В продолжение этого поста. Народ во всю стебется над "близкими контактами" с северокорейскими хакерами.
—Партнерский материал—
DevSecOps Wine
В 2017 году происходит масштабная утечка данных Equifax в следствие отсутствии проверки SCA в процессе разработки.
В 2019 году уязвимость, связанная с runC, подвергает опасности тысячи кластеров Kubernetes.
В 2020 осуществляется серия атак на API Docker со стороны группировки TeamTNT с помощью легитимных образов Ubuntu и Weave Scope.
Все это является следствием упущений в обеспечении DevSecOps.
DevSecOps Wine - канал про выстраивание безопасной разработки и AppSec. Автор поднимает темы безопасности Kubernetes, Docker, облаков (AWS, GCP, Azure), а тажке того, что касается современных SAST, DAST, SCA и других средств, встраиваемых в CI/CD. Все это разбавляется техниками тестирования на проникновение и защитой веба.
DevSecOps Wine
В 2017 году происходит масштабная утечка данных Equifax в следствие отсутствии проверки SCA в процессе разработки.
В 2019 году уязвимость, связанная с runC, подвергает опасности тысячи кластеров Kubernetes.
В 2020 осуществляется серия атак на API Docker со стороны группировки TeamTNT с помощью легитимных образов Ubuntu и Weave Scope.
Все это является следствием упущений в обеспечении DevSecOps.
DevSecOps Wine - канал про выстраивание безопасной разработки и AppSec. Автор поднимает темы безопасности Kubernetes, Docker, облаков (AWS, GCP, Azure), а тажке того, что касается современных SAST, DAST, SCA и других средств, встраиваемых в CI/CD. Все это разбавляется техниками тестирования на проникновение и защитой веба.
Telegram
Security Wine (бывший - DevSecOps Wine)
https://radcop.online/
"Security everywhere!"
🐛🦋Канал, в котором публикуются материалы о "выращивании" безопасности в организации (а начиналось все с безопасного DevOps и shift security left!)
По всем вопросам: @surmatmg
"Security everywhere!"
🐛🦋Канал, в котором публикуются материалы о "выращивании" безопасности в организации (а начиналось все с безопасного DevOps и shift security left!)
По всем вопросам: @surmatmg
И еще одно последствие истории с северокорейскими хакерами - взаимное доверие между инфосек исследователями восстановится теперь нескоро.
Twitter
Ivan Fratric 💙💛
Security researchers messaging each other after today
Apple выпустили обновления безопасности для iOS и iPadOS. Обновления исправляют три 0-day уязвимости - CVE-2021-1780,1781, 1782.
Две первых ошибки находятся в браузерном движке WebKit, который используется в Safari, и позволяют осуществить удаленное выполнение кода (RCE). Третья CVE касается ядра и позволяет повысить привилегии.
Информация обо всех трех уязвимостях получены Apple от анонимного источника и, по сообщениям компании, они используются в дикой природе.
Есть мнение, что эти три уязвимости являются составляющими одного эксплойт-кита, который применяется хакерами для атак на яблочные гаджеты посредством вредоносных или скомпрометированных сайтов.
В любом случае, три использующиеся в дикой природе CVE, которые позволяют осуществлять RCE и повышение привилегий, - это повод каждому пользователю iPhone или iPad СРОЧНО обновить свое устройство.
Две первых ошибки находятся в браузерном движке WebKit, который используется в Safari, и позволяют осуществить удаленное выполнение кода (RCE). Третья CVE касается ядра и позволяет повысить привилегии.
Информация обо всех трех уязвимостях получены Apple от анонимного источника и, по сообщениям компании, они используются в дикой природе.
Есть мнение, что эти три уязвимости являются составляющими одного эксплойт-кита, который применяется хакерами для атак на яблочные гаджеты посредством вредоносных или скомпрометированных сайтов.
В любом случае, три использующиеся в дикой природе CVE, которые позволяют осуществлять RCE и повышение привилегий, - это повод каждому пользователю iPhone или iPad СРОЧНО обновить свое устройство.
Apple Support
About the security content of iOS 14.4 and iPadOS 14.4
This document describes the security content of iOS 14.4 and iPadOS 14.4.
Как сообщают сразу несколько изданий, к примеру ZDNet, на этой неделе сразу четыре инфосек компании признали, что стали жертвами атаки Sunburst посредством затрояненого SolarWinds Orion.
Целями хакеров стали Palo Alto Networks, Mimecast, Qualys и Fidelis.
Palo Alto Networks заявили, что в сентябре и октябре 2020 года обнаружили два инцидента безопасности, связанные с одним из серверов. Однако тогда было установлено, что компрометации данных не произошло, вследствие чего попытка атаки была признана неудачной. Поэтому Palo Alto Networks забили на дальнейшее расследование и только после вскрытия атаки Sunburst экспертами FireEye догадались еще раз пересмотреть имеющиеся данные и обнаружили, что их пытались накрячить (а возможно и накрячили, коли они в первый раз не обнаружили первоисточника атаки) через SolarWinds Orion. Прекрасная демонстрация "серьезного" отношения к инцидентам ИБ со стороны одного из ведущих инфосек вендоров.
Mimecast были уведомлены в январе этого года Microsoft, что один из их сертификатов скомпрометирован и используется хакерами для доступа у учетным записям клиентов компании. По результатам двухнедельного расследования Mimecast сообщили, что их ресурсы были взломаны через SolarWinds Orion. Видимо, до этого проверить есть ли в ПО троян они не догадались
В понедельник из отчетов исследователей о доменах жертв Sunburst (данные можно получить дешифровкой DNS-запросов, мы писали об этом здесь) стало известно, что компания Qualys также получила свою порцию бэкдора Sunburst. Но калифорнийские товарищи решили мазаться с порога и заявили, что это они сами установили зараженный SolarWinds Orion в тестовой среде для изучения. Правда при этом скомпрометированный домен почему то назывался corp .qualys .com. Очередной яркий пример PR с человеческим лицом имени Грефа, выражающийся бессмертной фразой "я не я и корова не моя".
Еще одни кудесники паблик релейшонс из Fidelis заявили, что установили SolarWinds Orion в тестовую среду аж в мае 2020 года, при этом с целью маскировки (а для чего еще?!) они обозвали ее hq .fidelis. HQ напоминает вам сокращение от Headquaters? Окститесь, это тестовая среда и никак иначе!
Не инфосек, а Гайдай какой-то.
Целями хакеров стали Palo Alto Networks, Mimecast, Qualys и Fidelis.
