Уже четвертый месяц Microsoft исправляют уязвимости безопасности, обнаруженные в пакете Microsoft Office, включая Excel и Office Online, которые могут быть использованы злоумышленниками для проведения атак с использованием документов: Word, Excel и Outlook.
11 мая разработчик исправил CVE-2021-31174, CVE-2021-31178, CVE-2021-31179, и сегодня выпускает итоговый патч для CVE-2021-31939.
Проблемы были вызваны уязвимой функцией внутри компонента MSGraph, за неделю фаззинга которого спецам Check Point удалось его грамотно расчехлить и обнаружить 4 ошибки.
В ходе дальнейшего исследования оказалось, что ошибки фактически затрагивают всю линейку продуктов Microsoft Office. Устаревший код продолжает оставаться слабым звеном в цепи безопасности Microsoft Office.
Для успешной эксплуатации уязвимости достаточно открытия вредоносного файла Excel (.XLS), который может быть загружен по ссылке или отправлен электронным письмом. Реализованный через редактор формул вектор атаки применялся злоумышленникам еще с конца 2018 года.
Несмотря на сокрытие технических подробностей последней CVE-2021-31939, не стоит рассчитывать на то, что пытливый хакерский ум не мог не поддаться искушению и не создать нужный эксплойт: настоятельно рекомендуем поскорее применить исправления.
11 мая разработчик исправил CVE-2021-31174, CVE-2021-31178, CVE-2021-31179, и сегодня выпускает итоговый патч для CVE-2021-31939.
Проблемы были вызваны уязвимой функцией внутри компонента MSGraph, за неделю фаззинга которого спецам Check Point удалось его грамотно расчехлить и обнаружить 4 ошибки.
В ходе дальнейшего исследования оказалось, что ошибки фактически затрагивают всю линейку продуктов Microsoft Office. Устаревший код продолжает оставаться слабым звеном в цепи безопасности Microsoft Office.
Для успешной эксплуатации уязвимости достаточно открытия вредоносного файла Excel (.XLS), который может быть загружен по ссылке или отправлен электронным письмом. Реализованный через редактор формул вектор атаки применялся злоумышленникам еще с конца 2018 года.
Несмотря на сокрытие технических подробностей последней CVE-2021-31939, не стоит рассчитывать на то, что пытливый хакерский ум не мог не поддаться искушению и не создать нужный эксплойт: настоятельно рекомендуем поскорее применить исправления.
Check Point Research
Fuzzing the Office Ecosystem - Check Point Research
Research By: Netanel Ben-Simon and Sagi Tzadik Introduction Microsoft Office is a very commonly used software that can be found on almost any standard computer. It is also integrated inside many products of the Microsoft / Windows ecosystem such as Office…
Алярм! Вышел очередной ежемесячный вторничный патч безопасности от Microsoft и он исправляет 50 уязвимостей, включая целых шесть 0-day, которые активно используются в дикой природе!
Перечислять уязвимости мы не будем, но отметим, что эксплуатация одной из них приводит к удаленному выполнению кода (RCE), одна связана с раскрытием информации, а оставшиеся четыре приводят к повышению привилегий.
Microsoft как всегда не делится техническими подробностями. Вместе с тем, Google TAG заявили, что CVE-2021-33742, приводящая к RCE, судя по всему, используется некой государственной APT для атак против целей в Восточной Европе и на Ближнем Востоке.
Касперские же сообщили, что две ошибки связанные с повышением привилегий были частью сложной цепочки эксплойтов, которая использовалась в апреле новым актором PuzzleMaker для атак на ряд компаний (при этом эксплойт RCE найти не удалось).
Всем пользователям Windows рекомендуем срочно обновиться!
Перечислять уязвимости мы не будем, но отметим, что эксплуатация одной из них приводит к удаленному выполнению кода (RCE), одна связана с раскрытием информации, а оставшиеся четыре приводят к повышению привилегий.
