📌 Smominru заражает почти 5000 компьютеров ежедневно.
В течение августа ботнет-криптоджекер Smominru заразил около 90 тыс. компьютеров, используя эксплойт EternalBlue и брутфорс-атаки. Об этом сообщили специалисты компании Guardicore, проанализировав текущую активность вредоносных ботов, концентрация которых особенно высока в Китае, на Тайване, в России, Бразилии и США. Как выяснили специалисты, лежащий в основе ботнета зловред поддерживается широкой инфраструктурой серверов по всему миру, и кроме установки майнера, пытается похитить логины и пароли с инфицированных машин.
Аналитикам удалось завладеть доступом к одному из командных серверов Smominru и получить представление о масштабах вредоносной кампании. Как оказалось, каждый день агрессивный бот проникает в среднем на 4,7 тыс. компьютеров. Большую часть из них составляют рабочие станции и небольшие серверы под управлением Windows 7 и Windows Server 2008. Эксперты отмечают, что именно эти операционные системы наиболее уязвимы к атакам с использованием эксплойта EternalBlue. На долю других ОС Windows приходится лишь 15% успешных атак.
Попав на инфицированное устройство, самоходный бот пытается заразить и связанные с жертвой компьютеры. По информации исследователей, под удар Smominru ежемесячно попадают почти 5 тыс. сетей. Большинство из них состоит из нескольких десятков машин, а самая большая сеть, пораженная зловредом, насчитывала 65 хостов. Примечательно, что четверть приобщенных к ботнету машин неоднократно подвергались заражению, а значит, были плохо пропатчены после обнаружения инфекции и очистки.
Smominru загружает на компьютер жертвы около 20 файлов, среди которых исполняемые модули с функциями руткита и RAT-трояна, генератор криптовалюты Monero, а также ряд служебных компонентов. Возможности ботнета позволяют гибко настраивать состав полезной нагрузки и оперативно изменять адреса командных серверов, на которых она хранится.
Исследователям удалось обнаружить около 20 криминальных хранилищ, расположенных в США, Европе и Азии. Некоторые файлы, загружаемые Smominru, хранились сразу на нескольких серверах, что гарантирует бесперебойную работу ботнета в случае блокировки одного из репозиториев. Примечательно, что для своих целей киберпреступники зачастую используют хостинг крупных западных провайдеров, имеющих строгую политику безопасности и развитые средства мониторинга.
Изучив журнал работы командного сервера вредоносной сети, ИБ-специалисты выяснили, что клиент Smominru собирает и передает злоумышленникам следующие сведения об инфицированном компьютере:
📌Внешний и внутренний IP-адрес машины;
📌Название операционной системы;
📌Данные о загрузке процессора.
Кроме того, нападающие пытаются получить информацию об активных процессах и украсть учетные данные пользователя при помощи утилиты Mimikatz. Дополнительно бот удаляет конкурирующих зловредов и блокирует некоторые TCP-порты (SMB, RPC), чтобы исключить проникновение на устройство других взломщиков.
Специалисты Guardicore совместно с другими исследователями наблюдают за Smominru, известным также под именами MyKings и Ismo, с 2017 года. По информации экспертов, в прошлом году численность вредоносной сети составляла более полумиллиона устройств.
В течение августа ботнет-криптоджекер Smominru заразил около 90 тыс. компьютеров, используя эксплойт EternalBlue и брутфорс-атаки. Об этом сообщили специалисты компании Guardicore, проанализировав текущую активность вредоносных ботов, концентрация которых особенно высока в Китае, на Тайване, в России, Бразилии и США. Как выяснили специалисты, лежащий в основе ботнета зловред поддерживается широкой инфраструктурой серверов по всему миру, и кроме установки майнера, пытается похитить логины и пароли с инфицированных машин.
