7 июля в Екатеринбурге «Оксиджен Софтвер» выступит на конференции «КОД ИБ | INDUSTRIAL 2022», где лидеры рынка и эксперты отрасли расскажут о тенденциях в сфере информационной безопасности. «Оксиджен Софтвер» представит доклад по теме «Информационная безопасность: где начинается DFIR», предоставит демоверсию программного продукта «MK Enterprise» и ответит на все вопросы на стенде компании.
Зарегистрироваться на мероприятие можно на официальном сайте «КОД ИБ».
Зарегистрироваться на мероприятие можно на официальном сайте «КОД ИБ».
Шифровальщик RedAlert атакует серверы Windows и Linux VMware ESXi
Новая киберкампания операторов программы-вымогателя RedAlert (или N13V) нацелена на корпоративные сети и отличается шифрованием северов как на Windows, так и на Linux VMWare ESXi. Вредоносная программа, используемая в этой кампании, получила название RedAlert — от одной из строк, которую можно найти в записке с требованием выкупа. Сами хакеры называют свою операцию N13V, согласно вытащенному из Linux-версии шифратору информации.
Благодаря возможности взаимодействия с командной строкой, злоумышленники могут завершать работу любой виртуальной машины перед шифрованием файлов. При запуске вредоносной программы с параметром шифратор завершает работу всех виртуальных машин. В процессе шифрования файлов вымогатель использует алгоритм NTRUEncrypt. Программа выполняет тестирование производительности асимметричной криптографии, используя различные наборы параметров NTRUEncrypt. В качестве объектов для шифрования выбираются логи, файлы подкачки, виртуальные диски и память. К зашифрованным файлам добавляется расширение .crypt658. RedAlert также оставляет в каждой директории "записку" под названием HOW_TO_RESTORE, в которой жертве рассказывают, какие шаги ей следует предпринять для восстановления доступа к информации.
Новая киберкампания операторов программы-вымогателя RedAlert (или N13V) нацелена на корпоративные сети и отличается шифрованием северов как на Windows, так и на Linux VMWare ESXi. Вредоносная программа, используемая в этой кампании, получила название RedAlert — от одной из строк, которую можно найти в записке с требованием выкупа. Сами хакеры называют свою операцию N13V, согласно вытащенному из Linux-версии шифратору информации.
Благодаря возможности взаимодействия с командной строкой, злоумышленники могут завершать работу любой виртуальной машины перед шифрованием файлов. При запуске вредоносной программы с параметром шифратор завершает работу всех виртуальных машин. В процессе шифрования файлов вымогатель использует алгоритм NTRUEncrypt. Программа выполняет тестирование производительности асимметричной криптографии, используя различные наборы параметров NTRUEncrypt. В качестве объектов для шифрования выбираются логи, файлы подкачки, виртуальные диски и память. К зашифрованным файлам добавляется расширение .crypt658. RedAlert также оставляет в каждой директории "записку" под названием HOW_TO_RESTORE, в которой жертве рассказывают, какие шаги ей следует предпринять для восстановления доступа к информации.
Сеть Marriott подверглась очередной кибератаке
В июне 2022 года в сети отелей Marriott была обнаружена утечка 20 ГБ данных постояльцев и служащих в ходе очередного киберинцидента. Среди этих данных находятся коммерческие документы и платежная информация, которая позволяет злоумышленникам совершать транзакции, используя скомпрометированные данные банковских карт.
Перед тем как информация утекла в сеть, хакер требовал у руководства компании выкуп, но получил отказ. Ранее, в 2019 году, Marriott уже выплачивала 123 миллиона долларов за крупную утечку 2018 года. А в апреле 2020-го произошел еще один киберинцидент, в ходе которого были украдены персональные данные 5,2 млн постояльцев.
В июне 2022 года в сети отелей Marriott была обнаружена утечка 20 ГБ данных постояльцев и служащих в ходе очередного киберинцидента. Среди этих данных находятся коммерческие документы и платежная информация, которая позволяет злоумышленникам совершать транзакции, используя скомпрометированные данные банковских карт.
Перед тем как информация утекла в сеть, хакер требовал у руководства компании выкуп, но получил отказ. Ранее, в 2019 году, Marriott уже выплачивала 123 миллиона долларов за крупную утечку 2018 года. А в апреле 2020-го произошел еще один киберинцидент, в ходе которого были украдены персональные данные 5,2 млн постояльцев.
