— Так... дверь заперта... Как войти?
— Находчивость, умение и логика!
— Ты украл ключ?
— Именно!
Новости из мира мобильных устройств — arstechnica.com сообщает, что криптографические ключи (сертификаты) Samsung, MediaTek и LG были использованы для подписи малварных приложений.
Для тех, кто далек от сабжа (думаю, таких здесь немного): сертификат — это цифровая подпись, подтверждающая, что ПО создано непосредственно производителем.
В общем, член Google’s Android Security Team, реверс-инженер Лукаш Северски, нашел несколько образцов малварного ПО, подписанного с использованием 10 сертификатов. Ситуация очень непростая и достаточно скандальная. Как сертификаты попали к злодеям — пока неизвестно.
Устанавливайте ПО только из проверенных источников, говорили они…
— Находчивость, умение и логика!
— Ты украл ключ?
— Именно!
Новости из мира мобильных устройств — arstechnica.com сообщает, что криптографические ключи (сертификаты) Samsung, MediaTek и LG были использованы для подписи малварных приложений.
Для тех, кто далек от сабжа (думаю, таких здесь немного): сертификат — это цифровая подпись, подтверждающая, что ПО создано непосредственно производителем.
В общем, член Google’s Android Security Team, реверс-инженер Лукаш Северски, нашел несколько образцов малварного ПО, подписанного с использованием 10 сертификатов. Ситуация очень непростая и достаточно скандальная. Как сертификаты попали к злодеям — пока неизвестно.
Устанавливайте ПО только из проверенных источников, говорили они…
Сказ о малваре по кличке TgRAT
Бравые бойцы из Positive Technologies обнаружили первого Telegram-зловреда, который использует непосредственно архитектуру мессенджера для получения доступа к данным пользователя. Джентельменский набор зверушки: сделать скриншоты (с последующей отправкой куда нужно), отправить файлы (в обе стороны), слить конфиденциальные данные — все это не проблема!
Из плюсов — вирус действует строго адресно, его должны натравить на конкретное имя узла, иначе он не работает.
Из минусов — на текущий момент вирус не отслеживается обычными антивирусами. Поймать гаденыша можно только через мониторинг трафика.
С учетом того, как много компаний используют TG в роли корпоративного мессенджера (даже если в регламентах написано другое), не иллюзорна вероятность волны эксплойтов Telegram API с целью доступа к чувствительной информации!
Бравые бойцы из Positive Technologies обнаружили первого Telegram-зловреда, который использует непосредственно архитектуру мессенджера для получения доступа к данным пользователя. Джентельменский набор зверушки: сделать скриншоты (с последующей отправкой куда нужно), отправить файлы (в обе стороны), слить конфиденциальные данные — все это не проблема!
Из плюсов — вирус действует строго адресно, его должны натравить на конкретное имя узла, иначе он не работает.
Из минусов — на текущий момент вирус не отслеживается обычными антивирусами. Поймать гаденыша можно только через мониторинг трафика.
С учетом того, как много компаний используют TG в роли корпоративного мессенджера (даже если в регламентах написано другое), не иллюзорна вероятность волны эксплойтов Telegram API с целью доступа к чувствительной информации!
👍4
COVID-bit — техномагия базовой физики
Есть такой израильский спец — зовут его Мордехай Гури. Работает этот спец при университете им. Бен-Гуриона в Негеве (Израиль). Среди его достижений — способ обхода air gap при помощи SATA-кабеля в формате радиоантенны: данные собираются по крупицам, тихонечко, в фоновом режиме, легитимные задачи крутятся без проблем. Единственный минус — нужно находиться достаточно близко к объекту атаки (гуляющий рядом засланный казачок решает проблему).
Новый метод, COVID-bit, еще интересней: нужен смартфон или лаптоп, небольшая рамочная радиоантенна (маскируем под любой портативный девайс) и ПО для регулирования нагрузки на ЦП и его ядра. Радиус поражения — 2 метра, можно через стену. Затем прогоняем все через шумодав, обрабатываем сырые данные и расшифровываем их. Как говорится, охапка дров — и суп готов!