Palo Alto Networks заявили, что в сентябре и октябре 2020 года обнаружили два инцидента безопасности, связанные с одним из серверов. Однако тогда было установлено, что компрометации данных не произошло, вследствие чего попытка атаки была признана неудачной. Поэтому Palo Alto Networks забили на дальнейшее расследование и только после вскрытия атаки Sunburst экспертами FireEye догадались еще раз пересмотреть имеющиеся данные и обнаружили, что их пытались накрячить (а возможно и накрячили, коли они в первый раз не обнаружили первоисточника атаки) через SolarWinds Orion. Прекрасная демонстрация "серьезного" отношения к инцидентам ИБ со стороны одного из ведущих инфосек вендоров.
Mimecast были уведомлены в январе этого года Microsoft, что один из их сертификатов скомпрометирован и используется хакерами для доступа у учетным записям клиентов компании. По результатам двухнедельного расследования Mimecast сообщили, что их ресурсы были взломаны через SolarWinds Orion. Видимо, до этого проверить есть ли в ПО троян они не догадались
В понедельник из отчетов исследователей о доменах жертв Sunburst (данные можно получить дешифровкой DNS-запросов, мы писали об этом здесь) стало известно, что компания Qualys также получила свою порцию бэкдора Sunburst. Но калифорнийские товарищи решили мазаться с порога и заявили, что это они сами установили зараженный SolarWinds Orion в тестовой среде для изучения. Правда при этом скомпрометированный домен почему то назывался corp .qualys .com. Очередной яркий пример PR с человеческим лицом имени Грефа, выражающийся бессмертной фразой "я не я и корова не моя".
Еще одни кудесники паблик релейшонс из Fidelis заявили, что установили SolarWinds Orion в тестовую среду аж в мае 2020 года, при этом с целью маскировки (а для чего еще?!) они обозвали ее hq .fidelis. HQ напоминает вам сокращение от Headquaters? Окститесь, это тестовая среда и никак иначе!
Не инфосек, а Гайдай какой-то.
ZDNET
Four security vendors disclose SolarWinds-related incidents
Mimecast, Palo Alto Networks, Qualys, and Fidelis confirmed this week they were also targeted during the SolarWinds supply chain attack.
Американская компания Qualys, несмотря на явные косяки с SolarWinds Orion, умеет и в хороший инфосек.
Исследователи обнаружили уязвимость в sudo, связанную с переполнением кучи, которая может эксплуатироваться любым локальным пользователем без аутентификации и присутствует аж с июля 2011 года. Ошибка получила CVE-2021-3156 и собственное название Baron Samedit.
Qualys разработали три эксплойта уязвимости, в результате применения которых получили рутовые права в Ubuntu 20.04, Debian 10 и Fedora 33. Как эксперты говорят, вероятно ей подвержены и другие nix-системы.
Рекомендуется всем срочно обновить sudo до версии 1.9.5p2, которая вышла вчера.
Исследователи обнаружили уязвимость в sudo, связанную с переполнением кучи, которая может эксплуатироваться любым локальным пользователем без аутентификации и присутствует аж с июля 2011 года. Ошибка получила CVE-2021-3156 и собственное название Baron Samedit.
Qualys разработали три эксплойта уязвимости, в результате применения которых получили рутовые права в Ubuntu 20.04, Debian 10 и Fedora 33. Как эксперты говорят, вероятно ей подвержены и другие nix-системы.
Рекомендуется всем срочно обновить sudo до версии 1.9.5p2, которая вышла вчера.
Правоохранительные органы США и Болгарии закрыли сайты в Даркнете, принадлежащие группе-владельцу ransomware NetWalker, в том числе и сайт, на котором публиковалась украденная у жертв информация (DLS).
На ресурсах появились заглушки с информацией о том, что они захвачены ФБР. Какой-либо иной информации, в том числе при чем здесь болгары, пока не опубликовано.
NetWalker - ransomware, работающее по схеме as-a-Service. Не самый мощный вымогатель, по оценкам McAfee за первые пять месяцев 2020 года его владелец заработал 25 млн. долларов. Зато во второй половине года NetWalker отличился несколькими громкими атаками.
Специализировавшийся ранее, в основном, в атаках на американские учебные заведения, в сентябре NetWalker зашифровал сеть аргентинского Агентства иммиграции (Direccion Nacional de Migraciones), в результате чего 4 часа не работали КПП на аргентинской границе. В том же месяце жертвой стала пакистанская электросетевая компания K-Electric, являющаяся единственным поставщиком электричества в 15-миллионный Карачи. А в октябре NetWalker удачно атаковал европейского энергетического гиганта Enel Group, размер требуемого выкупа составил 14 млн. долларов.
Охота за сайтами утечек ransomware в настоящее время, пожалуй, единственная внятная мера борьбы с вымогателями.
На ресурсах появились заглушки с информацией о том, что они захвачены ФБР. Какой-либо иной информации, в том числе при чем здесь болгары, пока не опубликовано.
NetWalker - ransomware, работающее по схеме as-a-Service. Не самый мощный вымогатель, по оценкам McAfee за первые пять месяцев 2020 года его владелец заработал 25 млн. долларов. Зато во второй половине года NetWalker отличился несколькими громкими атаками.
Специализировавшийся ранее, в основном, в атаках на американские учебные заведения, в сентябре NetWalker зашифровал сеть аргентинского Агентства иммиграции (Direccion Nacional de Migraciones), в результате чего 4 часа не работали КПП на аргентинской границе. В том же месяце жертвой стала пакистанская электросетевая компания K-Electric, являющаяся единственным поставщиком электричества в 15-миллионный Карачи. А в октябре NetWalker удачно атаковал европейского энергетического гиганта Enel Group, размер требуемого выкупа составил 14 млн. долларов.
Охота за сайтами утечек ransomware в настоящее время, пожалуй, единственная внятная мера борьбы с вымогателями.
Как мы помним, в конце прошлого года компания Apple ввела новые правила для разработчиков приложений, в соответствии с которыми последние обязаны сообщать какую конкретно пользовательскую информацию их ПО собирает и каким образом использует. Соответственно, пользователям доступны эти данные и они сами могут судить насколько то или иное приложение затрагивает их конфиденциальность.
Мелкие разработчики подчинились этим требованиям под угрозой выпила из AppStore, а вот технологические гиганты стали выражать свое недовольство и юлить.
Сначала Цукерберг на совещании по доходам за 4 квартал прошлого года заявил, что Apple все это придумало специально, чтобы выиграть конкуренцию у Facebook. И вообще яблочники сами редиски, поскольку в iMessage в некоторых случаях сообщения хранятся нешифрованными, в отличие от принадлежащего Цукербергу WhatsApp.
Владельцу Facebook действительно есть из-за чего переживать. Во-первых из WhatsApp после анонса изменения политики конфиденциальности в сторону альтернативных мессенджеров валят десятки миллионов пользователей. А во-вторых, после введения Apple новых правил стало понятно, что приложение Facebook тащит с устройства пользователя вообще все, до чего только может дотянуться. Не далеко от него ушел и WhatsApp, в отличие от тех же Telegram и Signal.
