Как мы помним, в сентябре прошлого года сеть Университетской больницы в Дюссельдорфе (UKD) подверглась атаке со стороны ransomware, в результате чего ИТ-системы больницы вышли из строя и оказание плановой и неотложной медицинской помощи стало невозможным. Из-за этого погибла пациентка, которую не успели довести до соседней больницы при экстренной госпитализации.
Кейс, конечно из ряда вон. Другое дело, что ходили слухи, согласно которым доступ в сеть больницы продали оператору ransomware под видом доступа в сеть самого Дюссельдорфского университета. По крайней мере, сразу после уведомления со стороны немецкой полиции о принадлежности зашифрованных ресурсов медицинскому учреждению хакеры прислали дешифровщик.
И вот снова атака на больничную сеть. В этот раз пострадала бельгийская больница CHwapi, в ходе которой 40 серверов были зашифрованы.
Атака произошла в воскресенье, в ее результате больница прекратила оказание хирургической помощи и перенаправила пациентов, нуждающихся в неотложной медицинской помощи, в другие больницы.
Во вторник с журналистами BleepingComputer связались стоящие за атакой злоумышленники и сообщили, что они осуществили шифрование не каким-либо вымогателем, а штатным инструментом Windows BitLocker. Они оставили записку о выкупе, но IT-менеджеры не передали информацию о ней руководству больницы.
Хакеры сообщили, что вместо традиционных ransomware они используют Windows BitLocker и DiskCryptor. При этом никаких угрызений совести по поводу нападения на больницу они, похоже, не испытывают.
Кейс, конечно из ряда вон. Другое дело, что ходили слухи, согласно которым доступ в сеть больницы продали оператору ransomware под видом доступа в сеть самого Дюссельдорфского университета. По крайней мере, сразу после уведомления со стороны немецкой полиции о принадлежности зашифрованных ресурсов медицинскому учреждению хакеры прислали дешифровщик.
И вот снова атака на больничную сеть. В этот раз пострадала бельгийская больница CHwapi, в ходе которой 40 серверов были зашифрованы.
Атака произошла в воскресенье, в ее результате больница прекратила оказание хирургической помощи и перенаправила пациентов, нуждающихся в неотложной медицинской помощи, в другие больницы.
Во вторник с журналистами BleepingComputer связались стоящие за атакой злоумышленники и сообщили, что они осуществили шифрование не каким-либо вымогателем, а штатным инструментом Windows BitLocker. Они оставили записку о выкупе, но IT-менеджеры не передали информацию о ней руководству больницы.
Хакеры сообщили, что вместо традиционных ransomware они используют Windows BitLocker и DiskCryptor. При этом никаких угрызений совести по поводу нападения на больницу они, похоже, не испытывают.
BleepingComputer
CHwapi hospital hit by Windows BitLocker encryption cyberattack
The CHwapi hospital in Belgium is suffering from a cyberattack where threat actors claim to have encrypted 40 servers and 100 TB of data using Windows Bitlocker.
Инфосек компания Netscout сообщила, что обнаружила новый вектор усиления DDoS-атак через сервера Microsoft Windows RDP, работающих через порт UDP 3389.
При получении специальным образом сформированных пакетов UDP сервер RDP начинает отвечать с коэффициентом усиления 85,9 (более чем приличное значение). Исследователи выявили более 14 тыс. серверов RDP, которые могут быть использованы для проведения DDoS.
Эксперты Netscout утверждают, что наблюдают использование этого вектора атаки в дикой природе, мощность DDoS варьируется от 20 до 750 Гбит/c. Последствием фильтрации же трафика может повлечь нарушение легитимной работы RDP серверов.
В качестве мер защиты Netscout рекомендует использовать TCP порт 3389 вместо UDP, а также ставить сервера RDP за VPN.
При получении специальным образом сформированных пакетов UDP сервер RDP начинает отвечать с коэффициентом усиления 85,9 (более чем приличное значение). Исследователи выявили более 14 тыс. серверов RDP, которые могут быть использованы для проведения DDoS.
Эксперты Netscout утверждают, что наблюдают использование этого вектора атаки в дикой природе, мощность DDoS варьируется от 20 до 750 Гбит/c. Последствием фильтрации же трафика может повлечь нарушение легитимной работы RDP серверов.
В качестве мер защиты Netscout рекомендует использовать TCP порт 3389 вместо UDP, а также ставить сервера RDP за VPN.
NETSCOUT
Microsoft Remote Desktop Protocol (RDP) Reflection/Amplification DDoS Attack Mitigation Recommendations - January 2021 | NETSCOUT
Recently observed DDoS attacks leverage abusable Microsoft RDP service to launch UDP Reflection/Amplification attacks with an 85.9:1 amplification factor.
В конце декабря оператор ransomware взломал сеть Шотландского агентства охраны окружающей среды (SEPA). Мы эту новость видели, но не стали ее освещать - взломали и взломали, не в первый раз государственные агентства подвергаются атакам вымогателей.