Полный отчет о методе можно посмотреть здесь: https://arxiv.org/pdf/2212.03520.pdf
Есть такой израильский спец — зовут его Мордехай Гури. Работает этот спец при университете им. Бен-Гуриона в Негеве (Израиль). Среди его достижений — способ обхода air gap при помощи SATA-кабеля в формате радиоантенны: данные собираются по крупицам, тихонечко, в фоновом режиме, легитимные задачи крутятся без проблем. Единственный минус — нужно находиться достаточно близко к объекту атаки (гуляющий рядом засланный казачок решает проблему).
Новый метод, COVID-bit, еще интересней: нужен смартфон или лаптоп, небольшая рамочная радиоантенна (маскируем под любой портативный девайс) и ПО для регулирования нагрузки на ЦП и его ядра. Радиус поражения — 2 метра, можно через стену. Затем прогоняем все через шумодав, обрабатываем сырые данные и расшифровываем их. Как говорится, охапка дров — и суп готов!
Полный отчет о методе можно посмотреть здесь: https://arxiv.org/pdf/2212.03520.pdf
Минцифры поднимает ставки
Минцифры подготовило законопроект о наказаниях (читай, штрафах) за утечки персональных данных. Если коротко, то Минцифры предлагает поднять размер штрафов до «вопиющих» 3%. Правда, скидки тоже подвезли: инвестируешь в инфраструктуру ИБ и/или компенсируешь ущерб 2/3 пострадавших — получишь послабления.
Господин Шадаев заявляет, что основная цель законопроекта — заставить компании инвестировать в развитие и обеспечение безопасности. (Мы, если что, максимально поддерживаем эту инициативу.)
Вопросы возникают только в части достаточности/избыточности такого процента в виде штрафов, а также политики смягчения наказаний: сколько нужно инвестировать в ИБ, чтобы получить более мягкие штрафы и как рассчитать ущерб, причиненный людям, чьи данные утекли?
Минцифры подготовило законопроект о наказаниях (читай, штрафах) за утечки персональных данных. Если коротко, то Минцифры предлагает поднять размер штрафов до «вопиющих» 3%. Правда, скидки тоже подвезли: инвестируешь в инфраструктуру ИБ и/или компенсируешь ущерб 2/3 пострадавших — получишь послабления.
Господин Шадаев заявляет, что основная цель законопроекта — заставить компании инвестировать в развитие и обеспечение безопасности. (Мы, если что, максимально поддерживаем эту инициативу.)
Вопросы возникают только в части достаточности/избыточности такого процента в виде штрафов, а также политики смягчения наказаний: сколько нужно инвестировать в ИБ, чтобы получить более мягкие штрафы и как рассчитать ущерб, причиненный людям, чьи данные утекли?
👍9
Google позволит активировать сквозное шифрование Gmail на стороне пользователя.
Мы видели это в Google Drive, Google Docs, Google Sheets, Google Slides, Google Meet и Google Calendar — теперь и в почте! Пользователь сможет отправлять зашифрованные (E2EE) письма как внутри, так и за пределами своих доменов. Активировать фичу можно до 20 января 2023 года.
В официальном уведомлении Google заявил: «Шифрование на стороне клиента поможет защитить пересылаемые данные, которые будут недоступны даже для наших серверов. Клиенты при этом сохраняют полный контроль над ключами шифрования».
Мы видели это в Google Drive, Google Docs, Google Sheets, Google Slides, Google Meet и Google Calendar — теперь и в почте! Пользователь сможет отправлять зашифрованные (E2EE) письма как внутри, так и за пределами своих доменов. Активировать фичу можно до 20 января 2023 года.
В официальном уведомлении Google заявил: «Шифрование на стороне клиента поможет защитить пересылаемые данные, которые будут недоступны даже для наших серверов. Клиенты при этом сохраняют полный контроль над ключами шифрования».
👍5
Троян Godfather, или «…ты делаешь это без уважения»
Доблестные спецы из Group-IB задетектили активность интересной зверушки под именем Godfather, точнее, его новой версии. Троян построен на базе известного банковского трояна Anubis. Впервые сам «крестный отец» был замечен еще в июне 2021 года. Спустя год спецы из ThreatFabric предали его широкой огласке, и через пару месяцев он ушел в тень, но лишь для того, чтобы вернуться осенью 2022.
Возвращение можно назвать громким: 16 стран, 94 криптокошелька, 110 криптопроектов, общее количество атакованных компаний — 419. Интересно, что в случае если настройки системы содержат русский язык или языки стран СНГ, троян прекращает работу.
