Разработчики вымогателя Nemty продолжают активно работать над своим вредоносным ПО. Теперь программа может не только шифровать файлы, но и завершать процессы и службы, мешающие выполнению этой задачи.
Впервые в поле зрения ИБ-специалистов Nemty попал в середине августа. За прошедший месяц вирусописатели успели выпустить новую версию зловреда под номером 1.4, в которой исправили найденные ошибки и добавили стоп-лист. Программа стала сворачивать свою деятельность, если целевая система находилась в России, Белоруссии, Казахстане, Таджикистане или Украине.
На днях ИБ-исследователь Виталий Кремез (Vitali Kremez) выяснил, что авторы шифровальщика, не меняя номер версии, внесли очередные коррективы. Пополнилось число географических регионов из стоп-листа: к ним добавились Азербайджан, Армения, Молдавия и Киргизия.
Однако основным нововведением стала функция, которая делает поведение Nemty гораздо более агрессивным. Добавленный разработчиками код может принудительно завершать запущенные в системе процессы, чтобы в числе прочих можно было шифровать и файлы, открытые жертвой. Основными целями зловреда являются девять программ и служб Windows, в том числе текстовые редакторы WordPad и Microsoft Word, приложение Microsoft Excel, почтовые клиенты Microsoft Outlook и Mozilla Thunderbird, служба SQL и ПО виртуализации VirtualBox.
Как отмечает издание Bleeping Computer, два последних пункта в этом списке дают повод думать, что в качестве потенциальных жертв преступников больше всего интересуют крупные компании и корпорации.
Кроме того, по мнению автора Bleeping Computer Ионута Иласку (Ionut Ilascu), есть основания полагать, что злоумышленники не остановятся и в поиске наиболее эффективных путей доставки вредоноса в целевые системы. На текущий момент они уже протестировали заражение через уязвимые RDP-подключения, а также при помощи фальшивой страницы PayPal. Так как преступники уже пользовались одним из эксплойт-паков — RIG, использующим уязвимости в Internet Explorer, Java, Adobe Flash и Silverlight, — возможно, они прибегнут и к другим наборам эксплойтов.
Впервые в поле зрения ИБ-специалистов Nemty попал в середине августа. За прошедший месяц вирусописатели успели выпустить новую версию зловреда под номером 1.4, в которой исправили найденные ошибки и добавили стоп-лист. Программа стала сворачивать свою деятельность, если целевая система находилась в России, Белоруссии, Казахстане, Таджикистане или Украине.
На днях ИБ-исследователь Виталий Кремез (Vitali Kremez) выяснил, что авторы шифровальщика, не меняя номер версии, внесли очередные коррективы. Пополнилось число географических регионов из стоп-листа: к ним добавились Азербайджан, Армения, Молдавия и Киргизия.
Однако основным нововведением стала функция, которая делает поведение Nemty гораздо более агрессивным. Добавленный разработчиками код может принудительно завершать запущенные в системе процессы, чтобы в числе прочих можно было шифровать и файлы, открытые жертвой. Основными целями зловреда являются девять программ и служб Windows, в том числе текстовые редакторы WordPad и Microsoft Word, приложение Microsoft Excel, почтовые клиенты Microsoft Outlook и Mozilla Thunderbird, служба SQL и ПО виртуализации VirtualBox.
Как отмечает издание Bleeping Computer, два последних пункта в этом списке дают повод думать, что в качестве потенциальных жертв преступников больше всего интересуют крупные компании и корпорации.
Кроме того, по мнению автора Bleeping Computer Ионута Иласку (Ionut Ilascu), есть основания полагать, что злоумышленники не остановятся и в поиске наиболее эффективных путей доставки вредоноса в целевые системы. На текущий момент они уже протестировали заражение через уязвимые RDP-подключения, а также при помощи фальшивой страницы PayPal. Так как преступники уже пользовались одним из эксплойт-паков — RIG, использующим уязвимости в Internet Explorer, Java, Adobe Flash и Silverlight, — возможно, они прибегнут и к другим наборам эксплойтов.