Аналитикам удалось завладеть доступом к одному из командных серверов Smominru и получить представление о масштабах вредоносной кампании. Как оказалось, каждый день агрессивный бот проникает в среднем на 4,7 тыс. компьютеров. Большую часть из них составляют рабочие станции и небольшие серверы под управлением Windows 7 и Windows Server 2008. Эксперты отмечают, что именно эти операционные системы наиболее уязвимы к атакам с использованием эксплойта EternalBlue. На долю других ОС Windows приходится лишь 15% успешных атак.
Попав на инфицированное устройство, самоходный бот пытается заразить и связанные с жертвой компьютеры. По информации исследователей, под удар Smominru ежемесячно попадают почти 5 тыс. сетей. Большинство из них состоит из нескольких десятков машин, а самая большая сеть, пораженная зловредом, насчитывала 65 хостов. Примечательно, что четверть приобщенных к ботнету машин неоднократно подвергались заражению, а значит, были плохо пропатчены после обнаружения инфекции и очистки.
Smominru загружает на компьютер жертвы около 20 файлов, среди которых исполняемые модули с функциями руткита и RAT-трояна, генератор криптовалюты Monero, а также ряд служебных компонентов. Возможности ботнета позволяют гибко настраивать состав полезной нагрузки и оперативно изменять адреса командных серверов, на которых она хранится.
Исследователям удалось обнаружить около 20 криминальных хранилищ, расположенных в США, Европе и Азии. Некоторые файлы, загружаемые Smominru, хранились сразу на нескольких серверах, что гарантирует бесперебойную работу ботнета в случае блокировки одного из репозиториев. Примечательно, что для своих целей киберпреступники зачастую используют хостинг крупных западных провайдеров, имеющих строгую политику безопасности и развитые средства мониторинга.
Изучив журнал работы командного сервера вредоносной сети, ИБ-специалисты выяснили, что клиент Smominru собирает и передает злоумышленникам следующие сведения об инфицированном компьютере:
📌Внешний и внутренний IP-адрес машины;
📌Название операционной системы;
📌Данные о загрузке процессора.
Кроме того, нападающие пытаются получить информацию об активных процессах и украсть учетные данные пользователя при помощи утилиты Mimikatz. Дополнительно бот удаляет конкурирующих зловредов и блокирует некоторые TCP-порты (SMB, RPC), чтобы исключить проникновение на устройство других взломщиков.
Специалисты Guardicore совместно с другими исследователями наблюдают за Smominru, известным также под именами MyKings и Ismo, с 2017 года. По информации экспертов, в прошлом году численность вредоносной сети составляла более полумиллиона устройств.
BleepingComputer
Smominru Mining Botnet In Cyber Turf War With Rival Malware
The Smominru mining botnet continues to wreck havoc on corporate machines by not only installing cryptominers, but also stealing credentials, installing backdoors, and making system configuration modifications that could affect the proper operation of an…
📌Данные тысяч пользователей доступны через Google Календарь
Специалист по безопасности Avinash Jain обнаружил в свободном доступе тысячи календарей Google. Таким образом, любой пользователь может отслеживать частные и корпоративные мероприятия, читать конфиденциальные материалы из вложений к планируемым событиям.
Джайн сделал свое открытие, используя специальные поисковые запросы Google (Google Dorks). В частности, команда inurl:https://calendar.google.com/calendar?cid= открывает все общедоступные календари. На момент публикации их количество составляет около восьми тысяч.
Что можно узнать из публичных календарей?
Многие календари могут быть открыты специально — например, чтобы встраивать их в сайты или предлагать пользователям для подписки. Однако во многих случаях они явно содержали конфиденциальную информацию. Среди таких материалов были ссылки на корпоративные мероприятия, внутренние презентации, данные о посещении врача и приватные встречи.
Позиция Google
Разработчики Google заявили, что пользователи осознанно принимают решение о предоставлении общего доступа к своим календарям. Таким образом, возможность прочитать и подписаться на чужое расписание нельзя считать уязвимостью сервиса. Тем не менее, многие комментаторы указывают, что владельцы публичных календарей могут со временем забыть об открытом доступе.