Метод распространения зверушки — маскировка под криптокалькулятор в официальном Google Play. После установки — псевдопроверка смартфона на безопасность, установка в автозапуск, заметание следов, получение прав AccessibilityService, и понеслось…
А дальше, как говорится, сиди и жди, пока юзер приложеньку банка откроет, да webfake’и ему подсовывай и оператору отправлять не забывай.
Доблестные спецы из Group-IB задетектили активность интересной зверушки под именем Godfather, точнее, его новой версии. Троян построен на базе известного банковского трояна Anubis. Впервые сам «крестный отец» был замечен еще в июне 2021 года. Спустя год спецы из ThreatFabric предали его широкой огласке, и через пару месяцев он ушел в тень, но лишь для того, чтобы вернуться осенью 2022.
Возвращение можно назвать громким: 16 стран, 94 криптокошелька, 110 криптопроектов, общее количество атакованных компаний — 419. Интересно, что в случае если настройки системы содержат русский язык или языки стран СНГ, троян прекращает работу.
Метод распространения зверушки — маскировка под криптокалькулятор в официальном Google Play. После установки — псевдопроверка смартфона на безопасность, установка в автозапуск, заметание следов, получение прав AccessibilityService, и понеслось…
А дальше, как говорится, сиди и жди, пока юзер приложеньку банка откроет, да webfake’и ему подсовывай и оператору отправлять не забывай.
Семерка превращается в тыкву
Важное напоминание для любителей старого-доброго: 10 января 2023 года заканчивает действие программа ESU (Extended Security Update) для Windows 7 Professional и Windows 7 Enterprise. В общем, давно пора — релиз системы состоялся осенью 2009-го, в 2015-ом Microsoft сообщила о прекращении ее поддержки, но ESU позволила «допинать» многострадальную 7-ку аж до 2023-го. На секундочку, в мире до сих пор 11 % машин используют Windows 7. Хочется верить, что в корпоративном сегменте РФ эта цифра стремится к нулю…
Сами «Майки» понимают, что большинство рабочих станций под управлением семерки железом не доросли до Windows 11, поэтому предлагают переехать на 10-ку (предварительно купив полноценную лицензию, конечно же). Но и тут есть нюанс: ее поддержка закончится осенью 2025-го.
Ну и не забываем про браузеры — 110-й Chrome не будет поддерживать 7-ку, и 109-й Edge также станет последней версией с поддержкой оной.
Важное напоминание для любителей старого-доброго: 10 января 2023 года заканчивает действие программа ESU (Extended Security Update) для Windows 7 Professional и Windows 7 Enterprise. В общем, давно пора — релиз системы состоялся осенью 2009-го, в 2015-ом Microsoft сообщила о прекращении ее поддержки, но ESU позволила «допинать» многострадальную 7-ку аж до 2023-го. На секундочку, в мире до сих пор 11 % машин используют Windows 7. Хочется верить, что в корпоративном сегменте РФ эта цифра стремится к нулю…
Сами «Майки» понимают, что большинство рабочих станций под управлением семерки железом не доросли до Windows 11, поэтому предлагают переехать на 10-ку (предварительно купив полноценную лицензию, конечно же). Но и тут есть нюанс: ее поддержка закончится осенью 2025-го.
Ну и не забываем про браузеры — 110-й Chrome не будет поддерживать 7-ку, и 109-й Edge также станет последней версией с поддержкой оной.
Эксперты компании Group IB выпустили интересный отчет о трендах кибербезопасности и прогнозах угроз — доступен по ссылке. Интересное чтиво, рекомендуется к ознакомлению.
Если выделить кратко самое важное, то:
— в 2023 году пальма первенства останется за программами-вымогателями;
— самыми активными группами в 2022 году были Lockit, Conti и Hive;
— RaaS набирает обороты (более 20 новых партнерских программ в 2022 году);
— больше всего шифровальщики работают по США, однако их активность в РФ увеличилась в 3 раза (этого следовало ожидать). Рекорд принадлежит группе OldGremlin (их требование о выкупе достигло 1 млрд рублей);
— новый тренд — атака ради уничтожения, а не ради выкупа!
— количество продавцов доступов выросло в 2 раза, а цена упала вдвое;
— стилеры, стилеры, стилеры! (кража данных с инфицированных ПК и смартфонов);
— количество ресурсов с DLS (Data Leak Sites) увеличилось на 83 %, теперь их 44, в публичном доступе — данные 2 894 компаний;
— ну и рост утечек, куда же без него?
