Угроза информационной безопасности компании через IP-телефонию
В настольных телефонах Mitel 6800/6900 обнаружены две уязвимости, которые позволяют злоумышленникам получить доступ суперпользователя на устройствах.
Благодаря этому, используя специальное сочетание клавиш через незакодированный бэкдор, при физическом доступе к телефону можно получить root-доступ, а затем подключиться к службе Telnet. Такие действия позволяют получить доступ к конфиденциальной информации и выполнению кода.
Пользователям уязвимых моделей рекомендуется обновить прошивку до последней версии, чтобы снизить потенциальный риск.
В настольных телефонах Mitel 6800/6900 обнаружены две уязвимости, которые позволяют злоумышленникам получить доступ суперпользователя на устройствах.
Благодаря этому, используя специальное сочетание клавиш через незакодированный бэкдор, при физическом доступе к телефону можно получить root-доступ, а затем подключиться к службе Telnet. Такие действия позволяют получить доступ к конфиденциальной информации и выполнению кода.
Пользователям уязвимых моделей рекомендуется обновить прошивку до последней версии, чтобы снизить потенциальный риск.
👍1
26 миллионов запросов в секунду — это рекорд!
Автоматизированные средства защиты CDN-сети Cloudflare выявили рекордную по мощности DDoS-атаку вида HTTPS-флуд. На сайт был направлен поток «мусорных» запросов, показавший максимум в 26 миллионов запросов в секунду.
Злоумышленники использовали угнанные виртуальные машины и мощные сервера, а также ботнет из 5067 хостов в сетях облачных провайдеров 120 стран. В ходе атаки боты за 30 секунд создали свыше 212 миллионов HTTPS-запросов.
В прошлом году рекордной по мощности атакой был зафиксирован HTTP-флуд, генерировавший на пике 17,2 миллионов запросов в секунду.
Автоматизированные средства защиты CDN-сети Cloudflare выявили рекордную по мощности DDoS-атаку вида HTTPS-флуд. На сайт был направлен поток «мусорных» запросов, показавший максимум в 26 миллионов запросов в секунду.
Злоумышленники использовали угнанные виртуальные машины и мощные сервера, а также ботнет из 5067 хостов в сетях облачных провайдеров 120 стран. В ходе атаки боты за 30 секунд создали свыше 212 миллионов HTTPS-запросов.
В прошлом году рекордной по мощности атакой был зафиксирован HTTP-флуд, генерировавший на пике 17,2 миллионов запросов в секунду.
👍2
Windows-домен под угрозой
Новая форма атаки DFSCoerce, использующая NTLM-ретранслятор Windows, позволяет получить доступ к Windows-домену. Она использует распределенную файловую систему MS-DFSNM для получения доступа, а код демонстрационного эксплойта уже готов.
Сервер, находящийся под контролем атакующих, перенаправляет запросы на аутентификацию по HTTP-службам Active Directory Certificate, что позволяет получить билеты Ticket-Granting (TGT) Kerberos. А TGT в свою очередь помогают злоумышленникам выдать себя за контроллер домена, повысить права, а также выполнить любую команду и получить контроль над доменом.
Новая форма атаки DFSCoerce, использующая NTLM-ретранслятор Windows, позволяет получить доступ к Windows-домену. Она использует распределенную файловую систему MS-DFSNM для получения доступа, а код демонстрационного эксплойта уже готов.
Сервер, находящийся под контролем атакующих, перенаправляет запросы на аутентификацию по HTTP-службам Active Directory Certificate, что позволяет получить билеты Ticket-Granting (TGT) Kerberos. А TGT в свою очередь помогают злоумышленникам выдать себя за контроллер домена, повысить права, а также выполнить любую команду и получить контроль над доменом.
38% компаний в России потерпели ущерб от хакерских атак в 2021 году
В течение прошедшего года атакам подверглись до 90% всех организаций, и справиться с ними смогли не все. Компании понесли как имиджевые, так и финансовые потери. Это заставило руководство многих из них задуматься о собственной кибербезопасности.
Наиболее подверженным рискам оказался малый и средний бизнес, так как только 40% из компаний данного сегмента имеют в штате специалистов по информационной безопасности.
Отмечается, что после перехода в онлайн-режим компании стали больше подвергаться киберрискам. Актуальность защиты удаленных рабочих мест выросла, и организации все чаще готовы выделять на это средства.
В течение прошедшего года атакам подверглись до 90% всех организаций, и справиться с ними смогли не все. Компании понесли как имиджевые, так и финансовые потери. Это заставило руководство многих из них задуматься о собственной кибербезопасности.