Однако, в этот раз все зашло немного дальше. Во-первых, SEPA так и не смогло восстановить работоспособность своих сервисов. А во-вторых, владелец ransomware, которым оказалась группа Conti, последовал своим угрозам и опубликовал на своем DLS порядка 1,2 Гб украденной информации.
Судя по реакции SEPA, в опубликованных сведениях хватает персональных данных и конфиденциальной информации.
КНК, это первая утечка информации государственного агентства после атаки ransomware, разве нет?
Однако, в этот раз все зашло немного дальше. Во-первых, SEPA так и не смогло восстановить работоспособность своих сервисов. А во-вторых, владелец ransomware, которым оказалась группа Conti, последовал своим угрозам и опубликовал на своем DLS порядка 1,2 Гб украденной информации.
Судя по реакции SEPA, в опубликованных сведениях хватает персональных данных и конфиденциальной информации.
КНК, это первая утечка информации государственного агентства после атаки ransomware, разве нет?
The New York Times продолжает жечь напалмом.
В своей новой статье про противостояние администрации Байдена русским хакерам в киберпространстве журналисты пишут, что "сотрудники американской разведки пришли к выводу, что более тысячи российских программистов были most likely вовлечены во взлом SolarWinds".
Русские хакеры, тысячи их.
В своей новой статье про противостояние администрации Байдена русским хакерам в киберпространстве журналисты пишут, что "сотрудники американской разведки пришли к выводу, что более тысячи российских программистов были most likely вовлечены во взлом SolarWinds".
Русские хакеры, тысячи их.
NY Times
Biden Orders Sweeping Assessment of Russian Hacking, Even While Renewing Nuclear Treaty
There will be no “reset” of the American relationship with Moscow, administration officials say. But in an era of constant confrontation in cyberspace, the president seeks to avoid a nuclear arms race.
Коммерсант пишет, что мамкины хакеры рассылают владельцам ТГ-каналов трояны под видом рекламных материалов, чтобы эти самые каналы увести.
Никита Могутин, руководитель Baza, говорит, что злоумышленники могут представляться рекламными менеджерами платформы GeekBrains.
Самое смешное, что нам перед НГ тоже писали "менеджеры, ищущие площадки под рекламу GeekBrains". Но ничего не прислали и ушли в закат. Прямо как особист-контрразведчик из фильма ДМБ - "Денег предлагал, но не дал".
Жалко. Такой кейс прикольный мог бы получиться...
Никита Могутин, руководитель Baza, говорит, что злоумышленники могут представляться рекламными менеджерами платформы GeekBrains.
Самое смешное, что нам перед НГ тоже писали "менеджеры, ищущие площадки под рекламу GeekBrains". Но ничего не прислали и ушли в закат. Прямо как особист-контрразведчик из фильма ДМБ - "Денег предлагал, но не дал".
Жалко. Такой кейс прикольный мог бы получиться...
Коммерсантъ
Хакеры заказали рекламу в Telegram
Атаки на владельцев каналов в мессенджере участились
ZDNet сообщает, что на одном из хакерских форумов актором под псевдонимом ShinyHunters была выброшена в паблик база данных сайта знакомств MeetMindful.
База размером в 1,2 Гб содержит регистрационные данные пользователей, включая место проживания, информацию о предпочтениях при свидании, ID и токены аутентификации Facebook, а также хэшированные в bcrypt пароли. Внутренней переписки нет. Всего были выложены данные 2,28 млн. пользователей.
Утечка, конечно, приличная, но не самая большая и не первая. Кратенько только за 2020 год:
- в мае были украдены данные 3,6 млн. пользователей мобильного приложения для знакомств MobiFriends;
- в июне найдена незакрытая корзина Amazon S3, в которой лежали 845 Гб данных специализированных приложений для знакомств (3somes, Cougary, Xpal, BBW Dating, Casualx, SugarD, Herpes Dating, GHunt и др.), в том числе приватные фотографии, включая обнаженку и распознаваемые лица, скриншоты переписок, аудиозаписи,финансовая информация, а также личные данные, включавшие указанные при регистрации имена, даты рождения и адреса электронной почты;
- в сентябре найден открытый Elasticsearch сервер, содержащий базу данных 66 млн. push-уведомлений, которые сайты знакомств отправляли своим пользователям с помощью маркетинговой платформы Mailfire. Кроме копий сообщений, на база содержала "отладочную" информацию, в которую включались личные данные пользователей - имя, возраст, адрес электронной почты, местоположение и даже IP-адреса, а также ссылка на профиль пользователя и ключ аутентификации.
Так что сервисами знакомств надо пользоваться аккуратно. Лучшее решение по защите конфиденциальности - противогаз. Морду лица не видно, а душу - да.