При открытии публичного доступа на экране появляется уведомление о том, что данные появятся в результатах поиска Google и будут доступны всем желающим.
Специалист по безопасности Avinash Jain обнаружил в свободном доступе тысячи календарей Google. Таким образом, любой пользователь может отслеживать частные и корпоративные мероприятия, читать конфиденциальные материалы из вложений к планируемым событиям.
Джайн сделал свое открытие, используя специальные поисковые запросы Google (Google Dorks). В частности, команда inurl:https://calendar.google.com/calendar?cid= открывает все общедоступные календари. На момент публикации их количество составляет около восьми тысяч.
Что можно узнать из публичных календарей?
Многие календари могут быть открыты специально — например, чтобы встраивать их в сайты или предлагать пользователям для подписки. Однако во многих случаях они явно содержали конфиденциальную информацию. Среди таких материалов были ссылки на корпоративные мероприятия, внутренние презентации, данные о посещении врача и приватные встречи.
Позиция Google
Разработчики Google заявили, что пользователи осознанно принимают решение о предоставлении общего доступа к своим календарям. Таким образом, возможность прочитать и подписаться на чужое расписание нельзя считать уязвимостью сервиса. Тем не менее, многие комментаторы указывают, что владельцы публичных календарей могут со временем забыть об открытом доступе.
При открытии публичного доступа на экране появляется уведомление о том, что данные появятся в результатах поиска Google и будут доступны всем желающим.
📌#утечка_данных
База кассовых операций российских компаний утекла в сеть.
https://iz.ru/921673/vadim-arapov/ushli-iz-bazy-v-set-utekli-14-mln-zapisei-kompanii-i-pokupatelei
Одна из баз оператора фискальных данных «Дримкас» в течение трех дней находилась в свободном доступе. Как утверждают эксперты, любой желающий мог получить информацию о транзакциях, проведенных через кассовое оборудование клиентов компании. Представители ОФД заявили: проблема связана с одним из вспомогательных серверов, хранившим журнал служебных действий, однако ИБ-специалисты сообщают о компрометации пользовательских данных. Аналитики считают, что утечка произошла из-за неправильной настройки СУБД Elasticsearch.
По информации экспертов в сфере информационной безопасности, база данных, содержавшая информацию об операциях частных лиц и организаций, находилась в открытом доступе с 9 по 12 сентября этого года. Специалисты подсчитали, что скомпрометированными оказались более 14 млн записей, в которых были номера телефонов, электронные адреса и юридические реквизиты клиентов «Дримкас», а также данные о проданных товарах. Выборочная проверка найденных данных подтвердила их подлинность.
База кассовых операций российских компаний утекла в сеть.
https://iz.ru/921673/vadim-arapov/ushli-iz-bazy-v-set-utekli-14-mln-zapisei-kompanii-i-pokupatelei
Одна из баз оператора фискальных данных «Дримкас» в течение трех дней находилась в свободном доступе. Как утверждают эксперты, любой желающий мог получить информацию о транзакциях, проведенных через кассовое оборудование клиентов компании. Представители ОФД заявили: проблема связана с одним из вспомогательных серверов, хранившим журнал служебных действий, однако ИБ-специалисты сообщают о компрометации пользовательских данных. Аналитики считают, что утечка произошла из-за неправильной настройки СУБД Elasticsearch.
По информации экспертов в сфере информационной безопасности, база данных, содержавшая информацию об операциях частных лиц и организаций, находилась в открытом доступе с 9 по 12 сентября этого года. Специалисты подсчитали, что скомпрометированными оказались более 14 млн записей, в которых были номера телефонов, электронные адреса и юридические реквизиты клиентов «Дримкас», а также данные о проданных товарах. Выборочная проверка найденных данных подтвердила их подлинность.