Наиболее подверженным рискам оказался малый и средний бизнес, так как только 40% из компаний данного сегмента имеют в штате специалистов по информационной безопасности.
Отмечается, что после перехода в онлайн-режим компании стали больше подвергаться киберрискам. Актуальность защиты удаленных рабочих мест выросла, и организации все чаще готовы выделять на это средства.
Вузы подвергаются DDoS-атакам
С 10 июня количество атак на сайты высших учебных заведений возросло в 8 раз, и они стали в 15 раз более мощными, демонстрируя до 300 тысяч запросов в секунду. Большинство из них идет по HTTP.
Институты, в которых не используются профессиональные системы информационной безопасности, столкнулись с серьезными последствиями хакерских атак. На их сайтах, помимо сбоев в работе, исчезла возможность подать документы на поступление. Некоторые университеты уже начали оперативно внедрять и усиливать защиту от DDoS. Лишь те, кто изначально имели ее, не пострадали.
Атаки также затронули сайт Госуслуг, блокируя возможность подачи заявлений через сервис. Аналитики считают, что подобные инциденты продлятся как минимум до середины августа.
С 10 июня количество атак на сайты высших учебных заведений возросло в 8 раз, и они стали в 15 раз более мощными, демонстрируя до 300 тысяч запросов в секунду. Большинство из них идет по HTTP.
Институты, в которых не используются профессиональные системы информационной безопасности, столкнулись с серьезными последствиями хакерских атак. На их сайтах, помимо сбоев в работе, исчезла возможность подать документы на поступление. Некоторые университеты уже начали оперативно внедрять и усиливать защиту от DDoS. Лишь те, кто изначально имели ее, не пострадали.
Атаки также затронули сайт Госуслуг, блокируя возможность подачи заявлений через сервис. Аналитики считают, что подобные инциденты продлятся как минимум до середины августа.
7 июля в Екатеринбурге «Оксиджен Софтвер» выступит на конференции «КОД ИБ | INDUSTRIAL 2022», где лидеры рынка и эксперты отрасли расскажут о тенденциях в сфере информационной безопасности. «Оксиджен Софтвер» представит доклад по теме «Информационная безопасность: где начинается DFIR», предоставит демоверсию программного продукта «MK Enterprise» и ответит на все вопросы на стенде компании.
Зарегистрироваться на мероприятие можно на официальном сайте «КОД ИБ».
Зарегистрироваться на мероприятие можно на официальном сайте «КОД ИБ».
Шифровальщик RedAlert атакует серверы Windows и Linux VMware ESXi
Новая киберкампания операторов программы-вымогателя RedAlert (или N13V) нацелена на корпоративные сети и отличается шифрованием северов как на Windows, так и на Linux VMWare ESXi. Вредоносная программа, используемая в этой кампании, получила название RedAlert — от одной из строк, которую можно найти в записке с требованием выкупа. Сами хакеры называют свою операцию N13V, согласно вытащенному из Linux-версии шифратору информации.
Благодаря возможности взаимодействия с командной строкой, злоумышленники могут завершать работу любой виртуальной машины перед шифрованием файлов. При запуске вредоносной программы с параметром шифратор завершает работу всех виртуальных машин. В процессе шифрования файлов вымогатель использует алгоритм NTRUEncrypt. Программа выполняет тестирование производительности асимметричной криптографии, используя различные наборы параметров NTRUEncrypt. В качестве объектов для шифрования выбираются логи, файлы подкачки, виртуальные диски и память. К зашифрованным файлам добавляется расширение .crypt658. RedAlert также оставляет в каждой директории "записку" под названием HOW_TO_RESTORE, в которой жертве рассказывают, какие шаги ей следует предпринять для восстановления доступа к информации.
Новая киберкампания операторов программы-вымогателя RedAlert (или N13V) нацелена на корпоративные сети и отличается шифрованием северов как на Windows, так и на Linux VMWare ESXi. Вредоносная программа, используемая в этой кампании, получила название RedAlert — от одной из строк, которую можно найти в записке с требованием выкупа. Сами хакеры называют свою операцию N13V, согласно вытащенному из Linux-версии шифратору информации.
Благодаря возможности взаимодействия с командной строкой, злоумышленники могут завершать работу любой виртуальной машины перед шифрованием файлов. При запуске вредоносной программы с параметром шифратор завершает работу всех виртуальных машин. В процессе шифрования файлов вымогатель использует алгоритм NTRUEncrypt. Программа выполняет тестирование производительности асимметричной криптографии, используя различные наборы параметров NTRUEncrypt. В качестве объектов для шифрования выбираются логи, файлы подкачки, виртуальные диски и память. К зашифрованным файлам добавляется расширение .crypt658. RedAlert также оставляет в каждой директории "записку" под названием HOW_TO_RESTORE, в которой жертве рассказывают, какие шаги ей следует предпринять для восстановления доступа к информации.