Июльский набор патчей от Microsoft: устранены 85 дефектов безопасности, включая уязвимость нулевого дня.
Обнаруженная 0-day позволяла злоумышленникам повышать права в операционной системе Windows. Самая опасная уязвимость получила 7,8 балла по шкале CVSS — она отслеживается под идентификатором CVE-2022-22047 и затрагивает подсистему Client/Server Runtime (csrss.exe). Помимо нее, устранено еще 84 уязвимости, четыре из которых получили критическую степень опасности. Выявленные проблемы затрагивают Microsoft Office, BitLocker, Microsoft Defender, Windows Azure и Windows Windows Hyper-V.
Microsoft советует как можно быстрее обновить систему, чтобы снизить возможные риски ущерба от хакерских атак.
Обнаруженная 0-day позволяла злоумышленникам повышать права в операционной системе Windows. Самая опасная уязвимость получила 7,8 балла по шкале CVSS — она отслеживается под идентификатором CVE-2022-22047 и затрагивает подсистему Client/Server Runtime (csrss.exe). Помимо нее, устранено еще 84 уязвимости, четыре из которых получили критическую степень опасности. Выявленные проблемы затрагивают Microsoft Office, BitLocker, Microsoft Defender, Windows Azure и Windows Windows Hyper-V.
Microsoft советует как можно быстрее обновить систему, чтобы снизить возможные риски ущерба от хакерских атак.
Четыре крупных утечки данных зафиксированы в июле
На этой неделе в свободный доступ попали три файла с рекордным объемом информации о клиентах и контрагентах сервиса СДЭК. Это минимум 330 тысяч клиентов экспресс-доставки и 25 миллионов телефонных номеров. Содержимое одного документа совсем свежее, он был создан 5 июля.
На продажу в сети была также выставлена база бонусной программы «kari CLUB». Слитая база тоже является свежей и содержит 1,2 миллиона строк с ФИО, датами рождения, номерами телефонов, адресами электронной почты, местами жительства и номерами бонусных карт покупателей сети.
В популярном хранилище злоумышленники разместили три гигабайта архива известного разработчика программного обеспечения “Террасофт”. Архив содержит данные его основных разработок — приложений BPM Online и Terrasoft_Bank. В него вошел внушительный объем данных: исходные коды проектов, скрипты, используемые во внутренних системах, а также данные сотрудников, включая логины, пароли, сертификаты и RDP-доступы.
От действий цифровых злоумышленников пострадал и «Московский экспортный центр», в раскрытом архиве которого содержатся 30 тысяч имен клиентов и контактные данные субсидиантов центра.
На этой неделе в свободный доступ попали три файла с рекордным объемом информации о клиентах и контрагентах сервиса СДЭК. Это минимум 330 тысяч клиентов экспресс-доставки и 25 миллионов телефонных номеров. Содержимое одного документа совсем свежее, он был создан 5 июля.
На продажу в сети была также выставлена база бонусной программы «kari CLUB». Слитая база тоже является свежей и содержит 1,2 миллиона строк с ФИО, датами рождения, номерами телефонов, адресами электронной почты, местами жительства и номерами бонусных карт покупателей сети.
В популярном хранилище злоумышленники разместили три гигабайта архива известного разработчика программного обеспечения “Террасофт”. Архив содержит данные его основных разработок — приложений BPM Online и Terrasoft_Bank. В него вошел внушительный объем данных: исходные коды проектов, скрипты, используемые во внутренних системах, а также данные сотрудников, включая логины, пароли, сертификаты и RDP-доступы.
От действий цифровых злоумышленников пострадал и «Московский экспортный центр», в раскрытом архиве которого содержатся 30 тысяч имен клиентов и контактные данные субсидиантов центра.
Большинство поставщиков программного обеспечения не могут бороться с уязвимостями процессоров
Согласно исследованиям специалистов по кибербезопасности из компании Binarly, в настоящий момент отрасль не может грамотно следовать рекомендациям AMD и Intel по защите, что создает риски для цепочек поставок программного обеспечения и ставит современные процессоры под угрозу атак спекулятивного выполнения.
