​​BleepingComputer рассказывает о новом штамме ransomware Babyk он же Babuk. И, в который раз, мы бы не стали писать о новом вымогателе (тысячи их!), но есть, как говорилось в известном анекдоте, нюанс! А именно особенности в выборе потенциальных целей Babyk.

Этот штамм появился в начале 2021 года и ориентирован на корпоративные сети. Поскольку вымогатель совсем новый, то и информации об его успешных атаках мы еще не встречали. Единственное - писали на днях про то, что владельцы Babyk анонсировали поддержку шифрования виртуальных машин.

На днях владельцы Babyk запустили свой сайт утечек (DLS), на котором перечислили список организаций, которые шифровать не будут:
- больницы, кроме частной пластической хирургии и стоматологии;
- школы, кроме крупных университетов;
- малый бизнес;
- некоммерческие фонды, кроме тех, которые помогают ЛГБТ и BLM.

Какие нетолерантные вымогатели пошли.

Эта музыка будет вечной, даже батарейки менять не надо. Спонсор дискотеки - компания SolarWinds.

Мартин Рахманов, исследователь Trustwave, сообщил сегодня о трех новых уязвимостях (CVE-2021-25274, 25275, 25276) в SolarWinds Orion и SolarWinds Serv-U.

Рахманов утверждает, что стал изучать продукты SolarWinds после того, как стало известно о компрометации компании в декабре 2020 года.

Первая уязвимость CVE-2021-25274 в Orion позволяет удаленному пользователю, не прошедшему аутентификацию, выполнить код (RCE) и, фактически, взять под контроль базовую операционную систему. CVE-2021-25275 дает возможность непривилегированному пользователю Orion локально или через RDP получить полный доступ к базе данных Orion, в том числе добавить админскую учетную запись.

Еще одну уязвимость, CVE-2021-25276, Рахманов нашел в FTP-сервере Serv-U. Она, по аналогии с предыдущей, позволяет любому аутентифицированному пользователю повысить локальные привилегии вплоть до администратора. Ну, а поскольку Serv-U работает как LocalSystem, то сами все понимаете.

Информация об уязвимостях была направлена 30 декабря в SolarWinds, а к 25 января выпущены исправляющие их патчи. Proof of Concept исследователь обещает выложить 9 февраля.

Хочется что-то добавить, но все, что мы можем сказать про SolarWinds, мы уже говорили. Давайте просто помолчим (в память об их репутации).

—Партнерский пост—

🔥 CodeCamp - книжный лагерь для IT специалистов любого уровня и направления.

На канале ребята собрали самые свежие и интересные книги по Python, Java, С++ и другим языкам программирования.

Все в формате PDF и доступно для скачивания в два клика.

Подписывайтесь, чтобы не потерять: @campcode

Исследователь gerhart_x рассказывает историю, как в прошлом году он сообщил Microsoft информацию о 0-day уязвимости в Hyper-V, существовавшей на тот момент более 2,5 лет.

Соответствующий патч вышел через 18 дней, правда положенные 15 тыс. долларов вознаграждения gerhart_x не получил, так как, по словам Microsoft, эту уязвимость уже нашел другой исследователь.

В обсуждении предлагают в следующий раз продать 0-day торговцам эксплойтами, а один из них вышел на связь прямо в комментах.

Bug Bounty, my ass. Деньги зажали Microsoft, а расплачиваться будут пользователи.

​​"Повесть о том, как поссорился Иван Иванович с Иваном Никифоровичем" (да-да, кроме ISO 27000 мы читали еще и "Миргород").

Как стало вчера известно, антивирусное решение Microsoft Defender ATP стало распознавать часть последнего обновления Chrome 88.0.4324.146 как бэкдор "PHP/Funvalget.A".

Естественно, что на фоне компрометации программного обеспечения от SolarWinds все, кто это увидел, несколько напряглись. Однако спустя несколько часов Microsoft заявили, что это была некая ошибка автоматизации, которая исправлена и все в порядке.

//Conspiracy mode on
Когда АНБ поставили свой бэкдор в популярный продукт, но забыли предупредить производителей антивирусного ПО...