Сеть Marriott подверглась очередной кибератаке
В июне 2022 года в сети отелей Marriott была обнаружена утечка 20 ГБ данных постояльцев и служащих в ходе очередного киберинцидента. Среди этих данных находятся коммерческие документы и платежная информация, которая позволяет злоумышленникам совершать транзакции, используя скомпрометированные данные банковских карт.
Перед тем как информация утекла в сеть, хакер требовал у руководства компании выкуп, но получил отказ. Ранее, в 2019 году, Marriott уже выплачивала 123 миллиона долларов за крупную утечку 2018 года. А в апреле 2020-го произошел еще один киберинцидент, в ходе которого были украдены персональные данные 5,2 млн постояльцев.
В июне 2022 года в сети отелей Marriott была обнаружена утечка 20 ГБ данных постояльцев и служащих в ходе очередного киберинцидента. Среди этих данных находятся коммерческие документы и платежная информация, которая позволяет злоумышленникам совершать транзакции, используя скомпрометированные данные банковских карт.
Перед тем как информация утекла в сеть, хакер требовал у руководства компании выкуп, но получил отказ. Ранее, в 2019 году, Marriott уже выплачивала 123 миллиона долларов за крупную утечку 2018 года. А в апреле 2020-го произошел еще один киберинцидент, в ходе которого были украдены персональные данные 5,2 млн постояльцев.
Июльский набор патчей от Microsoft: устранены 85 дефектов безопасности, включая уязвимость нулевого дня.
Обнаруженная 0-day позволяла злоумышленникам повышать права в операционной системе Windows. Самая опасная уязвимость получила 7,8 балла по шкале CVSS — она отслеживается под идентификатором CVE-2022-22047 и затрагивает подсистему Client/Server Runtime (csrss.exe). Помимо нее, устранено еще 84 уязвимости, четыре из которых получили критическую степень опасности. Выявленные проблемы затрагивают Microsoft Office, BitLocker, Microsoft Defender, Windows Azure и Windows Windows Hyper-V.
Microsoft советует как можно быстрее обновить систему, чтобы снизить возможные риски ущерба от хакерских атак.
Обнаруженная 0-day позволяла злоумышленникам повышать права в операционной системе Windows. Самая опасная уязвимость получила 7,8 балла по шкале CVSS — она отслеживается под идентификатором CVE-2022-22047 и затрагивает подсистему Client/Server Runtime (csrss.exe). Помимо нее, устранено еще 84 уязвимости, четыре из которых получили критическую степень опасности. Выявленные проблемы затрагивают Microsoft Office, BitLocker, Microsoft Defender, Windows Azure и Windows Windows Hyper-V.
Microsoft советует как можно быстрее обновить систему, чтобы снизить возможные риски ущерба от хакерских атак.
Четыре крупных утечки данных зафиксированы в июле
На этой неделе в свободный доступ попали три файла с рекордным объемом информации о клиентах и контрагентах сервиса СДЭК. Это минимум 330 тысяч клиентов экспресс-доставки и 25 миллионов телефонных номеров. Содержимое одного документа совсем свежее, он был создан 5 июля.
На продажу в сети была также выставлена база бонусной программы «kari CLUB». Слитая база тоже является свежей и содержит 1,2 миллиона строк с ФИО, датами рождения, номерами телефонов, адресами электронной почты, местами жительства и номерами бонусных карт покупателей сети.
В популярном хранилище злоумышленники разместили три гигабайта архива известного разработчика программного обеспечения “Террасофт”. Архив содержит данные его основных разработок — приложений BPM Online и Terrasoft_Bank. В него вошел внушительный объем данных: исходные коды проектов, скрипты, используемые во внутренних системах, а также данные сотрудников, включая логины, пароли, сертификаты и RDP-доступы.
От действий цифровых злоумышленников пострадал и «Московский экспортный центр», в раскрытом архиве которого содержатся 30 тысяч имен клиентов и контактные данные субсидиантов центра.
На этой неделе в свободный доступ попали три файла с рекордным объемом информации о клиентах и контрагентах сервиса СДЭК. Это минимум 330 тысяч клиентов экспресс-доставки и 25 миллионов телефонных номеров. Содержимое одного документа совсем свежее, он был создан 5 июля.
