Инженер Microsoft украл подарочные карты на $10 миллионов и получил 9 лет тюрьмы

Владимира Квашука, гражданина Украины и бывшего инженера Microsoft, приговорили к 9 годам лишения свободы.

Его обвинили в краже цифровой валюты, в том числе и подарочных карт у компании Microsoft. Общая сумма его краж составила более $10 млн.

«Заработанные» деньги он потратил, в частности, на дом за $1,6 миллионов и автомобиль Tesla за $160 тысяч.

Остальные средства он разделил по банковским и инвестиционным счетам.

Когда эти преступления были раскрыты, хитрый сотрудник утверждал, что он действовал «в интересах компании».

Помимо тюремного заключения, он должен выплатить компании $8,3 миллиона компенсации.

Дорогие друзья. Мы решили провести первый в истории канала опрос по поводу одного из самых важных инструментов общения в сегодняшнем настоящем - в отношении мессенджеров.

Мы сознательно не спрашиваем, какими мессенджерами вы пользуетесь, это личное дело каждого. Нам интересно исключительно ваше мнение по поводу того, какой из них является наиболее безопасным.

И да, мы хотели включить Skype в опрос, но потом вспомнили, что это не мессенджер, а файлообменник.

Microsoft выпустили ноябрьское обновление безопасности линейки своих продуктов.

Всего закрыто 112 уязвимостей, из которых 17 критических. Эксплуатация 24 ошибок приводит к удаленному выполнению кода (RCE), в том числе в Excel, Sharepoint, Exchange Server и др.

Одна уязвимость, CVE-2020-17087, которая заключается в переполнении буфера в ядре Windows, является 0-day и позволяет повысить локальные привилегии. Ошибка была найдена командой Project Zero компании Google в конце прошлого месяца вместе с 0-day уязвимостью в Chrome, приводящей к RCE. И эксплуатация обеих этих уязвимостей была выявлена в дикой природе.

И, честно говоря, мы даже не знаем что посоветовать. С одной стороны, как всегда хочется призвать к скорейшему обновлению, особенно с учетом 0-day уязвимости, которую уже используют хакеры. С другой, вспоминая последний косяк Microsoft с предыдущим обновлением, можно и подождать немного.

Короче, думайте сами.

Брайн Кребс сообщает, что вымогатели пытаются использовать максимальное количество инструментов, чтобы побудить жертву заплатить выкуп. На сей раз они запустили рекламную кампанию в Facebook.

Как мы знаем, на прошлой неделе оператор ransomware RagnarLocker успешно атаковал итальянскую Campari Group, всемирно известного производителя различной алкогольной продукции, часть из которой, например Campari и Aperol, является вполне себе эксклюзивной. Сумма выкупа составила 15 млн. долларов. С целью принудить итальянцев к выплате выкупа вымогатели разместили небольшую часть украденной информации в сети. После чего представители Campari стали отмораживаться и заявлять, что они "не могут полностью исключить утечку некоторых данных".

В понедельник стоящие за RagnarLocker хакеры взломали Facebook-аккаунт чикагского диджея Криса Ходсона и оплатили 500 долларов за рекламную кампанию в социальной сети, в ходе которой распространили заявление о взломе Campari. В частности, они подтвердили, что украли более 2 Тб конфиденциальных данных. Всего рекламу ransomware посмотрели более 7 тыс. человек.

Что дальше? Вечерний Ургант? Ну а что, с финансами у владельцев ransomware все в полном порядке, а деньги Ваня любит...

Компанию Apple можно не любить за пафос и ценовую политику, за постоянное урезание комплектаций своих устройств и постепенное техническое отставание, а также за многое другое. Но, в отличие от подавляющего большинства конкурентов, Apple заботится о приватности своих пользователей, а это очень ценно в современном мире.

Купертиновцы разместили сообщение для разработчиков приложений, в котором заявили, что с 8 декабря обновление и размещение новых приложений в AppStore возможно только при соблюдении новых правил.