📌 Smominru заражает почти 5000 компьютеров ежедневно.
В течение августа ботнет-криптоджекер Smominru заразил около 90 тыс. компьютеров, используя эксплойт EternalBlue и брутфорс-атаки. Об этом сообщили специалисты компании Guardicore, проанализировав текущую активность вредоносных ботов, концентрация которых особенно высока в Китае, на Тайване, в России, Бразилии и США. Как выяснили специалисты, лежащий в основе ботнета зловред поддерживается широкой инфраструктурой серверов по всему миру, и кроме установки майнера, пытается похитить логины и пароли с инфицированных машин.
Аналитикам удалось завладеть доступом к одному из командных серверов Smominru и получить представление о масштабах вредоносной кампании. Как оказалось, каждый день агрессивный бот проникает в среднем на 4,7 тыс. компьютеров. Большую часть из них составляют рабочие станции и небольшие серверы под управлением Windows 7 и Windows Server 2008. Эксперты отмечают, что именно эти операционные системы наиболее уязвимы к атакам с использованием эксплойта EternalBlue. На долю других ОС Windows приходится лишь 15% успешных атак.
Попав на инфицированное устройство, самоходный бот пытается заразить и связанные с жертвой компьютеры. По информации исследователей, под удар Smominru ежемесячно попадают почти 5 тыс. сетей. Большинство из них состоит из нескольких десятков машин, а самая большая сеть, пораженная зловредом, насчитывала 65 хостов. Примечательно, что четверть приобщенных к ботнету машин неоднократно подвергались заражению, а значит, были плохо пропатчены после обнаружения инфекции и очистки.
Smominru загружает на компьютер жертвы около 20 файлов, среди которых исполняемые модули с функциями руткита и RAT-трояна, генератор криптовалюты Monero, а также ряд служебных компонентов. Возможности ботнета позволяют гибко настраивать состав полезной нагрузки и оперативно изменять адреса командных серверов, на которых она хранится.
Исследователям удалось обнаружить около 20 криминальных хранилищ, расположенных в США, Европе и Азии. Некоторые файлы, загружаемые Smominru, хранились сразу на нескольких серверах, что гарантирует бесперебойную работу ботнета в случае блокировки одного из репозиториев. Примечательно, что для своих целей киберпреступники зачастую используют хостинг крупных западных провайдеров, имеющих строгую политику безопасности и развитые средства мониторинга.
Изучив журнал работы командного сервера вредоносной сети, ИБ-специалисты выяснили, что клиент Smominru собирает и передает злоумышленникам следующие сведения об инфицированном компьютере:
📌Внешний и внутренний IP-адрес машины;
📌Название операционной системы;
📌Данные о загрузке процессора.
Кроме того, нападающие пытаются получить информацию об активных процессах и украсть учетные данные пользователя при помощи утилиты Mimikatz. Дополнительно бот удаляет конкурирующих зловредов и блокирует некоторые TCP-порты (SMB, RPC), чтобы исключить проникновение на устройство других взломщиков.
Специалисты Guardicore совместно с другими исследователями наблюдают за Smominru, известным также под именами MyKings и Ismo, с 2017 года. По информации экспертов, в прошлом году численность вредоносной сети составляла более полумиллиона устройств.
В течение августа ботнет-криптоджекер Smominru заразил около 90 тыс. компьютеров, используя эксплойт EternalBlue и брутфорс-атаки. Об этом сообщили специалисты компании Guardicore, проанализировав текущую активность вредоносных ботов, концентрация которых особенно высока в Китае, на Тайване, в России, Бразилии и США. Как выяснили специалисты, лежащий в основе ботнета зловред поддерживается широкой инфраструктурой серверов по всему миру, и кроме установки майнера, пытается похитить логины и пароли с инфицированных машин.