В общем, настоятельно рекомендуем почитать оригинальный документ и определить наиболее актуальные угрозы и тренды для своих компаний. Главное помнить — проваливая подготовку, готовишься к провалу!
Источник: https://www.anti-malware.ru/news/2023-01-17-118537/40326
Если выделить кратко самое важное, то:
— в 2023 году пальма первенства останется за программами-вымогателями;
— самыми активными группами в 2022 году были Lockit, Conti и Hive;
— RaaS набирает обороты (более 20 новых партнерских программ в 2022 году);
— больше всего шифровальщики работают по США, однако их активность в РФ увеличилась в 3 раза (этого следовало ожидать). Рекорд принадлежит группе OldGremlin (их требование о выкупе достигло 1 млрд рублей);
— новый тренд — атака ради уничтожения, а не ради выкупа!
— количество продавцов доступов выросло в 2 раза, а цена упала вдвое;
— стилеры, стилеры, стилеры! (кража данных с инфицированных ПК и смартфонов);
— количество ресурсов с DLS (Data Leak Sites) увеличилось на 83 %, теперь их 44, в публичном доступе — данные 2 894 компаний;
— ну и рост утечек, куда же без него?
В общем, настоятельно рекомендуем почитать оригинальный документ и определить наиболее актуальные угрозы и тренды для своих компаний. Главное помнить — проваливая подготовку, готовишься к провалу!
Источник: https://www.anti-malware.ru/news/2023-01-17-118537/40326
Group-IB
Hi-Tech Crime Trends 2022/2023
Benefit from Group-IB’s flagship cybersecurity report and explore the current threat landscape trends and forecasts
Windows 11 Restore — восстановление с нюансами
Майкрософт продолжает отлов багов на Windows 11. На этот раз проблему нашли в восстановлении системы с контрольной точки (Windows 11 22H2). Если приложение использует формат пакетов MSIX (Office, Paint, Notepad, Cortana, терминал, тысячи их…), то стоит быть готовым к тому, что после восстановления могут возникнуть проблемы со стабильностью работы приложений, зависания и сбои.
Отдельного внимания достойна ошибка This app can't be opened.
Пока «Майки» правят баги, проблему можно решить ручками (после сборки обработать напильником, а после пересборки наждачечкой пройтись). Чаще всего спасает банальная переустановка приложения или запуск Windows Update.
Есть все-таки вечные вещи в этом мире, 7 бед — один ресет, 8 бед — реинсталл =)
Майкрософт продолжает отлов багов на Windows 11. На этот раз проблему нашли в восстановлении системы с контрольной точки (Windows 11 22H2). Если приложение использует формат пакетов MSIX (Office, Paint, Notepad, Cortana, терминал, тысячи их…), то стоит быть готовым к тому, что после восстановления могут возникнуть проблемы со стабильностью работы приложений, зависания и сбои.
Отдельного внимания достойна ошибка This app can't be opened.
Пока «Майки» правят баги, проблему можно решить ручками (после сборки обработать напильником, а после пересборки наждачечкой пройтись). Чаще всего спасает банальная переустановка приложения или запуск Windows Update.
Есть все-таки вечные вещи в этом мире, 7 бед — один ресет, 8 бед — реинсталл =)
С дырочкой в правом боку…
Спецы из NCC Group опубликовали технические детали и PoC уязвимостей Samsung Galaxy App Store, которые позволяют установить любое приложение без согласия пользователя и перенаправить его на вредоносный сайт. Есть нюанс: нужен локальный доступ к устройству.
«Дырочка» нумеро уно:
CVE-2023-21433 — некорректная проверка доступа, неправильная обработка входящего запроса с возможностью исполнения произвольных команд на установку любого софта. Обкатали «дырочку» на Pokemon GO =)
«Дырочка» нумеро дос:
CVE-2023-21434 — некорректная обработка ввода, можно выполнять JavaSript’ы на девайсе. Webview-компонент площадки имеет фильтр, лимитирующий число доменов, контент которых будет отображен. Но подкачала настройка фильтра — его можно обойти и подсунуть вредоносный сайт.