Microsoft как всегда не делится техническими подробностями. Вместе с тем, Google TAG заявили, что CVE-2021-33742, приводящая к RCE, судя по всему, используется некой государственной APT для атак против целей в Восточной Европе и на Ближнем Востоке.
Касперские же сообщили, что две ошибки связанные с повышением привилегий были частью сложной цепочки эксплойтов, которая использовалась в апреле новым актором PuzzleMaker для атак на ряд компаний (при этом эксплойт RCE найти не удалось).
Всем пользователям Windows рекомендуем срочно обновиться!
Twitter
Shane Huntley
More details will be on CVE-2021-33742 will come from the team, but for context this seem to be a commercial exploit company providing capability for limited nation state Eastern Europe / Middle East targeting.
Forwarded from SecurityLab.ru (Pipiggi)
Чем страшны "Алхимик", "Евангелие" и "Глубина мудрости”? И нет, мы не о книгах.
⠀
Израиль использует технологию искусственного интеллекта в борьбе с исламистами в секторе Газа. На основе данных, собранных с помощью сигнального, визуального, человеческого, географического и других интеллектов были разработаны рекомендации для войск Армии обороны Израиля.
⠀
Подробнее об этом и других новостях кибербезопасности в новом выпуске Security-новостей с Александром Антиповым, главным редактором SecurityLab.
▪️как военный дрон нарушил первый закон робототехники;
▪️как Интерпол перехватил похищенные $83 млн;
▪️как жители Австралии и США стали веганами из-за кибератаки на JBS.
⠀
+ самый жаркий 🔥конкурс - на кону набор авторских соусов от Napalmfarm.
⠀
Подробнее в выпуске - https://youtu.be/atKG765ZjMw
⠀
Израиль использует технологию искусственного интеллекта в борьбе с исламистами в секторе Газа. На основе данных, собранных с помощью сигнального, визуального, человеческого, географического и других интеллектов были разработаны рекомендации для войск Армии обороны Израиля.
⠀
Подробнее об этом и других новостях кибербезопасности в новом выпуске Security-новостей с Александром Антиповым, главным редактором SecurityLab.
▪️как военный дрон нарушил первый закон робототехники;
▪️как Интерпол перехватил похищенные $83 млн;
▪️как жители Австралии и США стали веганами из-за кибератаки на JBS.
⠀
+ самый жаркий 🔥конкурс - на кону набор авторских соусов от Napalmfarm.
⠀
Подробнее в выпуске - https://youtu.be/atKG765ZjMw
YouTube
Боевой ИИ в деле, Интерпол перехватил $83 млн, США остались без мяса. Security-новости, #20
0:00 Здравствуйте с вами Александр Антипов, ваш бессменный ведущий самых жарких новостей по информационной безопасности
0:40 Искусственный интеллект впервые использовали в военных действиях - https://www.securitylab.ru/news/520673.php
2:36 Боевой ИИ впервые…
0:40 Искусственный интеллект впервые использовали в военных действиях - https://www.securitylab.ru/news/520673.php
2:36 Боевой ИИ впервые…
Операторы ransomware словно "шпионки с крепким телом" из песни Высоцкого: ты их в дверь - они в окно!
Пока руководство США разрабатывает чрезвычайные меры по борьбе с вымогателями и планирует относиться к ним как к террористам, под ответным ударом оказалась платформа iConstituent, которая поставляет услуги для Конгресса США и ряда американских штатов.
Клиентами iConstituent являются офисы почти 60 членов Палаты представителей, а также штаты Джорджия, Гавайи и Невада, города Лос-Анджелес и Пало-Альто, ассамблея штата Нью-Йорк.
В результате атаки пострадала система электронной рассылки iConstituent. По поводу возможной утечки конфиденциальных данных пока ничего не сообщается. Но если информация членов американского Конгресса всплывет в паблике - это будет тот еще акробатический номер.
Продолжаем наблюдать.
Пока руководство США разрабатывает чрезвычайные меры по борьбе с вымогателями и планирует относиться к ним как к террористам, под ответным ударом оказалась платформа iConstituent, которая поставляет услуги для Конгресса США и ряда американских штатов.