Исследователи назвали проблему FirmwareBleed. Она связана с утечками информации из-за постоянного расширения поверхности атаки на корпорации. Благодаря этому злоумышленники могут получить доступ к содержимому привилегированной памяти, включая области, защищенные технологиями виртуализации, и извлечь конфиденциальные данные из памяти процессора.
Причиной может быть как некорректная установка патчей, так и частичное их использование. В общей сложности было обнаружено 32 прошивки от HP, 59 от Dell и 248 от Lenovo, в которых не были учтены обновления для устранения проблем в программном обеспечении.
Согласно исследованиям специалистов по кибербезопасности из компании Binarly, в настоящий момент отрасль не может грамотно следовать рекомендациям AMD и Intel по защите, что создает риски для цепочек поставок программного обеспечения и ставит современные процессоры под угрозу атак спекулятивного выполнения.
Исследователи назвали проблему FirmwareBleed. Она связана с утечками информации из-за постоянного расширения поверхности атаки на корпорации. Благодаря этому злоумышленники могут получить доступ к содержимому привилегированной памяти, включая области, защищенные технологиями виртуализации, и извлечь конфиденциальные данные из памяти процессора.
Причиной может быть как некорректная установка патчей, так и частичное их использование. В общей сложности было обнаружено 32 прошивки от HP, 59 от Dell и 248 от Lenovo, в которых не были учтены обновления для устранения проблем в программном обеспечении.
Новый вредоносный Linux-фреймворк остается незамеченным в системе
Lightning Framework — так назвали новую вредоносную программу для Linux, которая уже получила статус «швейцарского армейского ножа» за сложную модульную архитектуру и возможность устанавливать руткиты в систему. Фреймворк содержит множество разнообразных функций, что делает его одной из самых сложных платформ, разработанных для атак на системы Linux.
В основе Lightning Framework лежат загрузчик kbioset и ключевой модуль kkdmflush. Первый разработан для скачивания с удаленного сервера как минимум семи различных плагинов. Помимо этого, загрузчик отвечает за укрепление в системе главного модуля. Он устанавливает соединение с C2-сервером и получает команды, необходимые для запуска плагинов, а также пытается скрыть присутствие хакерской программы в системе. Таким образом программа получает возможность отправлять ряд команд, которые могут снимать цифровой отпечаток устройств, запускать шелл-команды, загружать файлы на сервер, записывать произвольные данные и обновлять или удалять вредоносную нагрузку на компьютер.
Lightning Framework — так назвали новую вредоносную программу для Linux, которая уже получила статус «швейцарского армейского ножа» за сложную модульную архитектуру и возможность устанавливать руткиты в систему. Фреймворк содержит множество разнообразных функций, что делает его одной из самых сложных платформ, разработанных для атак на системы Linux.
В основе Lightning Framework лежат загрузчик kbioset и ключевой модуль kkdmflush. Первый разработан для скачивания с удаленного сервера как минимум семи различных плагинов. Помимо этого, загрузчик отвечает за укрепление в системе главного модуля. Он устанавливает соединение с C2-сервером и получает команды, необходимые для запуска плагинов, а также пытается скрыть присутствие хакерской программы в системе. Таким образом программа получает возможность отправлять ряд команд, которые могут снимать цифровой отпечаток устройств, запускать шелл-команды, загружать файлы на сервер, записывать произвольные данные и обновлять или удалять вредоносную нагрузку на компьютер.
База клиентов «Билайна» появилась в даркнете
Продавец в качестве примера демонстрирует часть персональных данных клиентов оператора связи «Билайн» из Астрахани, Тольятти и Санкт-Петербурга. База содержит ФИО, номера телефонов и паспортные данные. Ранее, в сентябре прошлого года, в открытом доступе также оказались логи с персональными данными клиентов оператора. Пресс-служба «Билайна» тогда сделала следующее заявление: «По имеющейся у нас информации, в этой базе могут содержаться технические логи небольшой части наших абонентов фиксированного интернета». Но позднее на одном из форумов появилась информация по обмену 350 тыс. записей с данными клиентов оператора из Москвы, Московской области, Санкт-Петербурга и Ленинградской области.