Нужно больше подорожников…
Спецы из NCC Group опубликовали технические детали и PoC уязвимостей Samsung Galaxy App Store, которые позволяют установить любое приложение без согласия пользователя и перенаправить его на вредоносный сайт. Есть нюанс: нужен локальный доступ к устройству.
«Дырочка» нумеро уно:
CVE-2023-21433 — некорректная проверка доступа, неправильная обработка входящего запроса с возможностью исполнения произвольных команд на установку любого софта. Обкатали «дырочку» на Pokemon GO =)
«Дырочка» нумеро дос:
CVE-2023-21434 — некорректная обработка ввода, можно выполнять JavaSript’ы на девайсе. Webview-компонент площадки имеет фильтр, лимитирующий число доменов, контент которых будет отображен. Но подкачала настройка фильтра — его можно обойти и подсунуть вредоносный сайт.
Нужно больше подорожников…
Мы искренне верим, что все в этом канале уже видели новость об обнаруженных исходниках, утекших из «Яндекса», поэтому не будем дублировать эту тему. Ей и так кишат все заголовки тематических ресурсов.
В этот раз мы хотели бы обратить ваше внимание на прошедший 25 января стрим команды AM LIVE, на котором присутствовали крутые эксперты инфобеза в части DDoS-атак. Как и следовало ожидать, спецы обсудили боевой опыт 2022 года, дали рекомендации по повышению эффективности защиты и рассказали о перспективах развития ситуации в 2023 году.
Все высказались единогласно за то, что дальше будет только хуже.
А если кратко, то вот ряд озвученных мыслей:
— Интернет активно милитаризуется, возможно сегментирование сети по китайской модели.
— Активисты будут проводить атаки с привлечением ресурсов больших облачных провайдеров.
— DDoS-атаки могут коснуться любого российского бизнеса.
— Имидж — ничто. Теперь целями атак будут наиболее уязвимые элементы инфраструктуры российских компаний.
Раунд 2! Покой нам только снится…
В этот раз мы хотели бы обратить ваше внимание на прошедший 25 января стрим команды AM LIVE, на котором присутствовали крутые эксперты инфобеза в части DDoS-атак. Как и следовало ожидать, спецы обсудили боевой опыт 2022 года, дали рекомендации по повышению эффективности защиты и рассказали о перспективах развития ситуации в 2023 году.
Все высказались единогласно за то, что дальше будет только хуже.
А если кратко, то вот ряд озвученных мыслей:
— Интернет активно милитаризуется, возможно сегментирование сети по китайской модели.
— Активисты будут проводить атаки с привлечением ресурсов больших облачных провайдеров.
— DDoS-атаки могут коснуться любого российского бизнеса.
— Имидж — ничто. Теперь целями атак будут наиболее уязвимые элементы инфраструктуры российских компаний.
Раунд 2! Покой нам только снится…
Огонь по секторам
Политически мотивированные хактивисты стали более организованными — ряд довольно мощных DDoS-атак был проведен на российский сектор e-commerce с 10 по 20 января. Атаки были хорошо спланированы (как заявляют эксперты в профильных Telegram-каналах). В пике их мощность достигала 400К обращений в секунду.
Под эту волну попали не крупные ритейлеры (видимо, они хорошо защищены), а 30 компаний, занимающихся решениями для оптимизации бизнес-процессов: производители торгового оборудования, провайдеры систем автоматизации, в том числе для складов и логистики.
Из-за достаточно глубокой интеграции ударной волной зацепило весь сектор — возникли проблемы с возможностью заказов товара, доставкой и т.д.
С 23 января вектор атаки переключился на операторов фискальных данных.
Ожидаем вестей с полей…
Политически мотивированные хактивисты стали более организованными — ряд довольно мощных DDoS-атак был проведен на российский сектор e-commerce с 10 по 20 января. Атаки были хорошо спланированы (как заявляют эксперты в профильных Telegram-каналах). В пике их мощность достигала 400К обращений в секунду.
Под эту волну попали не крупные ритейлеры (видимо, они хорошо защищены), а 30 компаний, занимающихся решениями для оптимизации бизнес-процессов: производители торгового оборудования, провайдеры систем автоматизации, в том числе для складов и логистики.
Из-за достаточно глубокой интеграции ударной волной зацепило весь сектор — возникли проблемы с возможностью заказов товара, доставкой и т.д.
С 23 января вектор атаки переключился на операторов фискальных данных.