Теперь разработчикам необходимо предоставлять подробную информацию о том, какие пользовательские данные собирает приложение или его сторонние партнеры (маркетинговые компании, сторонние SDK и пр.) и в каких целях эти данные будут использоваться. Также Apple вводит понятие "отслеживания", которое подразумевает, связывание полученных приложением данных с конкретным пользователем или устройством.

В перечне собираемых данных есть исключения, которые можно не декларировать - например, когда собираемая информация используется в целях безопасности или для предотвращения мошенничества. Или когда пользователь дал четко выраженное согласие на передачу своих данных путем заполнения соответствующей формы в приложении.

Информация о собираемых данных и о том, куда они будут передаваться, будет публиковаться на странице приложения в AppStore и каждый пользователь сможет с ней ознакомиться.

За соответствие представляемых сведений реальной работе приложения разработчик несет персональную ответственность, полагаем, что в случае намеренного ввода в заблуждение он будет удален вместе со своими приложениями из AppStore.

Конечно, в этом механизме есть некоторые лазейки. Например "сбор данных в редких случаях, которые не являются частью основных функций приложения" необязателен для декларации. Но в целом это даст понимание пользователям того, кто и как за ними приглядывает.

Что наряду с другими шагами по обеспечению приватности делает продукцию Apple все более безальтернативной для использования.

Британская PwC сообщает, что в рамках проведенного исследования был проведен опрос 3249 руководителей компаний по всему миру по вопросам информационной безопасности (интересно, сколько было из России).

Так вот, хорошие новости - 51% из них планируют в будущем году увеличение штата своих подразделений ИБ. 43% респондентов признали, что личное взаимодействие между CEO и CISO должно быть более активным. 56% опрошенных планируют увеличить свои бюджеты на инфосек в 2021 году.

На смену точки зрения на киберугрозы существенно повлиял COVID-19, считают 39% CEO. А также атаки ransomware, вероятность которых на свои ресурсы признают 57% опрошенных.

Ну а тем 16% CEO, которые планируют в следующем году сократить свои подразделения информационной безопасности, мы передаем большой привет и просим редакцию включить песню группы Ленинград "Дорожная". Хотя им операторы ransomware и так все объяснят.

—Партнерский пост—

Кибербитва и онлайн-конференция по информационной безопасности The Standoff начинается уже завтра.

В программе — российские и зарубежные спикеры, среди них:
•Роберт Липовски, ESET
•Сесар Серрудо, IOActive Labs
•Арун Магеш, исследователь безопасности IoT
•Роман Ладутько, исследователь вредоносного ПО
•Данила Парнищев, независимый исследователь
•Сергей Гордейчик, эксперт по информационной безопасности
•Лоуренс Эмер, DarkLab (PwC)
•Красимир Цветанов, Университет Пёрдью
•Владимир Кропотов и Федор Ярочкин, Trend Micro
•Дмитрий Скляров, Positive Technologies
• и другие.

Помимо конференции, на платформе состоится кибербитва 29 команд нападающих и 6 команд защитников, которые сразятся за ресурсы виртуального мегаполиса.

​​Владельцы ransomware Darkside решили выйти на широкий рынок. Если ранее появившийся в августе этого года вымогатель использовался исключительно создателями, то теперь они объявили о привлечении партнеров по схеме Ransomware-as-a-Service.

Это тот самый вымогатель, владельцы которого пожертвовали в прошлом месяце по 10 тыс. долларов двум благотворительным организациям.

Darkside ориентирован на шифрование крупных корпоративных сетей. Как и большинство вымогателей в последнее время имеет собственный сайт, на котором в случае невыплаты жертвой выкупа публикуются украденные данные (DLS - data leak site).

Ранее владельцы Darkside сообщали, что группа не шифрует сети больниц, школ, университетов, некоммерческих и государственных организаций. В своем свежем обращении они это подтвердили.