Клиентами iConstituent являются офисы почти 60 членов Палаты представителей, а также штаты Джорджия, Гавайи и Невада, города Лос-Анджелес и Пало-Альто, ассамблея штата Нью-Йорк.
В результате атаки пострадала система электронной рассылки iConstituent. По поводу возможной утечки конфиденциальных данных пока ничего не сообщается. Но если информация членов американского Конгресса всплывет в паблике - это будет тот еще акробатический номер.
Продолжаем наблюдать.
Telegram
SecAtor
Неделя начинается для владельцев и операторов ransomware нервно.
Для начала в пятничном интервью изданию The Wall Street Journal занимающий пост директора ФБР Кристофер Рэй сравнил атаки ransomware с нападением террористов 9/11. Отсюда недалеко и до прямого…
Для начала в пятничном интервью изданию The Wall Street Journal занимающий пост директора ФБР Кристофер Рэй сравнил атаки ransomware с нападением террористов 9/11. Отсюда недалеко и до прямого…
А вот и еще жертв ransomware подвезли.
Сегодня вымогатели уронили испанское Министерство труда и социальной экономики (MITES), о чем само министерство сообщило в Twitter.
Сайт ведомства пока на плаву, но все сервисы связи, включая колл-центр, не функционируют.
При этом отдельное сообщение выпустило Государственное агентство по трудоустройству (SEPE), входящее в MITES. В нем оно ставит граждан в известность о том, что его ресурсы атакой вымогателей затронуты не были. И такой кунштюк выглядит странным, если не знать о том, что ровно 3 месяца назад SEPE само пострадало от атаки ransomware Ryuk.
Прямо как в старом-старом анекдоте - "Мужик, не забудь, меня только трахнуть надо"...
Сегодня вымогатели уронили испанское Министерство труда и социальной экономики (MITES), о чем само министерство сообщило в Twitter.
Сайт ведомства пока на плаву, но все сервисы связи, включая колл-центр, не функционируют.
При этом отдельное сообщение выпустило Государственное агентство по трудоустройству (SEPE), входящее в MITES. В нем оно ставит граждан в известность о том, что его ресурсы атакой вымогателей затронуты не были. И такой кунштюк выглядит странным, если не знать о том, что ровно 3 месяца назад SEPE само пострадало от атаки ransomware Ryuk.
Прямо как в старом-старом анекдоте - "Мужик, не забудь, меня только трахнуть надо"...
Twitter
Ministerio Trabajo y Economía Social
⚠️ El Ministerio de Trabajo y Economía Social se ha visto afectado por un ataque informático. Los responsables técnicos del Ministerio y del Centro Criptológico Nacional están trabajando de manera conjunta para determinar el origen y restablecer la normalidad…
—Партнерский пост—
Десятая конференция ZeroNights пройдет 30 июня в летнем Санкт-Петербурге!
В 2021 году в десятый раз пройдет ZeroNights – ежегодная международная конференция, посвященная практическим аспектам информационной безопасности.
Ничто не заменит нам энергию живого общения! Поэтому приглашаем отметить свое десятилетие в неформальной обстановке 30 июня в пространстве "Севкабель Порт". Вас ждет насыщенный день и мощная программа с тематическими активностями.
Для кого?
Для технических специалистов, администраторов, руководителей и сотрудников служб ИБ, пентестеров, программистов и всех, кто интересуется прикладными аспектами отрасли.
Что будет?
– Доклады ключевых спикеров и выступления основной программы (клуб "МОРЗЕ").
– Выступления секций Defensive Track, Web Village и Hardware Zone (в формате open-air на просторной набережной, крытые трибуны обеспечат слушателям комфорт в любую погоду).
Подробности, программа и билеты на сайте — https://zeronights.ru/
Десятая конференция ZeroNights пройдет 30 июня в летнем Санкт-Петербурге!
В 2021 году в десятый раз пройдет ZeroNights – ежегодная международная конференция, посвященная практическим аспектам информационной безопасности.