Да и камланиям Цукерберга относительно приватности WhatsApp мы тоже не сильно доверяем, поскольку Марк ярко показал свою полную подконтрольность победившему в США истеблишменту. А следовательно и американские спецслужбы пасутся на серверах мессенджера в полный рост (мы вам даже по секрету всему свету скажем, что кое-какие хитрые американские партнеры подторговывают переписками WhatsApp, используя предоставленный им доступ).
Вторыми выступили Google, которые сообщили, что пока не предоставляют в Apple информацию о сборе данных своими приложениями, но будут. Правда будут не сразу, а по мере появления обновления своих приложений. Но при этом они будут предпринимать меры по разработке новых способов сбора сведений, которые не будут подпадать под правила Apple.
И уже сегодня Apple накрыли всех медным тазом и опубликовали отчет, в котором сообщили, что, оказывается, в среднем в мобильном приложении содержится ШЕСТЬ (!) трекеров от сторонних компаний, предназначенных для сбора и агрегации персональных данных. А вообще этот рынок приносит 227 млрд. долларов в год.
На этом фоне беспокойство Facebook и Google более чем понятно.
Мелкие разработчики подчинились этим требованиям под угрозой выпила из AppStore, а вот технологические гиганты стали выражать свое недовольство и юлить.
Сначала Цукерберг на совещании по доходам за 4 квартал прошлого года заявил, что Apple все это придумало специально, чтобы выиграть конкуренцию у Facebook. И вообще яблочники сами редиски, поскольку в iMessage в некоторых случаях сообщения хранятся нешифрованными, в отличие от принадлежащего Цукербергу WhatsApp.
Владельцу Facebook действительно есть из-за чего переживать. Во-первых из WhatsApp после анонса изменения политики конфиденциальности в сторону альтернативных мессенджеров валят десятки миллионов пользователей. А во-вторых, после введения Apple новых правил стало понятно, что приложение Facebook тащит с устройства пользователя вообще все, до чего только может дотянуться. Не далеко от него ушел и WhatsApp, в отличие от тех же Telegram и Signal.
Да и камланиям Цукерберга относительно приватности WhatsApp мы тоже не сильно доверяем, поскольку Марк ярко показал свою полную подконтрольность победившему в США истеблишменту. А следовательно и американские спецслужбы пасутся на серверах мессенджера в полный рост (мы вам даже по секрету всему свету скажем, что кое-какие хитрые американские партнеры подторговывают переписками WhatsApp, используя предоставленный им доступ).
Вторыми выступили Google, которые сообщили, что пока не предоставляют в Apple информацию о сборе данных своими приложениями, но будут. Правда будут не сразу, а по мере появления обновления своих приложений. Но при этом они будут предпринимать меры по разработке новых способов сбора сведений, которые не будут подпадать под правила Apple.
И уже сегодня Apple накрыли всех медным тазом и опубликовали отчет, в котором сообщили, что, оказывается, в среднем в мобильном приложении содержится ШЕСТЬ (!) трекеров от сторонних компаний, предназначенных для сбора и агрегации персональных данных. А вообще этот рынок приносит 227 млрд. долларов в год.
На этом фоне беспокойство Facebook и Google более чем понятно.
Google
Preparing our partners for Apple’s iOS 14 policy updates
We’re sharing how Google is helping developers and advertisers prepare for Apple’s iOS 14 policy updates.
Forwarded from Эксплойт | Live
Уязвимость в TikTok привела к раскрытию данных пользователей
Позавчера исследователи из компании по кибербезопасности CheckPoint обнаружили уязвимость в TikTok.
Эта уязвимость позволяла извлекать личную информацию пользователей из их профилей, включая номера телефона.
По словам исследователей, с помощью этой уязвимости можно было создать целую базу данных пользователей, чтобы использовать её в злонамеренных целях.
Эту ошибку обнаружили в функции поиска друзей. К счастью, уязвимость уже устранена.
Нет никаких доказательств того, что этот недостаток как-то использовался.
Позавчера исследователи из компании по кибербезопасности CheckPoint обнаружили уязвимость в TikTok.
Эта уязвимость позволяла извлекать личную информацию пользователей из их профилей, включая номера телефона.
По словам исследователей, с помощью этой уязвимости можно было создать целую базу данных пользователей, чтобы использовать её в злонамеренных целях.
Эту ошибку обнаружили в функции поиска друзей. К счастью, уязвимость уже устранена.
Нет никаких доказательств того, что этот недостаток как-то использовался.
В ноябре мы писали про то, что журналисты Motherboard раскопали информацию про американскую компанию X-Mode, которая за деньги предлагала разработчикам включать в свое мобильное ПО ее SDK, собирающий данные местоположения пользователей. SDK от X-Mode оказался включен в одно из самых популярных приложений для мусульман Muslim Pro, имеющее, по последним данным, более 90 млн. загрузок, а также в многие другие.
Клиентами X-Mode являлись крупные американские частные разведывательные компании, а также Командование специальных операций ВС США (USSOCOM).
Теперь обнаружилось, что SDK от X-Mode был встроен еще как минимум в пять приложений, предназначенных для мусульманских молитв, в приложение с картой метро США и пр. При этом в качестве очередного покупателя аналитики от X-Mode нарисовалось Разведывательное управление Министерства обороны США (DIA).
Некоторые разработчики ПО, судя по всему, сами не знали, что SDK передает геоданные в X-Mode. Более того, согласно результатам исследований, SDK начинал передачу данных еще до принятия пользователем политики конфиденциальности в приложении.
И хотя в декабре прошлого года на фоне скандала SDK от X-Mode было запрещено к использованию для разработчиков ПО для Android и Apple, использовавшие его ранее приложения предоставляют сведения другим агрегаторам данных, например Opensignal и Tutela, которые декларируют, что продают информацию телекоммуникационным компаниям (как оно там на самом деле - неизвестно).
Лишнее подтверждение тому, насколько важна прозрачность в сборе мобильными приложениями пользовательских данных.
Клиентами X-Mode являлись крупные американские частные разведывательные компании, а также Командование специальных операций ВС США (USSOCOM).
Теперь обнаружилось, что SDK от X-Mode был встроен еще как минимум в пять приложений, предназначенных для мусульманских молитв, в приложение с картой метро США и пр. При этом в качестве очередного покупателя аналитики от X-Mode нарисовалось Разведывательное управление Министерства обороны США (DIA).
Некоторые разработчики ПО, судя по всему, сами не знали, что SDK передает геоданные в X-Mode. Более того, согласно результатам исследований, SDK начинал передачу данных еще до принятия пользователем политики конфиденциальности в приложении.
И хотя в декабре прошлого года на фоне скандала SDK от X-Mode было запрещено к использованию для разработчиков ПО для Android и Apple, использовавшие его ранее приложения предоставляют сведения другим агрегаторам данных, например Opensignal и Tutela, которые декларируют, что продают информацию телекоммуникационным компаниям (как оно там на самом деле - неизвестно).