База размером в 1,2 Гб содержит регистрационные данные пользователей, включая место проживания, информацию о предпочтениях при свидании, ID и токены аутентификации Facebook, а также хэшированные в bcrypt пароли. Внутренней переписки нет. Всего были выложены данные 2,28 млн. пользователей.
Утечка, конечно, приличная, но не самая большая и не первая. Кратенько только за 2020 год:
- в мае были украдены данные 3,6 млн. пользователей мобильного приложения для знакомств MobiFriends;
- в июне найдена незакрытая корзина Amazon S3, в которой лежали 845 Гб данных специализированных приложений для знакомств (3somes, Cougary, Xpal, BBW Dating, Casualx, SugarD, Herpes Dating, GHunt и др.), в том числе приватные фотографии, включая обнаженку и распознаваемые лица, скриншоты переписок, аудиозаписи,финансовая информация, а также личные данные, включавшие указанные при регистрации имена, даты рождения и адреса электронной почты;
- в сентябре найден открытый Elasticsearch сервер, содержащий базу данных 66 млн. push-уведомлений, которые сайты знакомств отправляли своим пользователям с помощью маркетинговой платформы Mailfire. Кроме копий сообщений, на база содержала "отладочную" информацию, в которую включались личные данные пользователей - имя, возраст, адрес электронной почты, местоположение и даже IP-адреса, а также ссылка на профиль пользователя и ключ аутентификации.
Так что сервисами знакомств надо пользоваться аккуратно. Лучшее решение по защите конфиденциальности - противогаз. Морду лица не видно, а душу - да.
ZDNET
Hacker leaks data of 2.28 million dating site users
Data belongs to dating site MeetMindful and includes everything from real names to Facebook account tokens, and from email addresses and geo-location information.
Голландский исследователь (или исследовательница, их там хрен поймешь с этим дайверсити) VriesHd выложил результаты своего анализа более 200 тыс. поддоменов avsvmcloud .com, использовавшегося в ходе атаки Sunburst на американского IT-разработчика SolarWinds.
Напомним, что бэкдор Sunburst шифровал собранные сведения о зараженной сети и передавал их управляющему центру в виде DNS-запросов. Таким образом, расшифровав эти данные можно попробовать получить информацию о предполагаемой жертве.
VriesHd отбросил "белый шум", расшифровал данные, в том числе с использованием ранее созданных для этих целей инструментов инфосек вендоров FireEye, QiAnXin и NETRESEC, и получил информацию в отношении порядка 35 тыс. жертв, которые были заражены Sunburst. Несколько российских доменов мы в нем нашли - к примеру detmir-group .ru или bristolcapital .ru.
Конечно, этот список не окончательный и если домена компании, использующей SolarWinds Orion, в нем нет, то из этого автоматически не следует, что она не была заражена.
Напомним, что бэкдор Sunburst шифровал собранные сведения о зараженной сети и передавал их управляющему центру в виде DNS-запросов. Таким образом, расшифровав эти данные можно попробовать получить информацию о предполагаемой жертве.
VriesHd отбросил "белый шум", расшифровал данные, в том числе с использованием ранее созданных для этих целей инструментов инфосек вендоров FireEye, QiAnXin и NETRESEC, и получил информацию в отношении порядка 35 тыс. жертв, которые были заражены Sunburst. Несколько российских доменов мы в нем нашли - к примеру detmir-group .ru или bristolcapital .ru.
Конечно, этот список не окончательный и если домена компании, использующей SolarWinds Orion, в нем нет, то из этого автоматически не следует, что она не была заражена.
Medium
Finding SUNBURST victims and targets by using passive DNS, OSINT
And a bit of cheating along the way
Южноафриканские СМИ рассказывают как просто и незатейливо можно свиснуть IP-адресов на 80 миллионов долларов.
Соучредитель и по совместительству инженер Африканского сетевого информационного центра (AFRINIC) Эрнест Бьяруханга в течение нескольких лет переписал на своих подельников более 4,1 млн. IP-адресов, распределением которых и занимается AFRINIC.
Первым на это обратил внимание интернет-активист Рон Гильметт, который еще в ноябре 2016 года обнаружил, что большие блоки африканских IP-адресов захвачены спамерами. Только через два с половиной года правоохранительные органы (в первую очередь ФБР) обратили на это внимание, а год назад AFRINIC стал возвращать в свое ведение украденные IP-адреса. При этом спамеры и подельники Бьяруханги стали с ним судиться. Правда в суде отказались предоставить какие-либо документы, подтверждающие покупку этих IP-адресов.
А сейчас AFRINIC опубликовал официальный отчет внутренней ревизии, в котором подтвердил факт кражи Бьярухангой этих самых 4,1 млн. IP-адресов.
Киберпреступность по-южноафрикански.
Соучредитель и по совместительству инженер Африканского сетевого информационного центра (AFRINIC) Эрнест Бьяруханга в течение нескольких лет переписал на своих подельников более 4,1 млн. IP-адресов, распределением которых и занимается AFRINIC.