Желающих подрезать кошельки корпоративных игроков все больше, риски ИБ все серьезнее.

Google закрыли еще две 0-day уязвимости высокой критичности в десктопной версии Chrome.

Одна из них содержится в V8, движке JavaScript, а вторая - в компоненте Chrome, отвечающем за изоляцию данных сайтов друг от друга. Других технических подробностей Google пока не дает. Информация об ошибках, согласно описанию, получена из анонимных источников.

За неполный месяц Google закрыли пять (!) 0-day уязвимостей в Chrome, некоторые из которых эксплуатировались хакерами в дикой природе.

Опять обновляться.

Исследователь landave сообщил о 10 выявленных уязвимостях в антивирусном движке румынской компании Bitdefender, приводящих к повреждению памяти и, потенциально, к RCE. Это произошло после его почти двухлетнего молчания, последним его исследованием было обнаружение и разработка RCE-эксплойта для антивируса финской F-Secure.

Все ошибки были найдены им в период с июля по сентябрь в компоненте ядра антивируса, отвечающем за распаковку UPX для PE-файлов. Фактически все стадии распаковки содержали уязвимости. Это свидетельствует о крайне низком уровне проверки собственного кода.

Проблема усугублялась тем, что ядро Bitdefender не только применяется румынским вендором в своих продуктах, но и лицензировано для использования другими поставщиками антивирусных решений.

К счастью, румыны закрыли все дырки, хотя для исправления некоторых им понадобилось три-четыре патча, и выплатили ресерчеру полагающееся вознаграждение.

Напомним, что летом 2019 года Mitsubishi Electric была взломана с использованием 0-day уязвимости в антивирусном ПО японской Trend Micro. Тогда хакеры, подозреваемые в работе на китайские спецслужбы, похитили около 200 Мб данных, среди которых была и закрытая информация. Кстати, говорят, что Trend Micro закупил сейчас для своей защиты один из российских сотовых операторов.

Пользуйтесь проверенными временем отечественными разработками. Aidstest - наш выбор! (это шутка, конечно)

​​Мы неоднократно писали про APT, которые не являются прогосударственными, а занимаются кибершпионажем по найму. К примеру, про группу Death Stalker, обнаруженную Касперскими, или UNC1945, которая была недавно выявлена FireEye.

Отчет в отношении новой подобной хакерской группы, получившей название CostaRicto, опубликован компанией BlackBerry.

Новая APT, согласно выводам экспертов, по сложности своих TTPs очень похожа на прогосударственную, но разнообразие профилей и географии их жертв свидетельствует, что это наемники в области кибершпионажа.

Цели CostaRicto разбросаны буквально по всему миру, но основная их концентрация приходится на Индию, Бангладеш и Сингапур, что дает основание полагать, что родиной хакерской группы является Азия. Сама кибероперация, выявленная исследователями, длится как минимум с октября 2019 года, но отдельные временные метки во вредоносном ПО относятся еще к 2017 году.

Для атаки на целевую сеть CostaRicto использует набор оригинальных вредоносов, среди которых ключевым является авторский бэкдор Sombra (персонаж-хакер из игры Overwatch), обладающий основным функционалом трояна удаленного доступа (RAT). Всего ресерчеры обнаружили шесть различных версий Sombra. Для связи с управляющими центрами используется туннелирование и SSL-шифрование.

Один из IP-адресов вредоносной инфраструктуры CostaRicto пересекается с замеченным ранее фишинговым доменом, использовавшимся в киберкампании, приписываемой APT 28 aka Fancy Bear, но это, по мнению исследователей, не более чем совпадение.

Таким образом, BlackBerry обнаружили очередную профессиональную хакерскую группу, работающую на аутсорсе. Поскольку подобные услуги, судя по всему, становятся все более популярными, то предлагаем их называть APT-as-a-Service или APTaaS. По аналогии с RaaS.