На продажу в сети была также выставлена база бонусной программы «kari CLUB». Слитая база тоже является свежей и содержит 1,2 миллиона строк с ФИО, датами рождения, номерами телефонов, адресами электронной почты, местами жительства и номерами бонусных карт покупателей сети.
В популярном хранилище злоумышленники разместили три гигабайта архива известного разработчика программного обеспечения “Террасофт”. Архив содержит данные его основных разработок — приложений BPM Online и Terrasoft_Bank. В него вошел внушительный объем данных: исходные коды проектов, скрипты, используемые во внутренних системах, а также данные сотрудников, включая логины, пароли, сертификаты и RDP-доступы.
От действий цифровых злоумышленников пострадал и «Московский экспортный центр», в раскрытом архиве которого содержатся 30 тысяч имен клиентов и контактные данные субсидиантов центра.
Большинство поставщиков программного обеспечения не могут бороться с уязвимостями процессоров
Согласно исследованиям специалистов по кибербезопасности из компании Binarly, в настоящий момент отрасль не может грамотно следовать рекомендациям AMD и Intel по защите, что создает риски для цепочек поставок программного обеспечения и ставит современные процессоры под угрозу атак спекулятивного выполнения.
Исследователи назвали проблему FirmwareBleed. Она связана с утечками информации из-за постоянного расширения поверхности атаки на корпорации. Благодаря этому злоумышленники могут получить доступ к содержимому привилегированной памяти, включая области, защищенные технологиями виртуализации, и извлечь конфиденциальные данные из памяти процессора.
Причиной может быть как некорректная установка патчей, так и частичное их использование. В общей сложности было обнаружено 32 прошивки от HP, 59 от Dell и 248 от Lenovo, в которых не были учтены обновления для устранения проблем в программном обеспечении.
Согласно исследованиям специалистов по кибербезопасности из компании Binarly, в настоящий момент отрасль не может грамотно следовать рекомендациям AMD и Intel по защите, что создает риски для цепочек поставок программного обеспечения и ставит современные процессоры под угрозу атак спекулятивного выполнения.
Исследователи назвали проблему FirmwareBleed. Она связана с утечками информации из-за постоянного расширения поверхности атаки на корпорации. Благодаря этому злоумышленники могут получить доступ к содержимому привилегированной памяти, включая области, защищенные технологиями виртуализации, и извлечь конфиденциальные данные из памяти процессора.
Причиной может быть как некорректная установка патчей, так и частичное их использование. В общей сложности было обнаружено 32 прошивки от HP, 59 от Dell и 248 от Lenovo, в которых не были учтены обновления для устранения проблем в программном обеспечении.
Новый вредоносный Linux-фреймворк остается незамеченным в системе
Lightning Framework — так назвали новую вредоносную программу для Linux, которая уже получила статус «швейцарского армейского ножа» за сложную модульную архитектуру и возможность устанавливать руткиты в систему. Фреймворк содержит множество разнообразных функций, что делает его одной из самых сложных платформ, разработанных для атак на системы Linux.
В основе Lightning Framework лежат загрузчик kbioset и ключевой модуль kkdmflush. Первый разработан для скачивания с удаленного сервера как минимум семи различных плагинов. Помимо этого, загрузчик отвечает за укрепление в системе главного модуля. Он устанавливает соединение с C2-сервером и получает команды, необходимые для запуска плагинов, а также пытается скрыть присутствие хакерской программы в системе. Таким образом программа получает возможность отправлять ряд команд, которые могут снимать цифровой отпечаток устройств, запускать шелл-команды, загружать файлы на сервер, записывать произвольные данные и обновлять или удалять вредоносную нагрузку на компьютер.
Lightning Framework — так назвали новую вредоносную программу для Linux, которая уже получила статус «швейцарского армейского ножа» за сложную модульную архитектуру и возможность устанавливать руткиты в систему. Фреймворк содержит множество разнообразных функций, что делает его одной из самых сложных платформ, разработанных для атак на системы Linux.
В основе Lightning Framework лежат загрузчик kbioset и ключевой модуль kkdmflush. Первый разработан для скачивания с удаленного сервера как минимум семи различных плагинов. Помимо этого, загрузчик отвечает за укрепление в системе главного модуля. Он устанавливает соединение с C2-сервером и получает команды, необходимые для запуска плагинов, а также пытается скрыть присутствие хакерской программы в системе. Таким образом программа получает возможность отправлять ряд команд, которые могут снимать цифровой отпечаток устройств, запускать шелл-команды, загружать файлы на сервер, записывать произвольные данные и обновлять или удалять вредоносную нагрузку на компьютер.