Первым на это обратил внимание интернет-активист Рон Гильметт, который еще в ноябре 2016 года обнаружил, что большие блоки африканских IP-адресов захвачены спамерами. Только через два с половиной года правоохранительные органы (в первую очередь ФБР) обратили на это внимание, а год назад AFRINIC стал возвращать в свое ведение украденные IP-адреса. При этом спамеры и подельники Бьяруханги стали с ним судиться. Правда в суде отказались предоставить какие-либо документы, подтверждающие покупку этих IP-адресов.
А сейчас AFRINIC опубликовал официальный отчет внутренней ревизии, в котором подтвердил факт кражи Бьярухангой этих самых 4,1 млн. IP-адресов.
Киберпреступность по-южноафрикански.
MyBroadband
R1.3-billion worth of IP addresses stolen in brazen heist
AFRINIC’s internal audit revealed theft of over 4 million IP addresses worth R1.3 billion.
На Hackmaggedon стали публиковать интерактивные карты кибератак. Ранее исследователи представляли данные в виде таблиц.
Безусловно, на сайте отражены не все кибератаки, но если вы интересуетесь темой, то это весьма удобный формат для первичного ознакомления.
Безусловно, на сайте отражены не все кибератаки, но если вы интересуетесь темой, то это весьма удобный формат для первичного ознакомления.
HACKMAGEDDON
1-15 January 2021 Cyber Attacks Timeline
I am happy to announce that starting from this first blog post, I have introduced an important change. Now the list of cyber attacks is a real interactive timeline.
Иран решил не отставать от США в части применения передовых демократических практик и во славу народовластия и свободы слова заблокировал Signal.
Twitter
AmiR Rashidi
Update: @signalapp's website was blocked by TIC and the app is blocked on ISP level. https://t.co/pktAWPlRab
Google Threat Analysis Group (TAG) выпустили отчет, в котором рассказали, что северокорейские хакеры создали своеобразную "медовую ловушку" для инфосек исследовтелей.
Если в обычном случае "медовой ловушки" в качестве приманки используется образ прекрасной незнакомки, одиноко грустящей где-то в недрах Tinder или Facebook, то в случае с инфосек экспертами это вряд ли бы прокатило. Ведь единственное, что может затмить им глаза - это информация о новой, свежей уязвимости. Этим хонгильдоновы сыны и воспользовались.
Северокорейцы создали фейковый блог, посвященный информационной безопасности, а также множество вымышленных аккаунтов в Twitter, в которых постили ссылки на материалы блога, видео с использованием эксплойтов и т.д. Далее они устанавливали контакт с настоящими инфосек исследователями и предлагали совместное взаимодействие.
В одном случае они, кстати, запостили фейковое видео про якобы работающий эксплойт свежей уязвимости CVE-2021-1647 в Windows Defender, но их быстро раскусили, после чего они стали дефендить себя же с других своих аккаунтов.
После установления контакта и использования приемов социальной инженерии хакеры из КНДР предлагали работать над совместным проектом Visual Studio, в котором, естественно, сидела вредоносная библиотека.
Само собой, что этот прием срабатывал, как мы полагаем, нечасто, в силу чего северокорейцы развернули цепочку эксплойтов 0-day уязвимостей для Chrome и Windows 10 на своем инфосек-блоге, посредством которых заражали посещающих его экспертов.
Северокорейский фейковый инфосек блог находится здесь - blog .br0vvnn .io. Ни в коем случае не заходите! Информация чисто для сведения!
Остается добавить, что один из наших редакторов около года назад чуть не поймал два трояна, посещая исключительно инфосек ресурсы. Мы бы погрешили на то, что он тайком смотрит порно, но он абсолютный гик и асексуал. Думаем на китайцев.
Если в обычном случае "медовой ловушки" в качестве приманки используется образ прекрасной незнакомки, одиноко грустящей где-то в недрах Tinder или Facebook, то в случае с инфосек экспертами это вряд ли бы прокатило. Ведь единственное, что может затмить им глаза - это информация о новой, свежей уязвимости. Этим хонгильдоновы сыны и воспользовались.
Северокорейцы создали фейковый блог, посвященный информационной безопасности, а также множество вымышленных аккаунтов в Twitter, в которых постили ссылки на материалы блога, видео с использованием эксплойтов и т.д. Далее они устанавливали контакт с настоящими инфосек исследователями и предлагали совместное взаимодействие.
В одном случае они, кстати, запостили фейковое видео про якобы работающий эксплойт свежей уязвимости CVE-2021-1647 в Windows Defender, но их быстро раскусили, после чего они стали дефендить себя же с других своих аккаунтов.
После установления контакта и использования приемов социальной инженерии хакеры из КНДР предлагали работать над совместным проектом Visual Studio, в котором, естественно, сидела вредоносная библиотека.