Ожидаем вестей с полей…
👍1
Новые рекорды…
Qrator Labs, партнер компании BI.ZONE, подвергся рекордной для российского сегмента DDoS-атаке. Несмотря на бешеный трафик — 1,3 ТБ/с, весь нелегитимный трафик был отфильтрован и сеть продолжила работу без сбоев. Атака, которая произошла 28 января, относилась к типу UDP flood: в ее основе — куча IP-адресов, заваливающих сервер UDP пакетами большого объема. Как результат, вся полоса забита этими пакетами. «Беспрецедентный рост количества, интенсивности и скоростей DDoS-атак, начавшийся год назад, не сбавляет своих оборотов», — комментирует новость основатель Qrator Labs Александр Лямин.
Массированные, хорошо организованные атаки — действительно не шутки. Они могут создать множество проблем владельцам бизнеса.
Кстати о рекордах. Предыдущий в российском сегменте случился в 2022 году — 760 Гб/с, а мировая пальма первенства принадлежит атаке на Wynncraft — мощнейший сервер Minecraft. Ее мощность поднималась до 2,5 ТБ/с.
Qrator Labs, партнер компании BI.ZONE, подвергся рекордной для российского сегмента DDoS-атаке. Несмотря на бешеный трафик — 1,3 ТБ/с, весь нелегитимный трафик был отфильтрован и сеть продолжила работу без сбоев. Атака, которая произошла 28 января, относилась к типу UDP flood: в ее основе — куча IP-адресов, заваливающих сервер UDP пакетами большого объема. Как результат, вся полоса забита этими пакетами. «Беспрецедентный рост количества, интенсивности и скоростей DDoS-атак, начавшийся год назад, не сбавляет своих оборотов», — комментирует новость основатель Qrator Labs Александр Лямин.
Массированные, хорошо организованные атаки — действительно не шутки. Они могут создать множество проблем владельцам бизнеса.
Кстати о рекордах. Предыдущий в российском сегменте случился в 2022 году — 760 Гб/с, а мировая пальма первенства принадлежит атаке на Wynncraft — мощнейший сервер Minecraft. Ее мощность поднималась до 2,5 ТБ/с.
BI.ZONE
BI.ZONE — компания по управлению цифровыми рисками
От корпорации до стартапа, мы помогаем организациям по всему миру безопасно развивать бизнес в цифровую эпоху
Незащищенные беспроводные связи…
Тема непроверенных открытых Wi-Fi сетей постоянно обсуждается в сфере информационной безопасности с самого базового уровня, но люди такие люди…
Если коротко, «Ведомости» написали очередную статью, посвященную рискам подключения к неизвестным сетям.
Среди них:
— передача данных о своем трафике админам непроверенных сетей;
— Man-in-the-Middle;
— похищение сведений (в том числе корпоративных);
— залив майнеров и другие схемы.
Ну и до кучи, перечислены идентификаторы подозрительных сетей с комментариями экспертов.
Честно говоря, мы уверены, что на этом канале люди в курсе информационной гигиены и основ безопасности в сети, но статья годная, и мы настоятельно рекомендуем ее к ознакомлению для ваших менее квалифицированных коллег и близких!
https://iz.ru/1467573/dmitrii-bulgakov/plan-perekhvat-chem-opasno-podkliuchenie-k-besplatnomu-wi-fi
Тема непроверенных открытых Wi-Fi сетей постоянно обсуждается в сфере информационной безопасности с самого базового уровня, но люди такие люди…
Если коротко, «Ведомости» написали очередную статью, посвященную рискам подключения к неизвестным сетям.
Среди них:
— передача данных о своем трафике админам непроверенных сетей;
— Man-in-the-Middle;
— похищение сведений (в том числе корпоративных);
— залив майнеров и другие схемы.
Ну и до кучи, перечислены идентификаторы подозрительных сетей с комментариями экспертов.
Честно говоря, мы уверены, что на этом канале люди в курсе информационной гигиены и основ безопасности в сети, но статья годная, и мы настоятельно рекомендуем ее к ознакомлению для ваших менее квалифицированных коллег и близких!
https://iz.ru/1467573/dmitrii-bulgakov/plan-perekhvat-chem-opasno-podkliuchenie-k-besplatnomu-wi-fi
Известия
План «Перехват»: чем опасно подключение к бесплатному Wi-Fi
Эксперты заявили о риске хищения данных при использовании открытых сетей
👍1
Обновы подъехали!