Лишнее подтверждение тому, насколько важна прозрачность в сборе мобильными приложениями пользовательских данных.
VICE
More Muslim Apps Worked with X-Mode, Which Sold Data to Military Contractors
Five more apps, including Qibla Compass, which has over 5 million downloads, had a relationship with X-Mode according to technical tests.
Инфосек компания Clearsky выпустила отчет о новой кибероперации хакерской группы Lebanese Cedar aka Volatile Cedar, за которой якобы стоит часть руководства Ливана, а точнее шиитская организация и политическая партия Хезболла.
Впервые Volatile Cedar был описан исследователями Check Point в 2015 году. Тогда израильские ресерчеры выявили продолжающуюся на протяжении 3 лет кибершпионскую компанию, в ходе которой использовался авторский RAT Explosive. Среди используемых APT приемов было заражение USB с целью проникновения в изолированные сегменты атакуемой сети.
Целями хакеров были телекоммуникационные и медиа-компании, образовательные учреждения США, Канады, Великобритании, Турции, Ливана и Израиля.
В продолжение расследования Check Point эксперты из Лаборатории Касперского опубликовали результаты собственных наблюдений в отношении вредоносной инфраструктуры Volatile Cedar, из которых стало понятно, что на первом месте в списке целей с огромным отрывом стоят именно ливанские организации (Ливан - 22, США - 9, далее Канада - 3). А одна жертва была в России.
Тут пытливые подписчики испытают разрыв шаблона и зададутся вопросом зачем ливанской APT атаковать ливанские же организации в товарных количествах. На этот случай у Check Point было заготовлено универсальное объяснение, что за Volatile Cedar стоит не национальное правительство Ливана, а именно Хеболла, которая является одной из составляющих ливанского политического процесса и таким образом осуществляет разборки со своими оппонентами.
Новая выявленная ClearSky компания продолжалась с начала 2020 года, в ее ходе хакерами было заражено более 250 серверов по всему миру - в США, Великобритании, Египте, Ливане (опять), Иордании, Израиле. Основные цели - хостинги, телеком и IT-компании, в том числе весьма крупные, к примеру - Vodafone Egypt.
В ходе атак преимущественно использовались авторские вредоносы Caterpillar, вариант опенсорсного веб-шелла ASPXspy, и RAT Explosion V4. Анализируя код Caterpillar ресерчеры получили ники трех его разработчиков - Nido, Zero Lord и Tatra. А вот в ходе анализа ClearSky других использованных вредоносов начинают появляться следы сторонних APT.
В некоторых веб-шеллах исследователи нашли фрагменты кода, связанные с инструментами иранской группы ITSecTeam, она же Cutting Kitten. В другом веб-шелле обнаружили ник его автора - Mamad Warning, по утверждению ClearSky это член группы иранских хактивистов Persian Hacker aka Pars (мы такой группы, если честно, не встречали).
Таким образом, более логичным было бы предположить, что за APT Volatile Cedar стоит Иран. В этом случае объясняется и высокая активность группы на ливанском направлении - иранцы активно участвуют во внутриполитической жизни Ливана и должны иметь неофициальные источники информации. Тем не менее, ClearSky утверждают, что поддерживают точку зрения Check Point о принадлежности Volatile Cedar ливанскому правительству или Хезболле, хотя и не обосновывают такое мнение.
Впервые Volatile Cedar был описан исследователями Check Point в 2015 году. Тогда израильские ресерчеры выявили продолжающуюся на протяжении 3 лет кибершпионскую компанию, в ходе которой использовался авторский RAT Explosive. Среди используемых APT приемов было заражение USB с целью проникновения в изолированные сегменты атакуемой сети.
Целями хакеров были телекоммуникационные и медиа-компании, образовательные учреждения США, Канады, Великобритании, Турции, Ливана и Израиля.
В продолжение расследования Check Point эксперты из Лаборатории Касперского опубликовали результаты собственных наблюдений в отношении вредоносной инфраструктуры Volatile Cedar, из которых стало понятно, что на первом месте в списке целей с огромным отрывом стоят именно ливанские организации (Ливан - 22, США - 9, далее Канада - 3). А одна жертва была в России.
Тут пытливые подписчики испытают разрыв шаблона и зададутся вопросом зачем ливанской APT атаковать ливанские же организации в товарных количествах. На этот случай у Check Point было заготовлено универсальное объяснение, что за Volatile Cedar стоит не национальное правительство Ливана, а именно Хеболла, которая является одной из составляющих ливанского политического процесса и таким образом осуществляет разборки со своими оппонентами.
Новая выявленная ClearSky компания продолжалась с начала 2020 года, в ее ходе хакерами было заражено более 250 серверов по всему миру - в США, Великобритании, Египте, Ливане (опять), Иордании, Израиле. Основные цели - хостинги, телеком и IT-компании, в том числе весьма крупные, к примеру - Vodafone Egypt.
В ходе атак преимущественно использовались авторские вредоносы Caterpillar, вариант опенсорсного веб-шелла ASPXspy, и RAT Explosion V4. Анализируя код Caterpillar ресерчеры получили ники трех его разработчиков - Nido, Zero Lord и Tatra. А вот в ходе анализа ClearSky других использованных вредоносов начинают появляться следы сторонних APT.
В некоторых веб-шеллах исследователи нашли фрагменты кода, связанные с инструментами иранской группы ITSecTeam, она же Cutting Kitten. В другом веб-шелле обнаружили ник его автора - Mamad Warning, по утверждению ClearSky это член группы иранских хактивистов Persian Hacker aka Pars (мы такой группы, если честно, не встречали).
Таким образом, более логичным было бы предположить, что за APT Volatile Cedar стоит Иран. В этом случае объясняется и высокая активность группы на ливанском направлении - иранцы активно участвуют во внутриполитической жизни Ливана и должны иметь неофициальные источники информации. Тем не менее, ClearSky утверждают, что поддерживают точку зрения Check Point о принадлежности Volatile Cedar ливанскому правительству или Хезболле, хотя и не обосновывают такое мнение.
Microsoft вносит уточнения в информацию о действиях хакеров КНДР по целевым атакам на исследователей безопасности, о которых ранее на этой неделе сообщили Google Threat Analysis Group.
По данным исследователей за атакой стоят хакеры из самой активной и известной северокорейской APT - Lazarus, которую Microsoft называют Zinc. Согласно их информации, киберкампания началась в середине 2020 года, в результате кросс-ссылок фейковых аккаунтов друг на друга хакеры из КНДР смогли раскрутить авторитет выдуманных инфосек экспертов среди экспертов настоящих.