Ничто не заменит нам энергию живого общения! Поэтому приглашаем отметить свое десятилетие в неформальной обстановке 30 июня в пространстве "Севкабель Порт". Вас ждет насыщенный день и мощная программа с тематическими активностями.
Для кого?
Для технических специалистов, администраторов, руководителей и сотрудников служб ИБ, пентестеров, программистов и всех, кто интересуется прикладными аспектами отрасли.
Что будет?
– Доклады ключевых спикеров и выступления основной программы (клуб "МОРЗЕ").
– Выступления секций Defensive Track, Web Village и Hardware Zone (в формате open-air на просторной набережной, крытые трибуны обеспечат слушателям комфорт в любую погоду).
Подробности, программа и билеты на сайте — https://zeronights.ru/
zeronights.ru
ZeroNights 2025
11-я конференция по практическим аспектам информационной безопасности ZeroNights
Одна из благодатных инфосек компаний - японская Trend Micro - выпустила статью из разряда "все что Вы хотели знать о ransomware, но боялись спросить".
Исследователи рассматривают эволюцию ransomware, а на примере банды вымогателей Nefilim подробно описывают работу подобных хакерских групп.
Nefilim, напомним, тоже русскоязычная бригада. По крайней мере, как говорили еще год назад эксперты из голландской Tesorion, они являются родственной группой вымогателям из Nemty, а уж последние свое происхождение засветили чуть более чем полностью, когда оставляли в коде ransomware приветы Кремезу в виде строчек из песен Скриптонита.
Конечно на звание всеобъемлющего гайда по ransomware статья японцев не претендует, но в качестве одного из базовых материалов про вымогателей зайдет очень даже. Мы, по крайней мере, с интересом прочитали.
Исследователи рассматривают эволюцию ransomware, а на примере банды вымогателей Nefilim подробно описывают работу подобных хакерских групп.
Nefilim, напомним, тоже русскоязычная бригада. По крайней мере, как говорили еще год назад эксперты из голландской Tesorion, они являются родственной группой вымогателям из Nemty, а уж последние свое происхождение засветили чуть более чем полностью, когда оставляли в коде ransomware приветы Кремезу в виде строчек из песен Скриптонита.
Конечно на звание всеобъемлющего гайда по ransomware статья японцев не претендует, но в качестве одного из базовых материалов про вымогателей зайдет очень даже. Мы, по крайней мере, с интересом прочитали.
Trendmicro
Modern Ransomware's Double Extortion Tactics and How to Protect Enterprises Against Them
Modern ransomware like Nefilim present new challenges and security concerns for enterprises across the world. How do these new families differ from traditional ransomware? And what can organizations do to mitigate risks?
Forwarded from Эксплойт | Live
Франция оштрафовала Google на €220 млн
Причиной этому стало то, что компания продвигала собственные услуги «в ущерб конкурентам».
Примечательно, что инициатором жалобы против компании стали местные СМИ.
Буквально вчера регулятор во Франции подтвердил то, что Google «злоупотребляет своим доминирующем положении на рынке рекламных сервисов».
Сама компания, к слову, не стала оспаривать штраф, а признала ошибку и приняла решение его выплатить.
Google также взяла на себя обязательство по улучшению сервисов Google Ad Manager с другими рекламными сервисами.
Причиной этому стало то, что компания продвигала собственные услуги «в ущерб конкурентам».
Примечательно, что инициатором жалобы против компании стали местные СМИ.
Буквально вчера регулятор во Франции подтвердил то, что Google «злоупотребляет своим доминирующем положении на рынке рекламных сервисов».
Сама компания, к слову, не стала оспаривать штраф, а признала ошибку и приняла решение его выплатить.
Google также взяла на себя обязательство по улучшению сервисов Google Ad Manager с другими рекламными сервисами.
Google выпустили обновление 91.0.4472.101 для Chrome. Среди 14 исправленных уязвимостей одна 0-day, которая к тому же используется в дикой природе.