Microsoft подвезли ежемесячные обновления — настоятельно рекомендуем не затягивать с установкой! Обновы патчат три уязвимости, которые активно эксплуатировались киберпреступниками:
CVE-2023-21715 — обход защитных механизмов в Microsoft Office (7,3 балла по CVSS);
CVE-2023-21823 — повышение прав в графических компонентах Windows (7,8 балла по CVSS);
CVE-2023-23376 — повышение прав в драйвере Windows Common Log File System (7,8 балла по CVSS).
В общем залатали:
75 проблем (9 со статусом «критичная»);
66 опасных багов;
37 эксплоитов для удаленного исполнения кода.
Источник: https://www.anti-malware.ru/news/2023-02-15-111332/40541
Microsoft подвезли ежемесячные обновления — настоятельно рекомендуем не затягивать с установкой! Обновы патчат три уязвимости, которые активно эксплуатировались киберпреступниками:
CVE-2023-21715 — обход защитных механизмов в Microsoft Office (7,3 балла по CVSS);
CVE-2023-21823 — повышение прав в графических компонентах Windows (7,8 балла по CVSS);
CVE-2023-23376 — повышение прав в драйвере Windows Common Log File System (7,8 балла по CVSS).
В общем залатали:
75 проблем (9 со статусом «критичная»);
66 опасных багов;
37 эксплоитов для удаленного исполнения кода.
Источник: https://www.anti-malware.ru/news/2023-02-15-111332/40541
Anti-Malware
Microsoft пропатчила три уязвимости в Windows, используемые в кибератаках
Microsoft, строго придерживаясь календаря, выпустила очередные ежемесячные обновления. Рекомендуется не тянуть с их установкой, поскольку разработчики устранили три уязвимости, активно
👍1
Daddy goes bad…
В декабре 2022 года один из самых крупных хостеров начал получать жалобы от клиентов — виной всему рандомные редиректы на вредоносные ресурсы. По итогам расследования, GoDaddy заявил, что неизвестные кибернегодяи уже несколько лет тусовались в сетях хоста, задеплоили вредоносов, стянули исходники и т.д.
Компания считает, что за атаку в ответе «хорошо организованная и подготовленная группировка, целью которой являются хостинговые организации».
Кстати, в мае 20-го GoDaddy уже предупреждал о доступе третьих лиц, которые использовали учетные данные для соединения с хостинг-аккаунтом по SSH.
В общем, аудиты и расследования даже незначительных инцидентов ИБ — наше все. Не будьте как GoDaddy.
В декабре 2022 года один из самых крупных хостеров начал получать жалобы от клиентов — виной всему рандомные редиректы на вредоносные ресурсы. По итогам расследования, GoDaddy заявил, что неизвестные кибернегодяи уже несколько лет тусовались в сетях хоста, задеплоили вредоносов, стянули исходники и т.д.
Компания считает, что за атаку в ответе «хорошо организованная и подготовленная группировка, целью которой являются хостинговые организации».
Кстати, в мае 20-го GoDaddy уже предупреждал о доступе третьих лиц, которые использовали учетные данные для соединения с хостинг-аккаунтом по SSH.
В общем, аудиты и расследования даже незначительных инцидентов ИБ — наше все. Не будьте как GoDaddy.
👍4
Боремся с фишингом через OneNote-вложения…
Не так давно мы уже рассказывали, что всякие неблагонадежные киберперсонажи начали активно использовать вложения OneNote для фишинга. Схема банальна — попытка установить ВПО для получения доступа к целевым устройствам. Повышенное внимание негодяев к использованию OneNote проявилось после того, как Майки закрыли вектор доставки зловредов через макросы в MS Office. Какое-то время вместо них использовали ISO- и VHD-вложения, пока не пришли к OneNote.
В общем, с предысторией закончили. Переходим к советам о том, как обезопасить себя от таких атак:
1. Блокировка файлов с расширением .one в настройках почтовых серверов.
2. Установка шаблонов групповых политик Microsoft 365/Microsoft Office, а затем настройка опций Disable embedded files, Embedded Files Blocked Extensions.