Скамеры разводят Брайана Кребса на получение им наследства в размере 25 миллионов евро от потерявшегося дядюшки, который преставился в 2009 году от сердечного приступа.

Смешно.

​​Оказывается в некоторых Android-смартфонах есть очень полезная с точки зрения информационной безопасности функция автоперезагрузки в определенное время суток. Это помогает от сидящих в памяти устройства вредоносов, а повторное заражение с большей вероятностью вызовет алерт или ошибку.

Надо бы такую же функцию вшить в IoT-устройства. Например, в домашние роутеры (хинт - почаще их перезагружайте, это может уберечь от нехороших вещей).

Новость про атаку ransomware на сеть производителя офисной мебели Steelcase мы увидели несколько дней назад и не стали заострять на ней внимание, однако BleepingComputer подвезли интересных подробностей и мы решили таки написать про этот кейс.

Итак, дано - американский мебельный гигант Steelcase, номер 1 по производству офисной мебели в мире, ожидаемый в 2020 году доход - более 4 млрд. долларов.

22 октября его сеть атакует оператор вымогателя Ryuk, после чего компания была вынуждена остановить ВСЁ свое производство на две недели.

То есть, только исходя из годового revenue, прямые потери Steelcase составили 150-200 миллионов долларов. А если еще учесть затраты на восстановление, пенни и штрафы за срыв сроков поставок и пр., то цифра получается совсем неприличная.

Это мы еще не говорим про потенциальную утечку конфиденциальной информации, ибо Ryuk, как и большинство других крупных ransomware, крадет данные перед их шифрованием. Хотя представители пострадавшей стороны, как всегда, поют мантры про "цi хакери нiчого не крали".

Что же можно сказать по этому поводу. По всей видимости, пора крупным компаниям создавать отдельное направление в рамках функционала подразделений Business Continuity Management (BCM), которое будет предусматривать отработку процедур восстановления бизнеса в случае атаки ransomware. Кстати, фактически это же советовали в сентябре и специалисты британского Центра национальной кибербезопасности (NCSC) в своем обновленном Руководстве по противодействию атакам вредоносов и ransomware.

Apple выпустили новую версию macOS, которую назвали Big Sur. Новая операционка, как говорят сами разработчики, больше похожа на iOS - все эти "ужимки и прыжки", скругленные окна, эффекты прозрачности и пр. Про это вы уже, наверное, и сами слышали.

А вот о чем разработчики не говорят, так это о том, что в новой яблочной ОС сразу же после релиза обнаружено большое количество багов.

Поэтому мы бы советовали не торопиться с обновлением ваших Маков.

Исторический твит 👆

​​—Партнерский пост—

GIT — это сборник полезных IT сервисов на каждый день

На канале собраны уникальные сервисы от ведущих IT компаний, которыми пользуются тысячи людей разных профессий.

Задача IT сервисов — упростить и улучшить жизнь человека

Вы найдете сервисы для работы, бизнеса, учебы и повседневной жизни. И не нужно быть IT-специалистом, чтобы уже сегодня начать использовать сервисы.

Автор кратко и простым языком рассказывает о пользе и фишках того или иного онлайн-сервиса.

По сообщению The Register, старший вице-президент американского Центра стратегических и международных исследований (CSIS) Джеймс Льюис выступая перед британским Парламентом сообщил, что затраты на разработку самолета пятого поколения F-35 существенно возросли после того, как китайская APT скомпрометировала одного из поставщиков ПО (т.н. атака на цепочку поставок) для Lockheed Martin.

После того, как у него попросили подробностей, Льюис пояснил, что неустановленным способом китайцы взломали одного из субподрядчиков и внедрили бэкдор в его программное обеспечение, использовавшееся в разработке F-35. Дырка была обнаружена, а скомпрометированное ПО было переписано.

Это очень интересное заявление, поскольку ранее подобной информации не появлялось. Однако, китайцы могут.

Субботнее чтиво. За ссылку спасибо подписчику.