CVE-2021-30551 - это дырка в многострадальном движке V8, в котором с начала года закрыли уже несколько 0-day, одну из которых юзали северокорейцы из APT Lazarus, когда ломали инфосек экспертов.
Эксплойт же новой уязвимости, судя по словам руководителя Google TAG, применяется тем же актором, что свежезакрытая CVE-2021-33742 в Windows. Напомним, что это некая государственная APT, атаковавшая цели в Восточной Европе и на Ближнем Востоке.
Обновляйтесь.
CVE-2021-30551 - это дырка в многострадальном движке V8, в котором с начала года закрыли уже несколько 0-day, одну из которых юзали северокорейцы из APT Lazarus, когда ломали инфосек экспертов.
Эксплойт же новой уязвимости, судя по словам руководителя Google TAG, применяется тем же актором, что свежезакрытая CVE-2021-33742 в Windows. Напомним, что это некая государственная APT, атаковавшая цели в Восточной Европе и на Ближнем Востоке.
Обновляйтесь.
Chrome Releases
Stable Channel Update for Desktop
The Stable channel has been updated to 91.0.4472.101 for Windows, Mac and Linux which will roll out over the coming days/weeks. A full list ...
Тем временем, REvil продолжает будоражить общественность. Группировка мощно пропиарилась благодаря признанию JBS об уплате выкупа вымогателям.
На 11 миллионов долларов стороны сторговались в ходе приватных переговоров, уронив изначальную сумму с 22,5 миллионов долларов. Сразу после инцидента, парализовавшего работу ряда предприятий по производству продуктов питания, JBS и REvil инициировали переговорный процесс и после серии дебатов - нашли компромисс: платеж в биткойнах был отправлен в тот же день, 1 июня. Причем вымогатели потребовали и получили деньги вперед.
Официально JBS объяснила свою лояльность к хакерам необходимостью обеспечения сохранности значимой клиентской информации. После того, как банда вымогателей получила платеж, они предоставили дешифратор, который им был нужен для расшифровки двух определенных баз данных, поскольку остальные данные были восстановлены из резервных копий.
Но, главное, пожалуй, для JBS были репутационные риски от возможной утечки, которую обещали организовать REvil. Вопреки громким заявлениям о бюджете компании в 200 миллионов долларов на ИТ и штате 850 ИТ-специалистов по всему миру, крупный мясной гигант все же предпочел деликатно урегулировать вопрос, не дожидаясь помощи спецслужб.
Возможно, мир и стал бы лучше, если бы файлы были опубликованы, но пока лучше только стала репа вымогателей REvil.
На 11 миллионов долларов стороны сторговались в ходе приватных переговоров, уронив изначальную сумму с 22,5 миллионов долларов. Сразу после инцидента, парализовавшего работу ряда предприятий по производству продуктов питания, JBS и REvil инициировали переговорный процесс и после серии дебатов - нашли компромисс: платеж в биткойнах был отправлен в тот же день, 1 июня. Причем вымогатели потребовали и получили деньги вперед.
Официально JBS объяснила свою лояльность к хакерам необходимостью обеспечения сохранности значимой клиентской информации. После того, как банда вымогателей получила платеж, они предоставили дешифратор, который им был нужен для расшифровки двух определенных баз данных, поскольку остальные данные были восстановлены из резервных копий.
Но, главное, пожалуй, для JBS были репутационные риски от возможной утечки, которую обещали организовать REvil. Вопреки громким заявлениям о бюджете компании в 200 миллионов долларов на ИТ и штате 850 ИТ-специалистов по всему миру, крупный мясной гигант все же предпочел деликатно урегулировать вопрос, не дожидаясь помощи спецслужб.
Возможно, мир и стал бы лучше, если бы файлы были опубликованы, но пока лучше только стала репа вымогателей REvil.
Jbsfoodsgroup
JBS USA Cyberattack Media Statement - June 9 — JBS Foods
JBS USA today confirmed it paid the equivalent of $11 million in ransom in response to the criminal hack against its operations.