Продавец в качестве примера демонстрирует часть персональных данных клиентов оператора связи «Билайн» из Астрахани, Тольятти и Санкт-Петербурга. База содержит ФИО, номера телефонов и паспортные данные. Ранее, в сентябре прошлого года, в открытом доступе также оказались логи с персональными данными клиентов оператора. Пресс-служба «Билайна» тогда сделала следующее заявление: «По имеющейся у нас информации, в этой базе могут содержаться технические логи небольшой части наших абонентов фиксированного интернета». Но позднее на одном из форумов появилась информация по обмену 350 тыс. записей с данными клиентов оператора из Москвы, Московской области, Санкт-Петербурга и Ленинградской области.
LibreOffice выпустила патчи для устранения трех уязвимостей
Первую уязвимость (CVE-2022-26305) разработчики охарактеризовали как некорректную валидацию сертификата при проверке подписи макросов. Благодаря ей злоумышленник может выполнить произвольный код с помощью макросов, создав сертификат с определенным серийным номером, а также со строкой эмитента, которая идентична той, что встречается в проверенном сертификате. В результате LibreOffice будет считать, что сертификат выдан проверенной организацией.
Второй баг (CVE-2022-26306), связанный со статичным вектором инициализации при шифровании, позволяет атакующему получить доступ к пользовательским настройкам и ослабить защиту устройства.
Последняя из устраненных уязвимостей (CVE-2022-26307) относится к плохо зашифрованному мастер-ключу. С ее помощью можно провести брутфорс сохраненных паролей.
Если у вас установлен пакет LibreOffice, обязательно обновите его до версий 7.2.7, 7.3.2 и 7.3.3.
Первую уязвимость (CVE-2022-26305) разработчики охарактеризовали как некорректную валидацию сертификата при проверке подписи макросов. Благодаря ей злоумышленник может выполнить произвольный код с помощью макросов, создав сертификат с определенным серийным номером, а также со строкой эмитента, которая идентична той, что встречается в проверенном сертификате. В результате LibreOffice будет считать, что сертификат выдан проверенной организацией.
Второй баг (CVE-2022-26306), связанный со статичным вектором инициализации при шифровании, позволяет атакующему получить доступ к пользовательским настройкам и ослабить защиту устройства.
Последняя из устраненных уязвимостей (CVE-2022-26307) относится к плохо зашифрованному мастер-ключу. С ее помощью можно провести брутфорс сохраненных паролей.
Если у вас установлен пакет LibreOffice, обязательно обновите его до версий 7.2.7, 7.3.2 и 7.3.3.
👍1
Google устранил 27 уязвимостей браузера Chrome
Вышла новая версия браузера Chrome под номером 104, в которой были устранены 27 уязвимостей. Самые опасные из них получили высокую степень риска, но критических обнаружено не было. Также не упоминается о наличии рабочих эксплойтов, которые бы использовались в реальных кибератаках.
Релиз доступен для всех поддерживаемых ОС, включая мобильные устройства.
Вышла новая версия браузера Chrome под номером 104, в которой были устранены 27 уязвимостей. Самые опасные из них получили высокую степень риска, но критических обнаружено не было. Также не упоминается о наличии рабочих эксплойтов, которые бы использовались в реальных кибератаках.
Релиз доступен для всех поддерживаемых ОС, включая мобильные устройства.
👍3
Что же такое цифровая криминалистика и реагирование на инциденты? (DFIR)
DFIR — это междисциплинарный набор задач и процессов, направленных на расследование инцидента кибербезопасности. Он сочетает в себе традиционные действия по реагированию на инциденты (планирование, моделирование инцидентов и реагирования на них, документирование ИТ-архитектуры и разработку плэйбуков) с методами цифровой криминалистики.
В то время как традиционные IR обычно содержат ограниченное количество элементов, связанных с процессами расследования, DFIR уделяет больше внимания цифровой форензике.
DFIR — это междисциплинарный набор задач и процессов, направленных на расследование инцидента кибербезопасности. Он сочетает в себе традиционные действия по реагированию на инциденты (планирование, моделирование инцидентов и реагирования на них, документирование ИТ-архитектуры и разработку плэйбуков) с методами цифровой криминалистики.
В то время как традиционные IR обычно содержат ограниченное количество элементов, связанных с процессами расследования, DFIR уделяет больше внимания цифровой форензике.
👍1
Что такое цифровая форензика?
Цифровая форензика — это отрасль криминалистики, охватывающая цифровые технологии. Специалисты ИБ сосредоточены на восстановлении, расследовании и изучении материалов, обнаруженных на цифровых устройствах. Конечная цель — подтвердить, была ли кибератака, каково ее влияние, причина и доказательство, свидетельствующее, что инцидент произошел, что нужно предпринять, чтобы схожих инцидентов не происходило в будущем.