Само собой, что этот прием срабатывал, как мы полагаем, нечасто, в силу чего северокорейцы развернули цепочку эксплойтов 0-day уязвимостей для Chrome и Windows 10 на своем инфосек-блоге, посредством которых заражали посещающих его экспертов.
Северокорейский фейковый инфосек блог находится здесь - blog .br0vvnn .io. Ни в коем случае не заходите! Информация чисто для сведения!
Остается добавить, что один из наших редакторов около года назад чуть не поймал два трояна, посещая исключительно инфосек ресурсы. Мы бы погрешили на то, что он тайком смотрит порно, но он абсолютный гик и асексуал. Думаем на китайцев.
ZDNET
Google: North Korean hackers have targeted security researchers via social media
Google TAG warns security researchers to be on the lookout when approached by unknown individuals on social media.
Что-то мы в последнее время редко пишем про атаки ransomware. Исправляемся.
Австрийская компания Palfinger AG, которая является ведущими в мире производителем кранов и подъемников и имеет доход за 2019 год в размере 1,75 млрд. евро, подверглась атаке неназванного вымогателя.
Как сообщается на сайте фирмы, Palfinger находится под продолжающейся кибератакой, в результате которой отключена электронная почта и не работает ERP. Затронута значительная часть офисов по всему миру.
Исходя из заданных параметров можно откинуть DDoS и считать доказанным, что австрийцы попали под каток ransomware. Осталось только узнать какого и дождаться информации о сумме выкупа.
Ну а мы, как всегда в таких случаях, напоминаем прекрасную поговорку "Кроилово приводит к попадалову", которая в вопросах информационной безопасности особенно актуальна. Особенно в компаниях с доходом в 1,75 млрд. евро.
Австрийская компания Palfinger AG, которая является ведущими в мире производителем кранов и подъемников и имеет доход за 2019 год в размере 1,75 млрд. евро, подверглась атаке неназванного вымогателя.
Как сообщается на сайте фирмы, Palfinger находится под продолжающейся кибератакой, в результате которой отключена электронная почта и не работает ERP. Затронута значительная часть офисов по всему миру.
Исходя из заданных параметров можно откинуть DDoS и считать доказанным, что австрийцы попали под каток ransomware. Осталось только узнать какого и дождаться информации о сумме выкупа.
Ну а мы, как всегда в таких случаях, напоминаем прекрасную поговорку "Кроилово приводит к попадалову", которая в вопросах информационной безопасности особенно актуальна. Особенно в компаниях с доходом в 1,75 млрд. евро.
www.palfinger.ag
Cyber attack at PALFINGER Group | PALFINGER AG
В продолжение этого поста. Народ во всю стебется над "близкими контактами" с северокорейскими хакерами.
—Партнерский материал—
DevSecOps Wine
В 2017 году происходит масштабная утечка данных Equifax в следствие отсутствии проверки SCA в процессе разработки.
В 2019 году уязвимость, связанная с runC, подвергает опасности тысячи кластеров Kubernetes.
В 2020 осуществляется серия атак на API Docker со стороны группировки TeamTNT с помощью легитимных образов Ubuntu и Weave Scope.
Все это является следствием упущений в обеспечении DevSecOps.
DevSecOps Wine - канал про выстраивание безопасной разработки и AppSec. Автор поднимает темы безопасности Kubernetes, Docker, облаков (AWS, GCP, Azure), а тажке того, что касается современных SAST, DAST, SCA и других средств, встраиваемых в CI/CD. Все это разбавляется техниками тестирования на проникновение и защитой веба.
DevSecOps Wine
В 2017 году происходит масштабная утечка данных Equifax в следствие отсутствии проверки SCA в процессе разработки.
В 2019 году уязвимость, связанная с runC, подвергает опасности тысячи кластеров Kubernetes.
В 2020 осуществляется серия атак на API Docker со стороны группировки TeamTNT с помощью легитимных образов Ubuntu и Weave Scope.
Все это является следствием упущений в обеспечении DevSecOps.
DevSecOps Wine - канал про выстраивание безопасной разработки и AppSec. Автор поднимает темы безопасности Kubernetes, Docker, облаков (AWS, GCP, Azure), а тажке того, что касается современных SAST, DAST, SCA и других средств, встраиваемых в CI/CD. Все это разбавляется техниками тестирования на проникновение и защитой веба.
Telegram
Security Wine (бывший - DevSecOps Wine)
https://radcop.online/
"Security everywhere!"
🐛🦋Канал, в котором публикуются материалы о "выращивании" безопасности в организации (а начиналось все с безопасного DevOps и shift security left!)
По всем вопросам: @surmatmg
"Security everywhere!"
🐛🦋Канал, в котором публикуются материалы о "выращивании" безопасности в организации (а начиналось все с безопасного DevOps и shift security left!)
По всем вопросам: @surmatmg
И еще одно последствие истории с северокорейскими хакерами - взаимное доверие между инфосек исследователями восстановится теперь нескоро.