Также ресерчеры Microsoft сообщили об других методах заражения, не указанных Google TAG, которые применяли Lazarus, - распространение в блоге MHTML файлов, содержащих ссылку на вредоносный JS, попытки использовать CVE-2017-16238 в Vir.IT eXplorer (неудачные) и кража паролей Chrome.
Исследователи предупреждают, что если вы посещали вредоносный блог на br0vvnn .io и у вас присутствуют приведенные в их отчете IOCs, то следует предполагать, что ваше устройство находится под полным контролем хакеров из Lazarus.
По данным исследователей за атакой стоят хакеры из самой активной и известной северокорейской APT - Lazarus, которую Microsoft называют Zinc. Согласно их информации, киберкампания началась в середине 2020 года, в результате кросс-ссылок фейковых аккаунтов друг на друга хакеры из КНДР смогли раскрутить авторитет выдуманных инфосек экспертов среди экспертов настоящих.
Также ресерчеры Microsoft сообщили об других методах заражения, не указанных Google TAG, которые применяли Lazarus, - распространение в блоге MHTML файлов, содержащих ссылку на вредоносный JS, попытки использовать CVE-2017-16238 в Vir.IT eXplorer (неудачные) и кража паролей Chrome.
Исследователи предупреждают, что если вы посещали вредоносный блог на br0vvnn .io и у вас присутствуют приведенные в их отчете IOCs, то следует предполагать, что ваше устройство находится под полным контролем хакеров из Lazarus.
Microsoft News
ZINC attacks against security researchers
In recent months, Microsoft has detected cyberattacks targeting security researchers by an actor we track as ZINC. Observed targeting includes pen testers, private offensive security researchers, and employees at security and tech companies.
Команда ресурса Safety Detectives обнаружила открытый Elasticsearch-сервер компании Bykea, на котором содержалось 400 млн. записей, содержащих данные клиентов.
Bykea - пакистанская компания, специализирующаяся на доставке, предоставлении услуг мотоциклетного такси, а также каршеринге.
В 200 Гб данных, лежавших на открытом сервере, содержалась база данных производственных серверов компании, в которой была информация об именах, телефонах, адресах клиентов и водителей Bykea. А также информация о месте доставки, данные об автомобилях с координатами GPS, незашифрованные пары логин-пароль сотрудников компании и многое другое.
Хотелось бы сказать, что это особенность пакистанского инфосек, но нет. Подобные косяки регулярно допускают все кому не лень.
Bykea - пакистанская компания, специализирующаяся на доставке, предоставлении услуг мотоциклетного такси, а также каршеринге.
В 200 Гб данных, лежавших на открытом сервере, содержалась база данных производственных серверов компании, в которой была информация об именах, телефонах, адресах клиентов и водителей Bykea. А также информация о месте доставки, данные об автомобилях с координатами GPS, незашифрованные пары логин-пароль сотрудников компании и многое другое.
Хотелось бы сказать, что это особенность пакистанского инфосек, но нет. Подобные косяки регулярно допускают все кому не лень.
SafetyDetectives
Multimillion-dollar Pakistani delivery company leaks 400+ million files
A prominent vehicle-for-hire and parcel delivery company based in Pakistan has suffered a significant data breach which affected its extensive user database.
Th
Th
Неделю назад компания SonicWall сообщила, что была атакована хакерами, которые использовали для взлома 0-day уязвимость в VPN-решениях Secure Mobile Access и NetExtender производства самой SonicWall.
Во избежание компрометации стоящей за VPN сети SonicWall рекомендовала клиентам включать многофакторную аутентификацию (MFA). Получается, что сами разработчики ПО MFA не использовали. Спасибо хоть, что пароль был не sonicwall123, как у некоторых SolarWinds.
Примечательно, что за несколько дней до этого с журналистами BleepingComputer связался анонимный хакер и сообщил, что у него есть информация о 0-day уязвимости известного производителя брэндмауэров, про которую этот производитель молчит и не информирует своих клиентов, подвергающихся атакам с использованием этой и других ошибок. Возможно, что речь шла именно о SonicWall.
Вчера же исследователи инфосек компании NCC Group сообщили, что обнаружили, вероятно, именно эту уязвимость и имеют на руках рабочий эксплойт. Все технические подробности переданы в SonicWall.
Самое неприятное для клиентов SonicWall, что, со слов NCC Group, эта дырка во всю используется злоумышленниками в дикой природе.
Во избежание компрометации исследователи порекомендовали ограничить список IP-адресов, с которых разрешен доступ к интерфейсу VPN, а также повторили совет производителя об использовании MFA.
Во избежание компрометации стоящей за VPN сети SonicWall рекомендовала клиентам включать многофакторную аутентификацию (MFA). Получается, что сами разработчики ПО MFA не использовали. Спасибо хоть, что пароль был не sonicwall123, как у некоторых SolarWinds.
Примечательно, что за несколько дней до этого с журналистами BleepingComputer связался анонимный хакер и сообщил, что у него есть информация о 0-day уязвимости известного производителя брэндмауэров, про которую этот производитель молчит и не информирует своих клиентов, подвергающихся атакам с использованием этой и других ошибок. Возможно, что речь шла именно о SonicWall.
Вчера же исследователи инфосек компании NCC Group сообщили, что обнаружили, вероятно, именно эту уязвимость и имеют на руках рабочий эксплойт. Все технические подробности переданы в SonicWall.
Самое неприятное для клиентов SonicWall, что, со слов NCC Group, эта дырка во всю используется злоумышленниками в дикой природе.
Во избежание компрометации исследователи порекомендовали ограничить список IP-адресов, с которых разрешен доступ к интерфейсу VPN, а также повторили совет производителя об использовании MFA.
Twitter
NCC Group Research & Technology
Per the @SonicWall advisory - sonicwall.com/support/produc… - we've identified and demonstrated exploitability of a possible candidate for the vulnerability described and sent details to SonicWall - we've also seen indication of indiscriminate use of an exploit…
Недавно оператор ransomware Conti успешно атаковал Шотландское агентство охраны окружающей среды (SEPA), а потом выкинул в сеть украденные данные в размере 1,2 Гб. Мы писали об этом здесь.
А в конце прошлой недели Британское агентство исследований и инноваций (UKRI) проинформировало общественность, что также стало жертвой кибератаки, в результате которой часть данных была зашифрована, а два сервиса приостановили работу.
С учетом того, что годовой бюджет UKRI составляет 6 млрд. фунтов стерлингов, вымогателям есть чем поживиться. Тем более, что судя по пресс-релизу, они получили доступ, в числе прочего, к системе, обрабатывающей заявки на гранты.
Чем дальше, тем государственные учреждения все чаще становятся объектами охоты со стороны операторов ransomware. Мы бы, на месте российских ответственных лиц, озаботились.
А в конце прошлой недели Британское агентство исследований и инноваций (UKRI) проинформировало общественность, что также стало жертвой кибератаки, в результате которой часть данных была зашифрована, а два сервиса приостановили работу.
