и Pastebin для размещения кода компонентов и использует 12 разных способов для компрометации систем.
Эксперты зафиксировали первые атаки Gitpaste-12 15 октября 2020 года, однако на платформе GitHub сам вредонос был обнаружен еще 9 июля. Операторы Gitpaste-12 в основном атакуют серверы x86 на базе Linux и IoT-устройства на базе процессоров Linux ARM и MIPS.

На первом этапе атаки Gitpaste-12 пытается использовать известные эксплоиты для взлома систем и может попытаться осуществить брутфорс-атаку. После взлома вредоносная программа загружает скрипт из Pastebin, который повторно запускается каждую минуту. Как предполагают эксперты, таким образом и обновляется ботнет.

Основной скрипт оболочки, загруженный на устройство жертвы во время атаки, начинает загружать и выполнять компоненты с GitHub. После этого вредоносная программа подготавливает целевую среду, устраняя системные средства защиты, такие как правила межсетевого экрана и стандартное программное обеспечение для предотвращения и мониторинга киберугроз. Исследователи обнаружили скрипт, содержащий комментарии на китайском языке и команды для отключения некоторых инструментов безопасности. В одном из случаев команды отключали агенты облачной безопасности, указывая на намерения киберпреступников атаковать инфраструктуру общедоступного облака, предоставляемую Alibaba Cloud и Tencent.
https://www.securitylab.ru/news/513852.php

В Телеграме есть только один канал, который делает обзоры на работающие на спецслужбы хакерские группы (APT), разбирает их атаки и шпионские трояны.

А еще изучает активность ransomware, постит инфосек юмор и, естественно, не забывает про новости из отрасли информационной безопасности.

Это канал SecAtor.

На канале можно найти обзоры на американскую APT Equation, северокорейскую Lazarus, вьетнамскую Ocean Lotus, индийскую Patchwork, тайваньскую PoisonVine и многие другие.

Подписывайтесь на канал SecAtor и вы узнаете это и многое другое!

В Совете министров ЕС приняли решение обязать операторов таких платформ, как WhatsApp, Signal и прочие, создавать мастер-ключи для мониторинга чатов и сообщений со сквозным шифрованием. Поводом для данной резолюции стала террористическая атака в Вене.

Решение уже прошло необходимые стадии согласования и может быть принято на видеоконференции министров внутренних дел и юстиции ЕС в начале декабря нынешнего года. Кроме того, Вену намерен посетить президент Совета ЕС Шарль Мишель с целью провести переговоры с федеральным канцлером Австрии Себастьяном Курцем.

19 ноября решение одобрят в рабочей группе Совета по сотрудничеству в сфере национальной безопасности, а 25 ноября планируется внести в Совет постоянных представителей государств-членов ЕС. После принятия проекта последует приказ Совета министров Комиссии ЕС о разработке постановления.

https://www.securitylab.ru/news/513862.php

В ходе практических занятий Bug Bounty киберспециалисты будут изучать методы оценки безопасности компьютерных систем объектов критической инфраструктуры Украины, сообщает пресс-служба СНБО Украины.

9 ноября в Киеве начались учения Bug Bounty, организованные Национальным координационным центром кибербезопасности при Совете нацбезопасности и обороны Украины при поддержке Фонда гражданских исследований и развития США (CRDF Global). Об этом сообщает пресс-служба СНБО Украины.

"Представители основных субъектов обеспечения кибербезопасности Украины и работники критической инфраструктуры в течение пяти дней будут получать навыки проведения пентестаобъектов критической инфраструктуры, создания комплексной системы защиты таких объектов и усиления собственных технических возможностей", – говорится в сообщении.


https://www.securitylab.ru/news/513865.php

Европейское агентство сетевой и информационной безопасности (European Union Agency for Cybersecurity, ENISA) представило руководство по обеспечению безопасности цепочки поставок для «Интернета вещей» (Internet of Things, IoT).

https://www.securitylab.ru/news/513871.php

Исследователи компании Sonatype обнаружили пакет npm (библиотеку JavaScript), содержащий вредоносный код, предназначенный для похищения конфиденциальных файлов из браузера пользователя и приложения Discord.



https://www.securitylab.ru/news/513879.php

Федеральная торговая комиссия США (FTC) объявила о компромиссном соглашении с Zoom после того, как изначально обвинила компанию «в серии обманчивых и недобросовестных действий, подрывающих безопасность пользователей», в частности в утверждении, что используемое ею шифрование надежнее, чем было на самом деле.

https://www.securitylab.ru/news/513882.php

Министерство внутренних дел за этот год разместило 44 госзакупки на поставки средств, которые предназначены для получения доступа к информации смартфонов. Полиция собирается приобрести системы иностранного производства. В среднем один АПК стоит около 1,5 млн рублей, а покупать их приходится за рубежом.



https://www.securitylab.ru/news/513885.php