Как и в любом криминалистическом расследовании, скорость имеет решающее значение, особенно если атака или компрометация продолжаются. Быстрые действия могут помочь остановить активный киберинцидент.
Активный компьютер, сеть или устройство постоянно производят данные, которые могут иметь решающее значение для расследования, даже если они простаивают. Со временем возрастает риск того, что эти данные будут удалены, перезаписаны или иным образом изменены. Многие артефакты сильно зависят от состояния компьютера сразу после инцидента. Криминалистам необходимо действовать быстро, чтобы собрать всю эту информацию до того, как она будет потеряна.
Цифровая форензика — это отрасль криминалистики, охватывающая цифровые технологии. Специалисты ИБ сосредоточены на восстановлении, расследовании и изучении материалов, обнаруженных на цифровых устройствах. Конечная цель — подтвердить, была ли кибератака, каково ее влияние, причина и доказательство, свидетельствующее, что инцидент произошел, что нужно предпринять, чтобы схожих инцидентов не происходило в будущем.
Как и в любом криминалистическом расследовании, скорость имеет решающее значение, особенно если атака или компрометация продолжаются. Быстрые действия могут помочь остановить активный киберинцидент.
Активный компьютер, сеть или устройство постоянно производят данные, которые могут иметь решающее значение для расследования, даже если они простаивают. Со временем возрастает риск того, что эти данные будут удалены, перезаписаны или иным образом изменены. Многие артефакты сильно зависят от состояния компьютера сразу после инцидента. Криминалистам необходимо действовать быстро, чтобы собрать всю эту информацию до того, как она будет потеряна.
👍3
Приходите к нам на MFD 2022!
Мероприятие для всех профессионалов из индустрии информационной безопасности и сочувствующих! Спикеры подсветят тренды ИБ, инструменты для расследований корпоративных (и не только!) инцидентов, расскажут об интересных кейсах, инструментах и поделятся экспертизой. И не забываем про кулуарное общение, кучу лайфхаков и новостей с полей!
Ждем всех 15 сентября, отель «Вега Измайлово»
Ссылка и регистрация здесь:
http://events.oxygensoftware.ru/
Мероприятие для всех профессионалов из индустрии информационной безопасности и сочувствующих! Спикеры подсветят тренды ИБ, инструменты для расследований корпоративных (и не только!) инцидентов, расскажут об интересных кейсах, инструментах и поделятся экспертизой. И не забываем про кулуарное общение, кучу лайфхаков и новостей с полей!
Ждем всех 15 сентября, отель «Вега Измайлово»
Ссылка и регистрация здесь:
http://events.oxygensoftware.ru/
Что такое реакция на инцидент?
Реагирование на инциденты (IR) — это набор действий, которые компания выполняет, когда они находятся в разгаре инцидента кибербезопасности. Для целей IR киберинцидент может быть определен как любое событие, которое ставит под угрозу конфиденциальность, целостность и/или доступность информации — основные принципы информационной безопасности.
Деятельность IR, как правило, основывается на плэйбуке, разработанном для максимально быстрого резервного копирования и запуска ИТ-инфраструктуры при одновременном снижении общего ущерба от инцидента. Эти платформы предназначены для поддержки усилий по восстановлению, но в более широком смысле они также помогают организациям достичь киберзрелости и профессионализма. Это может помочь усилить защиту, в первую очередь предотвращая атаки и инциденты, затрагивающие бизнес.
Реагирование на инциденты (IR) — это набор действий, которые компания выполняет, когда они находятся в разгаре инцидента кибербезопасности. Для целей IR киберинцидент может быть определен как любое событие, которое ставит под угрозу конфиденциальность, целостность и/или доступность информации — основные принципы информационной безопасности.
Деятельность IR, как правило, основывается на плэйбуке, разработанном для максимально быстрого резервного копирования и запуска ИТ-инфраструктуры при одновременном снижении общего ущерба от инцидента. Эти платформы предназначены для поддержки усилий по восстановлению, но в более широком смысле они также помогают организациям достичь киберзрелости и профессионализма. Это может помочь усилить защиту, в первую очередь предотвращая атаки и инциденты, затрагивающие бизнес.