С учетом того, что годовой бюджет UKRI составляет 6 млрд. фунтов стерлингов, вымогателям есть чем поживиться. Тем более, что судя по пресс-релизу, они получили доступ, в числе прочего, к системе, обрабатывающей заявки на гранты.
Чем дальше, тем государственные учреждения все чаще становятся объектами охоты со стороны операторов ransomware. Мы бы, на месте российских ответственных лиц, озаботились.
Telegram
SecAtor
В конце декабря оператор ransomware взломал сеть Шотландского агентства охраны окружающей среды (SEPA). Мы эту новость видели, но не стали ее освещать - взломали и взломали, не в первый раз государственные агентства подвергаются атакам вымогателей.
Однако…
Однако…
Словацкий инфосек вендор ESET рассказал сегодня про очередную атаку на цепочку поставок - компрометацию разработчика ПО с целью внедрения в его программы вредоносов для дальнейшего взлома его клиентов. Эта кибероперация получила название NightScout.
В минувшем январе исследователи обнаружили, что в сентябре 2020 года серверная инфраструктура гонконгской компании BigNox была взломана неустановленными хакерами, в результате чего несколько клиентов компании были заражены вредоносами.
BigNox является поставщиком эмулятора Android для Windows и Mac под названием NoxPlayer. Он используется преимущественно геймерами для запуска на десктопах мобильных игр, клиентов насчитывается более 150 млн. и большинство из них находятся в Азии.
Хакеры взломали сервер api .bignox .com, к которому обращается клиент NoxPlayer, чтобы получить ссылки для загрузки обновления. Внутри обновления целевым жертвам загружались три варианта вредоносов, причем в двух случаях ссылки вели на сторонние ресурсы, а в одном - была скомпрометирована легальная инфраструктура BigNox, из которой закачивалось вредоносное обновление.
В каждом из вариантов на компьютер жертвы доставлялся свой вредонос - авторский бэкдор с функциями трояна удаленного доступа (RAT), Gh0st RAT или PoisonIvy RAT.
Самое интересное в Operation NightScout - это избирательность заражения. Проверив данные более 100 тыс. загрузок обновления ESET установили, что только 5 пользователей из Тайваня, Гонконга и Шри-Ланки были в итоге заражены. Принципы, по которым отбирались жертвы, исследователи установить не смогли.
Кто конкретно стоит за атакой ESET не указывают. Единственные, что удалось найти - совпадения в конфигурации одного из загрузчиков с использовавшейся при атаке на сайт администрации Президента Мьянмы в 2018 году и при взломе одного из университетов Гонконга в 2020.
Мы можем предположить, что за атакой стоит китайская APT Winnti, которая как раз любит заниматься компрометацией цепочек поставок. На это указывает и география атаки, совпадающая с зоной геополитических интересов КНР. С другой стороны, ранее Winnti были неизбирательны в ходе таких атак, заражая всех пользователей скопом. Так что окончательные выводы делать на основе имеющихся данных рано.
В минувшем январе исследователи обнаружили, что в сентябре 2020 года серверная инфраструктура гонконгской компании BigNox была взломана неустановленными хакерами, в результате чего несколько клиентов компании были заражены вредоносами.
BigNox является поставщиком эмулятора Android для Windows и Mac под названием NoxPlayer. Он используется преимущественно геймерами для запуска на десктопах мобильных игр, клиентов насчитывается более 150 млн. и большинство из них находятся в Азии.
Хакеры взломали сервер api .bignox .com, к которому обращается клиент NoxPlayer, чтобы получить ссылки для загрузки обновления. Внутри обновления целевым жертвам загружались три варианта вредоносов, причем в двух случаях ссылки вели на сторонние ресурсы, а в одном - была скомпрометирована легальная инфраструктура BigNox, из которой закачивалось вредоносное обновление.
В каждом из вариантов на компьютер жертвы доставлялся свой вредонос - авторский бэкдор с функциями трояна удаленного доступа (RAT), Gh0st RAT или PoisonIvy RAT.
Самое интересное в Operation NightScout - это избирательность заражения. Проверив данные более 100 тыс. загрузок обновления ESET установили, что только 5 пользователей из Тайваня, Гонконга и Шри-Ланки были в итоге заражены. Принципы, по которым отбирались жертвы, исследователи установить не смогли.
Кто конкретно стоит за атакой ESET не указывают. Единственные, что удалось найти - совпадения в конфигурации одного из загрузчиков с использовавшейся при атаке на сайт администрации Президента Мьянмы в 2018 году и при взломе одного из университетов Гонконга в 2020.
Мы можем предположить, что за атакой стоит китайская APT Winnti, которая как раз любит заниматься компрометацией цепочек поставок. На это указывает и география атаки, совпадающая с зоной геополитических интересов КНР. С другой стороны, ранее Winnti были неизбирательны в ходе таких атак, заражая всех пользователей скопом. Так что окончательные выводы делать на основе имеющихся данных рано.
WeLiveSecurity
Operation NightScout: Supply‑chain attack targets online gaming in Asia
ESET research uncovers a supply-chain attack compromising the update mechanism of NoxPlayer and used in a cyberespionage operation against gamers in Asia.
Forwarded from Эксплойт | Live
Домен perl.com украден и теперь указывает на IP-адрес, связанный с вредоносным ПО
На прошлой неделе автор Perl и редактор Perl.com сообщил в своём Twitter, что домен perl.com теперь зарегистрирован под другим лицом.
Perl.com — это сайт Тома Кристиансена, который с 1997 года используется для размещения информации о языке программирования Perl.
Один из специалистов по интеллектуальной собственности ответил на этот твит, сообщив что домен был украден ещё в сентябре 2020 года.
Что самое примечательное, IP-адрес, который сейчас размещен на украденном домене, используется во многих кампаниях вредоносных программ.
На прошлой неделе автор Perl и редактор Perl.com сообщил в своём Twitter, что домен perl.com теперь зарегистрирован под другим лицом.
Perl.com — это сайт Тома Кристиансена, который с 1997 года используется для размещения информации о языке программирования Perl.
Один из специалистов по интеллектуальной собственности ответил на этот твит, сообщив что домен был украден ещё в сентябре 2020 года.
Что самое примечательное, IP-адрес, который сейчас размещен на украденном домене, используется во многих кампаниях вредоносных программ.
Журналисты ZDNet сообщают, что с октября прошлого года стали появляться сообщения об атаках ransomware RansomExx на виртуальные машины в корпоративных средах.
Имеющиеся данные свидетельствуют, что хакеры используют CVE-2019-5544 и CVE-2020-3992 в гипервизоре VMware ESXi, которые позволяют злоумышленнику взять гипервизор под контроль через протокол SLP если он находится в той же сети. В результате атаки хакеры шифруют все виртуальные жесткие диски.