Twitter
Ivan Fratric 💙💛
Security researchers messaging each other after today
Apple выпустили обновления безопасности для iOS и iPadOS. Обновления исправляют три 0-day уязвимости - CVE-2021-1780,1781, 1782.
Две первых ошибки находятся в браузерном движке WebKit, который используется в Safari, и позволяют осуществить удаленное выполнение кода (RCE). Третья CVE касается ядра и позволяет повысить привилегии.
Информация обо всех трех уязвимостях получены Apple от анонимного источника и, по сообщениям компании, они используются в дикой природе.
Есть мнение, что эти три уязвимости являются составляющими одного эксплойт-кита, который применяется хакерами для атак на яблочные гаджеты посредством вредоносных или скомпрометированных сайтов.
В любом случае, три использующиеся в дикой природе CVE, которые позволяют осуществлять RCE и повышение привилегий, - это повод каждому пользователю iPhone или iPad СРОЧНО обновить свое устройство.
Две первых ошибки находятся в браузерном движке WebKit, который используется в Safari, и позволяют осуществить удаленное выполнение кода (RCE). Третья CVE касается ядра и позволяет повысить привилегии.
Информация обо всех трех уязвимостях получены Apple от анонимного источника и, по сообщениям компании, они используются в дикой природе.
Есть мнение, что эти три уязвимости являются составляющими одного эксплойт-кита, который применяется хакерами для атак на яблочные гаджеты посредством вредоносных или скомпрометированных сайтов.
В любом случае, три использующиеся в дикой природе CVE, которые позволяют осуществлять RCE и повышение привилегий, - это повод каждому пользователю iPhone или iPad СРОЧНО обновить свое устройство.
Apple Support
About the security content of iOS 14.4 and iPadOS 14.4
This document describes the security content of iOS 14.4 and iPadOS 14.4.
Как сообщают сразу несколько изданий, к примеру ZDNet, на этой неделе сразу четыре инфосек компании признали, что стали жертвами атаки Sunburst посредством затрояненого SolarWinds Orion.
Целями хакеров стали Palo Alto Networks, Mimecast, Qualys и Fidelis.
Palo Alto Networks заявили, что в сентябре и октябре 2020 года обнаружили два инцидента безопасности, связанные с одним из серверов. Однако тогда было установлено, что компрометации данных не произошло, вследствие чего попытка атаки была признана неудачной. Поэтому Palo Alto Networks забили на дальнейшее расследование и только после вскрытия атаки Sunburst экспертами FireEye догадались еще раз пересмотреть имеющиеся данные и обнаружили, что их пытались накрячить (а возможно и накрячили, коли они в первый раз не обнаружили первоисточника атаки) через SolarWinds Orion. Прекрасная демонстрация "серьезного" отношения к инцидентам ИБ со стороны одного из ведущих инфосек вендоров.
Mimecast были уведомлены в январе этого года Microsoft, что один из их сертификатов скомпрометирован и используется хакерами для доступа у учетным записям клиентов компании. По результатам двухнедельного расследования Mimecast сообщили, что их ресурсы были взломаны через SolarWinds Orion. Видимо, до этого проверить есть ли в ПО троян они не догадались
В понедельник из отчетов исследователей о доменах жертв Sunburst (данные можно получить дешифровкой DNS-запросов, мы писали об этом здесь) стало известно, что компания Qualys также получила свою порцию бэкдора Sunburst. Но калифорнийские товарищи решили мазаться с порога и заявили, что это они сами установили зараженный SolarWinds Orion в тестовой среде для изучения. Правда при этом скомпрометированный домен почему то назывался corp .qualys .com. Очередной яркий пример PR с человеческим лицом имени Грефа, выражающийся бессмертной фразой "я не я и корова не моя".
Еще одни кудесники паблик релейшонс из Fidelis заявили, что установили SolarWinds Orion в тестовую среду аж в мае 2020 года, при этом с целью маскировки (а для чего еще?!) они обозвали ее hq .fidelis. HQ напоминает вам сокращение от Headquaters? Окститесь, это тестовая среда и никак иначе!
Не инфосек, а Гайдай какой-то.
Целями хакеров стали Palo Alto Networks, Mimecast, Qualys и Fidelis.
Palo Alto Networks заявили, что в сентябре и октябре 2020 года обнаружили два инцидента безопасности, связанные с одним из серверов. Однако тогда было установлено, что компрометации данных не произошло, вследствие чего попытка атаки была признана неудачной. Поэтому Palo Alto Networks забили на дальнейшее расследование и только после вскрытия атаки Sunburst экспертами FireEye догадались еще раз пересмотреть имеющиеся данные и обнаружили, что их пытались накрячить (а возможно и накрячили, коли они в первый раз не обнаружили первоисточника атаки) через SolarWinds Orion. Прекрасная демонстрация "серьезного" отношения к инцидентам ИБ со стороны одного из ведущих инфосек вендоров.