Electronic Arts, как вы уже наверняка слышали, поехали на веселом паровозике вслед за CD Projekt Red - издателя взломали и украли 780 Гб данных, включая исходный код FIFA (который один и тот же на протяжении последних лет 15-ти). EA жлобы и их не жалко.
CD Projekt же рассказывает, что информация, которая утекла во время февральской атаки ransomware HelloKitty, якобы начала активно циркулировать в сети. В том числе сведения в отношении сотрудников игровой студии.
Также поляки уведомляют общественность о принятых после взлома мерах, направленных на усиление информационной безопасности. И ознакомившись с этим самыми мерами становится понятно, что раньше инфосек в некогда благословенной (до Cyberpunk'а, конечно) компании строился по принципу "пей, гуляй, люби гусей".
Впрочем, польские разработчики в этом не одиноки. Это обычная практика мировой религии эффективного менеджмента (да святится MBA и Большая Четверка).
Вот и BleepingComputer сообщает об атаке ransomware на одного из крупнейших американских производителей оборудования для общественного питания Edward Don. В результате взлома работа компании встала колом.
И пока представители Edward Don не комментирует происходящее, Виталий Кремез заявляет, что в сети компании сидел Qbot, с которым сотрудничают сразу несколько вымогательских группировок.
В общем, все как обычно.
CD Projekt же рассказывает, что информация, которая утекла во время февральской атаки ransomware HelloKitty, якобы начала активно циркулировать в сети. В том числе сведения в отношении сотрудников игровой студии.
Также поляки уведомляют общественность о принятых после взлома мерах, направленных на усиление информационной безопасности. И ознакомившись с этим самыми мерами становится понятно, что раньше инфосек в некогда благословенной (до Cyberpunk'а, конечно) компании строился по принципу "пей, гуляй, люби гусей".
Впрочем, польские разработчики в этом не одиноки. Это обычная практика мировой религии эффективного менеджмента (да святится MBA и Большая Четверка).
Вот и BleepingComputer сообщает об атаке ransomware на одного из крупнейших американских производителей оборудования для общественного питания Edward Don. В результате взлома работа компании встала колом.
И пока представители Edward Don не комментирует происходящее, Виталий Кремез заявляет, что в сети компании сидел Qbot, с которым сотрудничают сразу несколько вымогательских группировок.
В общем, все как обычно.
CD PROJEKT
Security breach update - CD PROJEKT
This message is a follow-up on the February security breach which targeted the CD PROJEKT Group. Today, we have learned new information regarding the breach, and now have reason to believe that internal data illegally
Кевин Бэкхаус, исследователь GitHub Security Lab, нашел уязвимость в службе polkit в Linux, которая позволяет непривилегированному локальному пользователю получить рутовые права.
Polkit - это служба, предоставляющая возможность непривилегированным процессам запускать привилегированные. Используется в Ubuntu, Fedora, Red Hat и др.
Ошибка получила CVE-2021-3560 и была исправлена 3 июня. Судя по всему, она появилась в версии polkit 0.113 еще в ноябре 2013 года (а Baron Samedit в sudo просуществовала все 10 лет до своего исправления).
Эксплуатация уязвимости весьма проста и подробно описана Бэкхаусом в своей статье. Оценка критичности по CVSS - 7,8.
Всем, кто использует дистрибутивы с polkit рекомендуем обновиться (хотя это не RCE, конечно, и тем не менее).
Polkit - это служба, предоставляющая возможность непривилегированным процессам запускать привилегированные. Используется в Ubuntu, Fedora, Red Hat и др.
Ошибка получила CVE-2021-3560 и была исправлена 3 июня. Судя по всему, она появилась в версии polkit 0.113 еще в ноябре 2013 года (а Baron Samedit в sudo просуществовала все 10 лет до своего исправления).
Эксплуатация уязвимости весьма проста и подробно описана Бэкхаусом в своей статье. Оценка критичности по CVSS - 7,8.
Всем, кто использует дистрибутивы с polkit рекомендуем обновиться (хотя это не RCE, конечно, и тем не менее).