RansomExx - это те вымогатели, которые в прошлом году успешно атаковали бразильского производителя самолетов Embraer, Бразильский верховный суд, а также американского IT-гиганта Tyler Technologies, который в результате заплатил злоумышленникам выкуп.
Кроме RansomExx, по данным журналистов, в прошлом месяце о поддержке шифрования виртуальных машин заявил владелец ransomware Babuk Locker.
Рекомендуем владельцам обновить свои VMWare ESXi.
Имеющиеся данные свидетельствуют, что хакеры используют CVE-2019-5544 и CVE-2020-3992 в гипервизоре VMware ESXi, которые позволяют злоумышленнику взять гипервизор под контроль через протокол SLP если он находится в той же сети. В результате атаки хакеры шифруют все виртуальные жесткие диски.
RansomExx - это те вымогатели, которые в прошлом году успешно атаковали бразильского производителя самолетов Embraer, Бразильский верховный суд, а также американского IT-гиганта Tyler Technologies, который в результате заплатил злоумышленникам выкуп.
Кроме RansomExx, по данным журналистов, в прошлом месяце о поддержке шифрования виртуальных машин заявил владелец ransomware Babuk Locker.
Рекомендуем владельцам обновить свои VMWare ESXi.
ZDNET
Ransomware gangs are abusing VMWare ESXi exploits to encrypt virtual hard disks
Two VMWare ESXi vulnerabilities, CVE-2019-5544 and CVE-2020-3992, reported as abused in the wild.
Летом прошлого года тринадцать американских сенаторов-демократов направили в Juniper письмо, в котором просили компанию опубликовать результаты внутреннего расследования в отношении обнаруженного в 2015 году бэкдора в операционной системе ScreenOS брандмауэра Juniper Netscreen.
Если кто не помнит, в конце 2015 года Juniper вдруг объявили о том, что они обнаружили два бэкдора в своей продукции, которые позволяли расшифровывать трафик VPN и брать устройство под свой контроль. Но результаты дальнейшего расследования американский производитель закрыл и отказался давать какие-либо комментарии.
А потом оказалось, что бэкдоры появились из-за использования алгоритма генерации случайных чисел Dual_EC, разработанного АНБ, в котором была заложенная на стадии разработки дыра. И с 2008 по 2015 годы АНБ имело возможность контролировать поставляемые по всему миру брандмауэры и слушать проходящий через них трафик.
Как мы понимаем, Juniper на письмо сенаторов не ответили. В принципе имеют право, компания все-таки частная. Но после скандала со взломом SolarWinds американские законодатели снова забеспокоились и решили все-таки до конца разобраться в этой истории. Подозреваем, сенаторы решили, что первичной точкой компрометации SolarWinds могла послужить аналогичная дырка, оставленная АНБ.
Поэтому демократы, среди которых один сенатор и девять членов Палаты представителей, написали очередное письмо, теперь уже в АНБ, и требуют от агентства полного отчета по кейсу с Juniper.
Не знаем, какими документами в США регламентируется порядок ответа правительственных агентств на запросы конгрессменов, но предполагаем, что в ответе АНБ, если он когда-либо будет опубликован, может быть много интересного.
Если кто не помнит, в конце 2015 года Juniper вдруг объявили о том, что они обнаружили два бэкдора в своей продукции, которые позволяли расшифровывать трафик VPN и брать устройство под свой контроль. Но результаты дальнейшего расследования американский производитель закрыл и отказался давать какие-либо комментарии.
А потом оказалось, что бэкдоры появились из-за использования алгоритма генерации случайных чисел Dual_EC, разработанного АНБ, в котором была заложенная на стадии разработки дыра. И с 2008 по 2015 годы АНБ имело возможность контролировать поставляемые по всему миру брандмауэры и слушать проходящий через них трафик.
Как мы понимаем, Juniper на письмо сенаторов не ответили. В принципе имеют право, компания все-таки частная. Но после скандала со взломом SolarWinds американские законодатели снова забеспокоились и решили все-таки до конца разобраться в этой истории. Подозреваем, сенаторы решили, что первичной точкой компрометации SolarWinds могла послужить аналогичная дырка, оставленная АНБ.
Поэтому демократы, среди которых один сенатор и девять членов Палаты представителей, написали очередное письмо, теперь уже в АНБ, и требуют от агентства полного отчета по кейсу с Juniper.
Не знаем, какими документами в США регламентируется порядок ответа правительственных агентств на запросы конгрессменов, но предполагаем, что в ответе АНБ, если он когда-либо будет опубликован, может быть много интересного.
www.wyden.senate.gov
Wyden and Booker Question NSA Response Following Supply Chain Hacks of SolarWinds And Juniper Networks
The Official U.S. Senate website of Senator Ron Wyden of Oregon
В декабре мы писали несколько постов про расследование Foreign Policy о проводимых Китаем массовых взломах в целях сбора информационных массивов и дальнейшем их использовании для вскрытия американской разведывательной сети. Тогда американские журналисты ссылались на неназванные источники.
Вчера же в репортаже 60 минут американской CBS директор Национального центра контрразведки и безопасности США Билл Эванина (мы так и не поняли, то ли действующий, то ли на днях в отставку отправленный) сообщил, что КНР активно работает над сбором медицинской информации американцев, в том числе ДНК.
По словам Эванины (а это вообще законно теперь такие фамилие писать, нас не оштрафуют по новому закону о мате в соцсетях?), весной на фоне развивающейся эпидемии COVID китайская компания BGI обратилась к руководству шести американских штатов с предложением о строительстве и эксплуатации лабораторий по тестированию на коронавирус. Тогда спецслужбы предупредили штаты о возможном использовании этих лабораторий для сбора медицинских данных американских граждан со стороны китайцев и проекты были свернуты.
Так к чему мы все это. В процессе интервью Эванина заявил, что по текущим оценкам личная информация о 80% американцев тем или иным образом была украдена китайскими спецслужбами. Естественно, что украдена не путем подрыва сейфов с амбарными книгами, а в результате кибератак. Это первое подтверждение от американского официального лица такого уровня, в котором указывается масштаб утечки персональных данных американцев.
Но не переживайте за американцев, мы не дадим им оторваться, ведь у нас есть ДИТ!
Вчера же в репортаже 60 минут американской CBS директор Национального центра контрразведки и безопасности США Билл Эванина (мы так и не поняли, то ли действующий, то ли на днях в отставку отправленный) сообщил, что КНР активно работает над сбором медицинской информации американцев, в том числе ДНК.
По словам Эванины (а это вообще законно теперь такие фамилие писать, нас не оштрафуют по новому закону о мате в соцсетях?), весной на фоне развивающейся эпидемии COVID китайская компания BGI обратилась к руководству шести американских штатов с предложением о строительстве и эксплуатации лабораторий по тестированию на коронавирус. Тогда спецслужбы предупредили штаты о возможном использовании этих лабораторий для сбора медицинских данных американских граждан со стороны китайцев и проекты были свернуты.