Mimecast были уведомлены в январе этого года Microsoft, что один из их сертификатов скомпрометирован и используется хакерами для доступа у учетным записям клиентов компании. По результатам двухнедельного расследования Mimecast сообщили, что их ресурсы были взломаны через SolarWinds Orion. Видимо, до этого проверить есть ли в ПО троян они не догадались
В понедельник из отчетов исследователей о доменах жертв Sunburst (данные можно получить дешифровкой DNS-запросов, мы писали об этом здесь) стало известно, что компания Qualys также получила свою порцию бэкдора Sunburst. Но калифорнийские товарищи решили мазаться с порога и заявили, что это они сами установили зараженный SolarWinds Orion в тестовой среде для изучения. Правда при этом скомпрометированный домен почему то назывался corp .qualys .com. Очередной яркий пример PR с человеческим лицом имени Грефа, выражающийся бессмертной фразой "я не я и корова не моя".
Еще одни кудесники паблик релейшонс из Fidelis заявили, что установили SolarWinds Orion в тестовую среду аж в мае 2020 года, при этом с целью маскировки (а для чего еще?!) они обозвали ее hq .fidelis. HQ напоминает вам сокращение от Headquaters? Окститесь, это тестовая среда и никак иначе!
Не инфосек, а Гайдай какой-то.
ZDNET
Four security vendors disclose SolarWinds-related incidents
Mimecast, Palo Alto Networks, Qualys, and Fidelis confirmed this week they were also targeted during the SolarWinds supply chain attack.
Американская компания Qualys, несмотря на явные косяки с SolarWinds Orion, умеет и в хороший инфосек.
Исследователи обнаружили уязвимость в sudo, связанную с переполнением кучи, которая может эксплуатироваться любым локальным пользователем без аутентификации и присутствует аж с июля 2011 года. Ошибка получила CVE-2021-3156 и собственное название Baron Samedit.
Qualys разработали три эксплойта уязвимости, в результате применения которых получили рутовые права в Ubuntu 20.04, Debian 10 и Fedora 33. Как эксперты говорят, вероятно ей подвержены и другие nix-системы.
Рекомендуется всем срочно обновить sudo до версии 1.9.5p2, которая вышла вчера.
Исследователи обнаружили уязвимость в sudo, связанную с переполнением кучи, которая может эксплуатироваться любым локальным пользователем без аутентификации и присутствует аж с июля 2011 года. Ошибка получила CVE-2021-3156 и собственное название Baron Samedit.
Qualys разработали три эксплойта уязвимости, в результате применения которых получили рутовые права в Ubuntu 20.04, Debian 10 и Fedora 33. Как эксперты говорят, вероятно ей подвержены и другие nix-системы.
Рекомендуется всем срочно обновить sudo до версии 1.9.5p2, которая вышла вчера.
Правоохранительные органы США и Болгарии закрыли сайты в Даркнете, принадлежащие группе-владельцу ransomware NetWalker, в том числе и сайт, на котором публиковалась украденная у жертв информация (DLS).
На ресурсах появились заглушки с информацией о том, что они захвачены ФБР. Какой-либо иной информации, в том числе при чем здесь болгары, пока не опубликовано.
NetWalker - ransomware, работающее по схеме as-a-Service. Не самый мощный вымогатель, по оценкам McAfee за первые пять месяцев 2020 года его владелец заработал 25 млн. долларов. Зато во второй половине года NetWalker отличился несколькими громкими атаками.
Специализировавшийся ранее, в основном, в атаках на американские учебные заведения, в сентябре NetWalker зашифровал сеть аргентинского Агентства иммиграции (Direccion Nacional de Migraciones), в результате чего 4 часа не работали КПП на аргентинской границе. В том же месяце жертвой стала пакистанская электросетевая компания K-Electric, являющаяся единственным поставщиком электричества в 15-миллионный Карачи. А в октябре NetWalker удачно атаковал европейского энергетического гиганта Enel Group, размер требуемого выкупа составил 14 млн. долларов.
Охота за сайтами утечек ransomware в настоящее время, пожалуй, единственная внятная мера борьбы с вымогателями.
На ресурсах появились заглушки с информацией о том, что они захвачены ФБР. Какой-либо иной информации, в том числе при чем здесь болгары, пока не опубликовано.
NetWalker - ransomware, работающее по схеме as-a-Service. Не самый мощный вымогатель, по оценкам McAfee за первые пять месяцев 2020 года его владелец заработал 25 млн. долларов. Зато во второй половине года NetWalker отличился несколькими громкими атаками.
Специализировавшийся ранее, в основном, в атаках на американские учебные заведения, в сентябре NetWalker зашифровал сеть аргентинского Агентства иммиграции (Direccion Nacional de Migraciones), в результате чего 4 часа не работали КПП на аргентинской границе. В том же месяце жертвой стала пакистанская электросетевая компания K-Electric, являющаяся единственным поставщиком электричества в 15-миллионный Карачи. А в октябре NetWalker удачно атаковал европейского энергетического гиганта Enel Group, размер требуемого выкупа составил 14 млн. долларов.