Аналитикам удалось завладеть доступом к одному из командных серверов Smominru и получить представление о масштабах вредоносной кампании. Как оказалось, каждый день агрессивный бот проникает в среднем на 4,7 тыс. компьютеров. Большую часть из них составляют рабочие станции и небольшие серверы под управлением Windows 7 и Windows Server 2008. Эксперты отмечают, что именно эти операционные системы наиболее уязвимы к атакам с использованием эксплойта EternalBlue. На долю других ОС Windows приходится лишь 15% успешных атак.
Попав на инфицированное устройство, самоходный бот пытается заразить и связанные с жертвой компьютеры. По информации исследователей, под удар Smominru ежемесячно попадают почти 5 тыс. сетей. Большинство из них состоит из нескольких десятков машин, а самая большая сеть, пораженная зловредом, насчитывала 65 хостов. Примечательно, что четверть приобщенных к ботнету машин неоднократно подвергались заражению, а значит, были плохо пропатчены после обнаружения инфекции и очистки.
Smominru загружает на компьютер жертвы около 20 файлов, среди которых исполняемые модули с функциями руткита и RAT-трояна, генератор криптовалюты Monero, а также ряд служебных компонентов. Возможности ботнета позволяют гибко настраивать состав полезной нагрузки и оперативно изменять адреса командных серверов, на которых она хранится.
Исследователям удалось обнаружить около 20 криминальных хранилищ, расположенных в США, Европе и Азии. Некоторые файлы, загружаемые Smominru, хранились сразу на нескольких серверах, что гарантирует бесперебойную работу ботнета в случае блокировки одного из репозиториев. Примечательно, что для своих целей киберпреступники зачастую используют хостинг крупных западных провайдеров, имеющих строгую политику безопасности и развитые средства мониторинга.
Изучив журнал работы командного сервера вредоносной сети, ИБ-специалисты выяснили, что клиент Smominru собирает и передает злоумышленникам следующие сведения об инфицированном компьютере:
📌Внешний и внутренний IP-адрес машины;
📌Название операционной системы;
📌Данные о загрузке процессора.
Кроме того, нападающие пытаются получить информацию об активных процессах и украсть учетные данные пользователя при помощи утилиты Mimikatz. Дополнительно бот удаляет конкурирующих зловредов и блокирует некоторые TCP-порты (SMB, RPC), чтобы исключить проникновение на устройство других взломщиков.
Специалисты Guardicore совместно с другими исследователями наблюдают за Smominru, известным также под именами MyKings и Ismo, с 2017 года. По информации экспертов, в прошлом году численность вредоносной сети составляла более полумиллиона устройств.
BleepingComputer
Smominru Mining Botnet In Cyber Turf War With Rival Malware
The Smominru mining botnet continues to wreck havoc on corporate machines by not only installing cryptominers, but also stealing credentials, installing backdoors, and making system configuration modifications that could affect the proper operation of an…
📌Данные тысяч пользователей доступны через Google Календарь
Специалист по безопасности Avinash Jain обнаружил в свободном доступе тысячи календарей Google. Таким образом, любой пользователь может отслеживать частные и корпоративные мероприятия, читать конфиденциальные материалы из вложений к планируемым событиям.
Джайн сделал свое открытие, используя специальные поисковые запросы Google (Google Dorks). В частности, команда inurl:https://calendar.google.com/calendar?cid= открывает все общедоступные календари. На момент публикации их количество составляет около восьми тысяч.
Что можно узнать из публичных календарей?
Многие календари могут быть открыты специально — например, чтобы встраивать их в сайты или предлагать пользователям для подписки. Однако во многих случаях они явно содержали конфиденциальную информацию. Среди таких материалов были ссылки на корпоративные мероприятия, внутренние презентации, данные о посещении врача и приватные встречи.
Позиция Google
Разработчики Google заявили, что пользователи осознанно принимают решение о предоставлении общего доступа к своим календарям. Таким образом, возможность прочитать и подписаться на чужое расписание нельзя считать уязвимостью сервиса. Тем не менее, многие комментаторы указывают, что владельцы публичных календарей могут со временем забыть об открытом доступе.