Вчера американская компания Forward Air, ведущий перевозчик наземным транспортом и малотоннажными судами в Северной Америке, сообщила в Комиссию по ценным бумагам (SEC), что 15 декабря прошлого года подверглась атаке ransomware Hades.

В результате атаки произошли серьезные сбои в работе Forward Air. И хотя компания восстановила свои сервисы, в отчете в адрес SEC она сообщает, что финансовые убытки достигли 7,5 млн. долларов. Входит ли в эту сумму выкуп вымогателям - неясно.

В очередной раз можно убедиться, сколько стоят бреши в информационной безопасности крупных компаний.

Пишут, что на RAID Forums актор с ником Singularity0x01 выкинул в паблик базу, содержащую 3,8 млрд. связок логин-пароль.

Правда тут же комментаторы замечают, что это, судя по всему, компиляция старых утечек дабы сделать себе узнаваемость. А Каталин Чимпану из ZDNet говорит о том, что реальные брокеры данных имеют на руках более 10 млрд. таких связок.

Французская инфосек компания Stormshield, которая является поставщиком широкого спектра решений и сервисов для клиентов различного уровня, сообщила об инциденте безопасности.

Продукты Stormshield используются в том числе в защищенных сетях правительственных учреждений Франции, в частности их промышленный брэндмауэр SNi40 сертифицирован французским Национальным агентством по защите информационных систем (ANSSI).

Хакеры взломали один из порталов технической поддержки, получив при этом доступ к данным клиентов. Хуже того, злоумышленники смогли увести часть исходного кода этого самого сертифицированного SNi40. Вероятно теперь все стоящие в критических сетях брэндмауэры придется выпиливать. По крайней мере, ANSSI поставили их под наблюдение.

Кроме того, представители Stormshield совместно с ANSSI заявили, что на данный момент никаких нелегальных изменений кода продуктов не зафиксировано, работающее ПО не скомпрометировано. Как будет дальше - надо посмотреть.

В любом случае, эту кибероперацию можно рассматривать как атаку на цепочку поставок. Готовы поспорить, что первой кандидатурой на роль атакующих будут русские хакеры. Запомните этот твит (обратно откупимся по 41 через месяц).

Голландский исследователь OverSoft рассказывает как он расковырял продукт под названием FootfallCam 3D, предназначенный для подсчета людей в корпоративных зданиях. Со слов голландца, изделие стоит в десятках тысяч офисов. Презентация FootfallCam 3D на сайте, кстати, внушает - AI, сразу три встроенных ОС (ага, щас) и пр.

Обязательно прочитайте весь тред - это просто песня. Для начала достаточно того, что при подключенном Ethernet FootfallCam 3D поднимает Wi-Fi c транслируемым SSID и дефолтным паролем. При этом SSID и дефолтный пароль (легко угадываемый) невозможно изменить. Равно как и пароль администратора, который представляет собой "123456". Таким образом FootfallCam 3D вполне может послужить первичной точкой компрометации корпоративной сети.

Дальше - больше. Все перечислять не будем. Там и песни Бруно Марса в прошивке и многое другое.

Обращает на себя внимание то, что в течение 5 недель исследователь пытался связаться с производителем, но никакого фидбека не получил. После чего, как человек, не подписывавший никаких NDA, с легким сердцем вывалил все в Twitter.

Тот рядовой случай, когда на словах ты Лев Толстой, а кто на деле мы сказать не можем, поскольку теперь это запрещено Законом о мате в соцсетях.

​​Что-то давненько у нас Джо Словика в ленте не было

Google выпустили версию Chrome 88.0.4324.150 для Windows, Mac и Linux.

Обновление исправляет всего одну ошибку, зато какую. CVE-2021-21148 - это 0-day уязвимость, которая представляет собой переполнение кучи в движке V8 и, как сообщает Google, к моменту ее открытия 24 января уже активно использовалась злоумышленниками в дикой природе.

Судя по всему, эта уязвимость является одной из составляющих боевого эксплойт-кита, который применяли хакеры из северокорейской APT Lazarus при атаках на инфосек экспертов.