В начале ноября на Yahoo появилась очень интересная статья, посвященная катастрофическому провалу системы связи ЦРУ в 2013 году.

В статье много воды и эмоций, плюс очень мало конкретики, но мы постарались выделить основное.

Журналисты переговорили с десятком бывших сотрудников американского разведсообщества и выяснили, что в 2011-2013 годах система секретной связи ЦРУ со своими агентами через Интернет была скомпрометирована как минимум в Китае и Иране.

Сама система появилась не позднее 2008 года, но возможно, что и раньше. Для связи американских разведчиков со своими агентами на чужой территории использовалась сеть сайтов, как мы поняли - для каждого агента использовался свой сайт.

Американцы полагают, что иранцы перевербовали одного из агентов ЦРУ, либо подставили своего агента под американскую вербовку. Таким образом они получили доступ к одному из сайтов, использовавшемуся в качестве канала связи. А затем, используя сложные поисковые запросы Google, нашли другие подобные сайты, поскольку раскрыли закономерность их создания (определенные символы в доменном имени, дата создания, направленность сайта и пр.)

В 2011 году Иран практически полностью раскрыл шпионскую сеть ЦРУ и арестовал более 30 американских агентов. Параллельно начались задержания агентов в Китае, в 2011-2012 году китайские спецслужбы аррестовали, судили и казнили более 20 шпионов.

В итоге в 2013 году ЦРУ было вынуждено предпринять неотложные меры по полной переделке своей системы связи с агентами.

Отставные ЦРУшники полагают, что Иран и Китай осуществляли обмен данными в отношении каналов связи американских агентов, но при этом Китай пошел дальше и сумел взломать и проникнуть внутрь этой системы.

Иран же, вычистив ЦРУшников у себя дома, стал искать агентов США в других странах и в 2013 году поставил под угрозу разведывательную сеть ЦРУ в Йемене, вычислив ее через все ту же систему связи.

Интересно, что один из частных подрядчиков ЦРУ Джой Рейди еще в 2008 году пытался поднять тревогу, поскольку полагал, что около 70% системы Интернет-связи с агентами потенциально может быть скомпрометировано. Но, как полагается в лучших традициях спецслужб, особо умных там не любят и Рейди никто не слушал, а после того как он обратился к руководству ЦРУ и членам Конгресса, его уволили в ноябре 2011 года.

Остается лишь добавить, что американские разведчики удивлены тем фактом, что, несмотря на обмен информацией между Ираном, Китаем и Россией, сеть ЦРУ в нашей стране практически не пострадала. Мы же не видим в этом ничего необычного, поскольку при слове "Интернет" среднестатический российский контрразведчик впадает в коллапс сознания до следующего годового отчета.

​​Илья Константинович Сачков, открыв европейский офис компании Group-IB в Амстердаме, решил пройтись по PR, в целях чего дал интервью журналистам Bloomberg, а те разметили статью по его результатам на своем канадском ресурсе.

Статью назвали характерно - "Российский кибергуру находит способы дистанцировать компанию от Кремля". К сожалению, не до конца ясно, что говорил сам Сачков, а что ему приписали журналисты, но общий тон публикации понятен - Group-IB перетаскивает свой бизнес на Запад.

Ну и, как бы, мы могли бы даже посочувствовать Илье Константиновичу, поскольку наше видение ситуации с российской киберпреступностью во многом перекликается с его (другое дело, что мы-то анонимный ТГ-канал, нам можно). Но некоторые пассажи из интервью свидетельствуют, что Сачков твердо решил "перейти границу у реки" - типа русские шпионы это плохо, американские разведчики это хорошо (утрируем, конечно, но где-то так).

Поэтому похоже, что в скором времени российский бизнес Group-IB может накрыться медным тазом. Ибо подобная риторика вряд ли будет с пониманием воспринята руководителями органов власти и госкомпаний, которые играют весомую роль в портфеле заказов у Group-IB.