Так к чему мы все это. В процессе интервью Эванина заявил, что по текущим оценкам личная информация о 80% американцев тем или иным образом была украдена китайскими спецслужбами. Естественно, что украдена не путем подрыва сейфов с амбарными книгами, а в результате кибератак. Это первое подтверждение от американского официального лица такого уровня, в котором указывается масштаб утечки персональных данных американцев.
Но не переживайте за американцев, мы не дадим им оторваться, ведь у нас есть ДИТ!
CBS News
China's push to control Americans' health care future
U.S. officials say the Chinese government is trying to collect Americans' DNA, and they believe a recent offer from a Chinese company for assistance in COVID-19 testing was suspicious. Jon Wertheim reports.
В октябре пошлого года на YouTube-канале Russian OSINT вышло интервью с владельцами ransomware Sodinokibi (REvil), очень познавательное. Мы про это писали здесь.
Теперь команда Cisco Talos разметила материал по результатам нескольких интервью с одним из операторов ransomware LockBit. Подчеркнем, не с владельцем, а с одним из операторов, поскольку LockBit работает по схеме Ransomware-as-a-Service. Ресерчеры называют его Алекс.
Контакт с злоумышленником был установлен исследователями в сентябре 2020 года и с тех пор они провели с ним несколько бесед.
Хакер, по его словам, самоучка и не имеет отношения к какой-либо группе или государственной структуре. Он осуществляет взломы исключительно в целях заработка денег на обеспечение своей семьи. Во время осуществления атак он не использует 0-day уязвимости или авторские вредоносы, а полагается исключительно на общедоступные инструменты, такие как Mimikatz. Таким образом основными целями этого оператора LockBit являются сети с непропатченным ПО.
Интересные моменты, которые подметили исследователи Cisco Talos:
- хакер пренебрежительно относится к тем, кто взламывает больничные сети, но при этом сам, судя по всему, не брезгует это делать;
- потому что больничные сети - самая выгодная жертва, они выплачивают выкуп в 80-90% случаев;
- у владельцев Maze была самая высокая комиссия, составлявшая 35%, что отворачивало многих хакеров от сотрудничества с ними;
- GDPR (Регламент ЕС о защите персональных данных) играет на руку вымогателям, поскольку предусматривает серьезные последствия для компании в случае утечки информации, в силу чего они охотнее соглашаются выплатить выкуп чтобы сведения о взломе не стали достоянием общественности;
- в США компании обязаны под угрозой санкций сообщать о всех инцидентах с безопасностью, поэтому американские жертвы платят менее охотно.
Теперь немного о личности хакера. Хакер, по мнению американских исследователей, русский. Они уверены, что ему чуть за 30, он из Сибири. Алекс пренебрежительно отзывается о российских инфосек компаниях - судя по всему ранее он работал в индустрии кибербезопасности и его знания, по его мнению, не оценили. Со временем он понял, что не может добиться устранения тех уязвимостей, которые он находил, поэтому он решил зарабатывать на этом деньги.
И вот в последние сентенции мы, к сожалению, верим. Отношение к вопросам информационной безопасности в России, как мы уже неоднократно говорили, ниже плинтуса, что в коммерческом секторе, что в государственном. И многие молодые инфосек энтузиасты, доказывающие свою точку зрения с горящими глазами, натыкаются на эту бетонную стену безразличия, после чего кто-то ломается и смиряется, кто-то уходит в другие области, единицы пробиваются и становятся лидерами своих проектов. Ну а кто-то разочаровывается в инфосеке и переходит на темную сторону.
Интересные материалы, почитайте.
Теперь команда Cisco Talos разметила материал по результатам нескольких интервью с одним из операторов ransomware LockBit. Подчеркнем, не с владельцем, а с одним из операторов, поскольку LockBit работает по схеме Ransomware-as-a-Service. Ресерчеры называют его Алекс.
Контакт с злоумышленником был установлен исследователями в сентябре 2020 года и с тех пор они провели с ним несколько бесед.
Хакер, по его словам, самоучка и не имеет отношения к какой-либо группе или государственной структуре. Он осуществляет взломы исключительно в целях заработка денег на обеспечение своей семьи. Во время осуществления атак он не использует 0-day уязвимости или авторские вредоносы, а полагается исключительно на общедоступные инструменты, такие как Mimikatz. Таким образом основными целями этого оператора LockBit являются сети с непропатченным ПО.
Интересные моменты, которые подметили исследователи Cisco Talos:
- хакер пренебрежительно относится к тем, кто взламывает больничные сети, но при этом сам, судя по всему, не брезгует это делать;
- потому что больничные сети - самая выгодная жертва, они выплачивают выкуп в 80-90% случаев;
- у владельцев Maze была самая высокая комиссия, составлявшая 35%, что отворачивало многих хакеров от сотрудничества с ними;
- GDPR (Регламент ЕС о защите персональных данных) играет на руку вымогателям, поскольку предусматривает серьезные последствия для компании в случае утечки информации, в силу чего они охотнее соглашаются выплатить выкуп чтобы сведения о взломе не стали достоянием общественности;
- в США компании обязаны под угрозой санкций сообщать о всех инцидентах с безопасностью, поэтому американские жертвы платят менее охотно.
Теперь немного о личности хакера. Хакер, по мнению американских исследователей, русский. Они уверены, что ему чуть за 30, он из Сибири. Алекс пренебрежительно отзывается о российских инфосек компаниях - судя по всему ранее он работал в индустрии кибербезопасности и его знания, по его мнению, не оценили. Со временем он понял, что не может добиться устранения тех уязвимостей, которые он находил, поэтому он решил зарабатывать на этом деньги.
И вот в последние сентенции мы, к сожалению, верим. Отношение к вопросам информационной безопасности в России, как мы уже неоднократно говорили, ниже плинтуса, что в коммерческом секторе, что в государственном. И многие молодые инфосек энтузиасты, доказывающие свою точку зрения с горящими глазами, натыкаются на эту бетонную стену безразличия, после чего кто-то ломается и смиряется, кто-то уходит в другие области, единицы пробиваются и становятся лидерами своих проектов. Ну а кто-то разочаровывается в инфосеке и переходит на темную сторону.
Интересные материалы, почитайте.
Cisco Talos Blog
Interview with a LockBit ransomware operator
By Azim Khodjibaev, Dmytro Korzhevin and Kendall McKay.
Ransomware is still highly prevalent in our current threat landscape — it's one of the top threats Cisco Talos Incident Response responds to. One such ransomware family we encounter is called LockBit…
Ransomware is still highly prevalent in our current threat landscape — it's one of the top threats Cisco Talos Incident Response responds to. One such ransomware family we encounter is called LockBit…