Так что всем причастным к отрасли ИБ необходимо срочно обновить свои Chrome. Ну, и остальным тоже.

Другую 0-day уязвимость в Internet Explorer, которую также использовали северокорейцы в этих атаках, обнаружили исследователи из южнокорейской инфосек компании ENKI. По их данным, атаке подверглись их собственные эксперты. И, хотя она не увенчалась успехом, полученные данные помогли выявить свежую ошибку. Соответствующий PoC имеется.

Правда Microsoft, в отличие от Google, эту уязвимость пока не исправили.

Вчера мы по поводу этой новости решили не давать пост, а сегодня подумали, и решили все-таки написать.

Cisco выпустили обновления, устраняющие уязвимости в линейке маршрутизаторов RV160 и RV260 со встроенным VPN.

Всего исправлено семь уязвимостей (c CVE-2021-1289 по CVE-2021-1295). Cisco не дали технических подробностей, но сообщили, что балл их критичности равен 9,8 из 10. Это прямо очень много.

Ошибки заключаются в некорректном механизме обработки HTTP-запросов, благодаря чему хакер может удаленно выполнить код с рутовыми правами.

Плюс исправлены еще две уязвимости CVE-2021-1296 и CVE-2021-1297 в этих же маршрутизаторах, которые позволяют пользователю, не прошедшему аутентификацию, получить доступ к файловой системе.

Ну, и на сдачу - обновления для маршрутизаторов RV016, RV042, RV082, RV320 и RV325, исправляющие кучу уязвимостей, позволявших злоумышленнику выполнять команды с рутовыми правами, осуществлять RCE и вызывать DoS.

Поскольку все эти продукты продаются в России и используются в корпоративных сетях, то стоит задуматься о срочном обновлении.

Неутешительные новости касаемо ransomware.

BleepingComputer сообщает, что две крупные электроэнергетические компании Бразилии - Centrais Eletricas Brasileiras (Eletrobras) и Companhia Paranaense de Energia (Copel) - на прошлой неделе подверглись атакам ransomware.

При этом Eletrobras - это вообще крупнейшая энергетическая компания в Южной Америке, но атака была направлена на ее дочернюю компанию Eletronuclear, которая занимается строительством и эксплуатацией атомных электростанций. Фукусимой прямо повеяло.

В результате атаки вымогателя некоторые административные сервисы были выведены из строя, но, слава Богу, технологические сегменты сети не были затронуты и на работу непосредственно атомных электростанций атака не повлияла. Какой конкретно штамм ransomware причастен к инциденту - пока не ясно.

В отношении второй атаки, на компанию Copel, информации немного больше. К ней причастен оператор ransomware Darkside, представители которого утверждают, что им удалось украсть более 1 Тб данных, в которых содержатся как данные клиентов и руководства компании, так и конфиденциальная информация, которую можно использовать для доступа к инфраструктуре Copel. А эта самая инфраструктура, по логике вещей, является критической.

В этом случае технологические сети также не пострадали.

С последней атакой не все ясно, так как еще 12 января румынские исследователи из Bitdefender выпустили бесплатный декриптор для Darkside. Возможно, что атака, о которой Copel сообщили 1 февраля в отчете американской SEC (бразильцы торгуются на нью-йоркской бирже) произошла сильно раньше. А возможно, что декриптор был использован, но это, понятное дело, не спасло от кражи данных вымогателями.

Как бы то ни было, учащающиеся атаки ransomware на объекты критической инфраструктуры энтузиазма нам не прибавляют. Поскольку велика вероятность корявого сегментирования сети, после чего шифровальщик проникнет в технологический сегмент и уронит какую-нибудь ICS (Industrial Control System), следом за чем брякнется какой-нибудь технологический процесс. Например, связанный с производством пестицидов. И начнется треш и гуро.

За 2020 год Google выплатили 6,7 млн. долларов в рамках своей программы Bug Bounty.

Самое большое разовое вознаграждение составило более 132 тыс. долларов, всего награждено 662 исследователя из 62 стран.

Да, этичным хакингом тоже можно зарабатывать деньги. И достаточно неплохие.