Охота за сайтами утечек ransomware в настоящее время, пожалуй, единственная внятная мера борьбы с вымогателями.
Как мы помним, в конце прошлого года компания Apple ввела новые правила для разработчиков приложений, в соответствии с которыми последние обязаны сообщать какую конкретно пользовательскую информацию их ПО собирает и каким образом использует. Соответственно, пользователям доступны эти данные и они сами могут судить насколько то или иное приложение затрагивает их конфиденциальность.
Мелкие разработчики подчинились этим требованиям под угрозой выпила из AppStore, а вот технологические гиганты стали выражать свое недовольство и юлить.
Сначала Цукерберг на совещании по доходам за 4 квартал прошлого года заявил, что Apple все это придумало специально, чтобы выиграть конкуренцию у Facebook. И вообще яблочники сами редиски, поскольку в iMessage в некоторых случаях сообщения хранятся нешифрованными, в отличие от принадлежащего Цукербергу WhatsApp.
Владельцу Facebook действительно есть из-за чего переживать. Во-первых из WhatsApp после анонса изменения политики конфиденциальности в сторону альтернативных мессенджеров валят десятки миллионов пользователей. А во-вторых, после введения Apple новых правил стало понятно, что приложение Facebook тащит с устройства пользователя вообще все, до чего только может дотянуться. Не далеко от него ушел и WhatsApp, в отличие от тех же Telegram и Signal.
Да и камланиям Цукерберга относительно приватности WhatsApp мы тоже не сильно доверяем, поскольку Марк ярко показал свою полную подконтрольность победившему в США истеблишменту. А следовательно и американские спецслужбы пасутся на серверах мессенджера в полный рост (мы вам даже по секрету всему свету скажем, что кое-какие хитрые американские партнеры подторговывают переписками WhatsApp, используя предоставленный им доступ).
Вторыми выступили Google, которые сообщили, что пока не предоставляют в Apple информацию о сборе данных своими приложениями, но будут. Правда будут не сразу, а по мере появления обновления своих приложений. Но при этом они будут предпринимать меры по разработке новых способов сбора сведений, которые не будут подпадать под правила Apple.
И уже сегодня Apple накрыли всех медным тазом и опубликовали отчет, в котором сообщили, что, оказывается, в среднем в мобильном приложении содержится ШЕСТЬ (!) трекеров от сторонних компаний, предназначенных для сбора и агрегации персональных данных. А вообще этот рынок приносит 227 млрд. долларов в год.
На этом фоне беспокойство Facebook и Google более чем понятно.
Мелкие разработчики подчинились этим требованиям под угрозой выпила из AppStore, а вот технологические гиганты стали выражать свое недовольство и юлить.
Сначала Цукерберг на совещании по доходам за 4 квартал прошлого года заявил, что Apple все это придумало специально, чтобы выиграть конкуренцию у Facebook. И вообще яблочники сами редиски, поскольку в iMessage в некоторых случаях сообщения хранятся нешифрованными, в отличие от принадлежащего Цукербергу WhatsApp.
Владельцу Facebook действительно есть из-за чего переживать. Во-первых из WhatsApp после анонса изменения политики конфиденциальности в сторону альтернативных мессенджеров валят десятки миллионов пользователей. А во-вторых, после введения Apple новых правил стало понятно, что приложение Facebook тащит с устройства пользователя вообще все, до чего только может дотянуться. Не далеко от него ушел и WhatsApp, в отличие от тех же Telegram и Signal.
Да и камланиям Цукерберга относительно приватности WhatsApp мы тоже не сильно доверяем, поскольку Марк ярко показал свою полную подконтрольность победившему в США истеблишменту. А следовательно и американские спецслужбы пасутся на серверах мессенджера в полный рост (мы вам даже по секрету всему свету скажем, что кое-какие хитрые американские партнеры подторговывают переписками WhatsApp, используя предоставленный им доступ).
Вторыми выступили Google, которые сообщили, что пока не предоставляют в Apple информацию о сборе данных своими приложениями, но будут. Правда будут не сразу, а по мере появления обновления своих приложений. Но при этом они будут предпринимать меры по разработке новых способов сбора сведений, которые не будут подпадать под правила Apple.
И уже сегодня Apple накрыли всех медным тазом и опубликовали отчет, в котором сообщили, что, оказывается, в среднем в мобильном приложении содержится ШЕСТЬ (!) трекеров от сторонних компаний, предназначенных для сбора и агрегации персональных данных. А вообще этот рынок приносит 227 млрд. долларов в год.
На этом фоне беспокойство Facebook и Google более чем понятно.
Google
Preparing our partners for Apple’s iOS 14 policy updates
We’re sharing how Google is helping developers and advertisers prepare for Apple’s iOS 14 policy updates.