Шаблоны корпоративных политик можно найти здесь:
https://www.microsoft.com/en-us/download/details.aspx?id=49030
Не так давно мы уже рассказывали, что всякие неблагонадежные киберперсонажи начали активно использовать вложения OneNote для фишинга. Схема банальна — попытка установить ВПО для получения доступа к целевым устройствам. Повышенное внимание негодяев к использованию OneNote проявилось после того, как Майки закрыли вектор доставки зловредов через макросы в MS Office. Какое-то время вместо них использовали ISO- и VHD-вложения, пока не пришли к OneNote.
В общем, с предысторией закончили. Переходим к советам о том, как обезопасить себя от таких атак:
1. Блокировка файлов с расширением .one в настройках почтовых серверов.
2. Установка шаблонов групповых политик Microsoft 365/Microsoft Office, а затем настройка опций Disable embedded files, Embedded Files Blocked Extensions.
Шаблоны корпоративных политик можно найти здесь:
https://www.microsoft.com/en-us/download/details.aspx?id=49030
Microsoft Store - Download Center
Download Administrative Template files (ADMX/ADML) for Microsoft Office from Official Microsoft Download Center
This download includes the Group Policy Administrative Template files (ADMX/ADML) for Microsoft 365 Apps for enterprise, Office LTSC 2024, Office LTSC 2021, Office 2019, and Office 2016 and also includes the OPAX/OPAL files for the Office Customization Tool…
Понеслась тайваньская вода по трубам…
Еще в середине февраля на просторах сети (конкретные координаты опустим) появилось объявление о продаже 160 GB внутренних данных тайваньского техно-гиганта Acer. В наличии, по заверениям автора поста, данные о бэкенд-инфраструктуре, технические руководства, софтверные инструменты, образы ROM, BIOS, ISO’шники и куча документов от их девайсов — планшетов, ноутбуков и смартфонов, куда ж без них…
В качестве доказательств автор схемы приложил на один из дисплеев и пачку внутренних документов… В общем, оплата — в первое окно, принимает исключительно Monero.
Так о чем это мы… Ах да… Так вот, Acer признали-таки утечку (пара недель всего прошла). Их официальное заявление гласит, что утекли данные, которые использовались спецами для ремонта техники, а по результатам их расследования, до пользовательских данных жадные до Monero негодяи не дотянулись.
Еще в середине февраля на просторах сети (конкретные координаты опустим) появилось объявление о продаже 160 GB внутренних данных тайваньского техно-гиганта Acer. В наличии, по заверениям автора поста, данные о бэкенд-инфраструктуре, технические руководства, софтверные инструменты, образы ROM, BIOS, ISO’шники и куча документов от их девайсов — планшетов, ноутбуков и смартфонов, куда ж без них…
В качестве доказательств автор схемы приложил на один из дисплеев и пачку внутренних документов… В общем, оплата — в первое окно, принимает исключительно Monero.
Так о чем это мы… Ах да… Так вот, Acer признали-таки утечку (пара недель всего прошла). Их официальное заявление гласит, что утекли данные, которые использовались спецами для ремонта техники, а по результатам их расследования, до пользовательских данных жадные до Monero негодяи не дотянулись.
👍3
All Hail TP-Link ASIC (нет)
Гениальная схема от гениальных «темщиков» — короче, никому не известная компания под названием TP-Link ASIC активно пушит роутер под названием TP-Link NX31, цена которому — 1990 вечнозеленых…
Вундервафля, в соответствии с рекламными материалами, кушает 1200 Вт на максималках, заряжена Wi-Fi 7 (и успехом), а также может майнить крипту на уровне NVIDIA GeForce RTX 4090.
Реальные представители TP-Link заявили, что знать не знают про такой роутер.
В общем, говорить — не мешки ворочать, но реклама и маркетинг — топ, тут не поспоришь, конечно!
Гениальная схема от гениальных «темщиков» — короче, никому не известная компания под названием TP-Link ASIC активно пушит роутер под названием TP-Link NX31, цена которому — 1990 вечнозеленых…
Вундервафля, в соответствии с рекламными материалами, кушает 1200 Вт на максималках, заряжена Wi-Fi 7 (и успехом), а также может майнить крипту на уровне NVIDIA GeForce RTX 4090.
Реальные представители TP-Link заявили, что знать не знают про такой роутер.
В общем, говорить — не мешки ворочать, но реклама и маркетинг — топ, тут не поспоришь, конечно!
👍1