Вышел интересный обзор конкретной атаки ransomware Conti от инфосек вендора ClearSky.

Включает в себя переговоры с вымогателями, а также анализ транзакций BTC. Почитайте, познавательно.

​​Странная история с найденной уязвимостью в Signal.

Две недели назад Иран заблокировал использование мессенджера на своей территории. В ответ на это Signal предложил пользователям поддержать цифровую демократию в Иране и поучаствовать в создании TLS-прокси, с помощью которых персидские сподвижники смогут обходить блокировку.

В пятницу исследователь DuckSoft разметил на GitHub статью о том, что из-за корявости кода Signal иранские госорганы могут спокойно отследить все такие TLS-прокси и заблокировать их. Там же приводился PoC за авторством исследователя studentmain. А дальше начался цирк.

Ресерчеры направили данные в Signal. Администрация мессенджера выпилила статью на GitHub, сказав, что такие вопросы необходимо обсуждать на форуме Signal. Затем заблокировали DuckSoft на своем форуме, а в Twitter объяснили, что причиной всему этому стала "безответственность исследователя". Мол, если бы он тихонько написал про уязвимость безопасникам Signal, то все было бы ровно. А он зачем-то выкинул это на публику, негодяй. И вообще вел себя неуважительно.

Исследователи перезалили тему на GitHub, уже с соответствующими комментариями.

А в качестве вишенки на торте выступила статья BleepingComputer, которую под нажимом администрации мессенджера журналисты вынуждены были снести, а вместо нее поставили путанное извинение.

Когда ты борешься против цензуры с помощью цензуры.

​​Нешуточные страсти разгорелись на Шри-Ланке.

В субботу некая группа хактивистов осуществила DNS-спуфинг (подделка данных кэша DNS-сервера) администратора национального домена .LK, в результате которого перенаправила трафик на подконтрольную страницу, содержавшую перечисление недостатков шриланкийского бытия - коррупция, отсутствие свободы СМИ и вообще предвзятое отношение к тамилам.

Атакой были затронуты сайты местных предприятий и СМИ, а также Google .lk и Oracle .lk.

Ну и поскольку ZDNet, которые первые написали об этой атаке, поленились разобраться, что же за таинственные хакеры стоят за инцидентом, то мы дадим небольшие пояснения вместо них.

В Южной Азии живет народ тамилы, весьма многочисленный - всего около 77 млн. человек. В основном живут на территории Индии, но порядка 3 млн. живет в Шри-Ланке.

Поскольку национальное большинство в лице сингалов третировало тамилов, то в 1976 году последние создали повстанческое движение Тигры освобождения Тамил-Илама (ТОТИ), выступавшее за создание независимого государства Тамил-Илам на территории Шри-Ланки. И Тигры стали периодически стали устраивать замесы с правительственными войсками, в которых поучаствовали даже вооруженные силы Индии (отхватив в итоге по пране и ретировавшись к себе домой). ТОТИ, кстати, первые придумали пояса смертников, а также надевать их на женщин. Суровые товарищи, в общем.

Но в 2008 году правительство Шри-Ланки решило окончательно задавить Тигров, разорвало действовавшее перемирие и захватило подконтрольные ТОТИ территории. После чего те ушли партизанить в джунгли. В качестве сопутствующих допустимых потерь выступили 6,5 тыс. мирных жителей, погибших в ходе правительственной операции. Оставшимся же в живых тамилам с тех пор приходится несладко.

Поэтому можно смело говорить, что за атакой на NIC .lk стоят тамильские повстанцы, которым в джунгли завезли два ящика Интернета и книжку "DNS-спуфинг для чайников". А спонсором этого выступления стали раздолбаи из администратора национального домена Шри-Ланки.

Исследователи из словацкой ESET выпустили отчет о ландшафте киберугроз в 4 квартале 2020 года.