При открытии публичного доступа на экране появляется уведомление о том, что данные появятся в результатах поиска Google и будут доступны всем желающим.
Специалист по безопасности Avinash Jain обнаружил в свободном доступе тысячи календарей Google. Таким образом, любой пользователь может отслеживать частные и корпоративные мероприятия, читать конфиденциальные материалы из вложений к планируемым событиям.
Джайн сделал свое открытие, используя специальные поисковые запросы Google (Google Dorks). В частности, команда inurl:https://calendar.google.com/calendar?cid= открывает все общедоступные календари. На момент публикации их количество составляет около восьми тысяч.
Что можно узнать из публичных календарей?
Многие календари могут быть открыты специально — например, чтобы встраивать их в сайты или предлагать пользователям для подписки. Однако во многих случаях они явно содержали конфиденциальную информацию. Среди таких материалов были ссылки на корпоративные мероприятия, внутренние презентации, данные о посещении врача и приватные встречи.
Позиция Google
Разработчики Google заявили, что пользователи осознанно принимают решение о предоставлении общего доступа к своим календарям. Таким образом, возможность прочитать и подписаться на чужое расписание нельзя считать уязвимостью сервиса. Тем не менее, многие комментаторы указывают, что владельцы публичных календарей могут со временем забыть об открытом доступе.
При открытии публичного доступа на экране появляется уведомление о том, что данные появятся в результатах поиска Google и будут доступны всем желающим.
📌#утечка_данных
База кассовых операций российских компаний утекла в сеть.
https://iz.ru/921673/vadim-arapov/ushli-iz-bazy-v-set-utekli-14-mln-zapisei-kompanii-i-pokupatelei
Одна из баз оператора фискальных данных «Дримкас» в течение трех дней находилась в свободном доступе. Как утверждают эксперты, любой желающий мог получить информацию о транзакциях, проведенных через кассовое оборудование клиентов компании. Представители ОФД заявили: проблема связана с одним из вспомогательных серверов, хранившим журнал служебных действий, однако ИБ-специалисты сообщают о компрометации пользовательских данных. Аналитики считают, что утечка произошла из-за неправильной настройки СУБД Elasticsearch.
По информации экспертов в сфере информационной безопасности, база данных, содержавшая информацию об операциях частных лиц и организаций, находилась в открытом доступе с 9 по 12 сентября этого года. Специалисты подсчитали, что скомпрометированными оказались более 14 млн записей, в которых были номера телефонов, электронные адреса и юридические реквизиты клиентов «Дримкас», а также данные о проданных товарах. Выборочная проверка найденных данных подтвердила их подлинность.
База кассовых операций российских компаний утекла в сеть.
https://iz.ru/921673/vadim-arapov/ushli-iz-bazy-v-set-utekli-14-mln-zapisei-kompanii-i-pokupatelei
Одна из баз оператора фискальных данных «Дримкас» в течение трех дней находилась в свободном доступе. Как утверждают эксперты, любой желающий мог получить информацию о транзакциях, проведенных через кассовое оборудование клиентов компании. Представители ОФД заявили: проблема связана с одним из вспомогательных серверов, хранившим журнал служебных действий, однако ИБ-специалисты сообщают о компрометации пользовательских данных. Аналитики считают, что утечка произошла из-за неправильной настройки СУБД Elasticsearch.
По информации экспертов в сфере информационной безопасности, база данных, содержавшая информацию об операциях частных лиц и организаций, находилась в открытом доступе с 9 по 12 сентября этого года. Специалисты подсчитали, что скомпрометированными оказались более 14 млн записей, в которых были номера телефонов, электронные адреса и юридические реквизиты клиентов «Дримкас», а также данные о проданных товарах. Выборочная проверка найденных данных подтвердила их подлинность.