Основные тенденции:
- резко возросло количество атак на цепочки поставок (мы об этом говорили тоже) - только за 4 квартал словаки наблюдали такое же их количество, как за ранее происходило за год;
- количество зафиксированных ESET попыток атак на RDP выросло на 768% (!) и составило 29 млрд. штук. Это связано, конечно же, с переходом множества сотрудников на удаленную работу в связи с пандемией коронавируса и, как следствие, кратным увеличением использования RDP;
- количество операторов ransomware растет, соответственно количество операторов банковских троянов уменьшается - хакерские группы перепрофилируются на более выгодный вид киберпреступности;
- основной темой спама в 2020 году стал COVID.

Полный отчет - по ссылке.

Infosecurity Magazine публикует очень важную (нет) статью о том, как сделать кибербезопасность более кибербезопасной.

Для этого надо всего лишь (барабанная дробь) ... увеличить диверсити и инклюзивность в вашей инфосек команде. Что для этого надо делать конкретно?

Во-первых, не только резко увеличить количество гендерквиров, женщин и цветных людей, но и предпринимать все меры, чтобы их удержать в команде. Например, дать им бОльшую зарплату просто за их небинарность и цвет кожи.

Во-вторых, если сотрудник выглядит как говно и пахнет также - окажите ему моральную поддержку. Равно как и если он не работает как надо - это просто проявление нейроразнообразия (новое словечко!). Короче, максимум времени надо уделять раздолбаям и лентяям, нормальные сотрудники не достойны вашего внимания, сами выкарабкаются.

В-третьих, если сотрудник несет бред - он просто оригинально мыслит. Необходимо создать культуру инклюзивности, каким-бы долбоклюем он не был (в целом, в том, чтобы принимать во внимание мнение нестандартно мыслящих людей есть рациональное зерно, но нельзя перегибать, иначе все свободное время уйдет на объяснение дуракам почему корова не летает).

Только так получится предотвратить растущую киберугрозу. Ведь, как известно, нет лучшей кандидатуры на должность CISO чем одноногая необразованная неподмытая ксеногендерная негритянка.

P.S. Один из пунктов мы пропустили, потому что гибкий подход к организации рабочего процесса с точки зрения локации и графика работы в инфосеке действительно полезен.

P.P.S. Мы не думаем, что, к примеру, женщины или инвалиды менее достойны работы в инфосек. И знаем массу ярких примеров обратного. Но мы против того, чтобы диверсити ставили во главу стола.

​​Да.

Ну вот и первая на нашей памяти атака на объект критической инфраструктуры, в процессе которой хакер попытался напрямую нанести ущерб здоровью и жизни людей. И не удалось ему это только по причине того, что атаку вовремя заметили.

По информации американских СМИ, в пятницу неизвестный хакер получил доступ к системе управления водоочистительного объекта города Олдсмар, что в американском штате Флорида.

Злоумышленник просто подобрал пароль к TeamViewer, который стоял на машине, управляющей системой водоочистки, и повысил концентрацию едкого натра, поступающего в воду, более чем в 100 раз.

В стандартной концентрации едкий натр используется для отчистки воды. Если же концентрация сильно превышает норму, то едкий натр, который является щелочью, может нанести серьезные химические ожоги. К примеру, если такой водичкой умыться, то прекрасного завтра можно и не увидеть - едкий натр вызывает атрофию зрительного нерва и потерю зрения.

К счастью, оператор, следивший за системой водоочистки, зрительно обнаружил удаленную активность на рабочем столе взломанного компьютера и предотвратил вмешательство. Теперь героем станет.

Атакованный водоочистительный объект - это муниципальное предприятие, которое, как не удивительно, имеет собственное IT-подразделение (действительно, кто-то же TeamViewer поставил на машину). Местный шериф Гуалтьери сообщил, что для оказания помощи вызваны ФБР и Секретная Служба, а также сказал, что для всех это послужить тревожным звонком.

Для нас же тревожным звонком служит тот факт, что на таком критическом объекте айтишники не только догадались подключить машину, управляющую очисткой воды, в Интернет, но и поставили на нее TeamViewer.

Теперь основной вопрос - что будет происходить дальше. Если накажут как следует виновных в создании такой бреши - хорошо. Но, как нам кажется, в очередной раз все сведется к обсуждению личности хакера и его возможной причастности к тому или иному злокозненному государству.