The GitHub Blog
Privilege escalation with polkit: How to get root on Linux with a seven-year-old bug
polkit is a system service installed by default on many Linux distributions. It’s used by systemd, so any Linux distribution that uses systemd also uses polkit.
В КНР решили задать новый общемировой тренд, и установить жесткие экономические рамки для хакерских групп.
Под руководством Министерства общественной безопасности китайские правоохранительные органы провернули крупнейшую операцию по борьбе с национальной и международной киберпреступностью, получившей название Card Broken.
Card Broken направлена на борьбу с мошенничеством в телекоммуникационных сетях и отмыванию денег в Китае и за рубежом. В результате нее было нейтрализовано 15 000 банд и арестовано 311 000 подозреваемых, в том числе на пятом заключительном этапе операции совершено более 1000 арестов, раскрыто 170 преступных группировок в Пекине, Хэбэй и Шаньси.
Китайцы отдельно акцентируют внимание общественности на том, что в преступлениях замешаны майнеры, которые содействуют хакерам в отмывании денег с помощью криптовалюты, получая за свои услуги комиссию в размере от 1,5% до 5%.
Таким образом, основной удар правоохранители нанесли по криптоподполью. Китай четко продемонстрировал свою принципиальную позицию в отношении криптовалюты, объявив обмен криптой вне закона и нарушением национального «экономического и финансового порядка», а значит в обозримом будущем челендж будет поддержан, с большой долей вероятности, партнерами КНР из других стран.
Под руководством Министерства общественной безопасности китайские правоохранительные органы провернули крупнейшую операцию по борьбе с национальной и международной киберпреступностью, получившей название Card Broken.
Card Broken направлена на борьбу с мошенничеством в телекоммуникационных сетях и отмыванию денег в Китае и за рубежом. В результате нее было нейтрализовано 15 000 банд и арестовано 311 000 подозреваемых, в том числе на пятом заключительном этапе операции совершено более 1000 арестов, раскрыто 170 преступных группировок в Пекине, Хэбэй и Шаньси.
Китайцы отдельно акцентируют внимание общественности на том, что в преступлениях замешаны майнеры, которые содействуют хакерам в отмывании денег с помощью криптовалюты, получая за свои услуги комиссию в размере от 1,5% до 5%.
Таким образом, основной удар правоохранители нанесли по криптоподполью. Китай четко продемонстрировал свою принципиальную позицию в отношении криптовалюты, объявив обмен криптой вне закона и нарушением национального «экономического и финансового порядка», а значит в обозримом будущем челендж будет поддержан, с большой долей вероятности, партнерами КНР из других стран.
Поскольку на нескрепном Западе праздник объявления независимости России (от России же?) не отмечают, то 14 июня у них вполне себе рабочий день, в ходе которого повстречалось руководство G7.
И сразу же правительства участвующих стран приняли коммюнике, которым призвали Россию выявить, пресечь и привлечь к ответственности тех, кто с ее территории проводит атаки ransomware, использует криптовалюту для отмывания денег и осуществляет другие киберпреступления.
А накануне встречи, в прошлую пятницу, CNBC сообщили, что американская компания Sol Oriens из штата Нью-Мексико подверглась в мае атаке оператора ransomware REvil.
А Sol Oriens, даром что держит в штате всего 50 человек, является контрактором американской NNSA - Национального управления по ядерной безопасности. И нанимает на работу "специалистов по системам ядерного вооружения", в обязанности которого входит "планирование и управление программами продления срока службы ядерного оружия".
REvil опубликовали на своем сайте утечек ряд скринов документов Sol Oriens, по имеющейся информации среди украденных данных - счета-фактуры по контрактам NNSA, описание свежих исследовательских проектов и разработок и пр.
Пожалуй, с таким бэкграундом до канадской границы ребяты добежать не успеют.
И сразу же правительства участвующих стран приняли коммюнике, которым призвали Россию выявить, пресечь и привлечь к ответственности тех, кто с ее территории проводит атаки ransomware, использует криптовалюту для отмывания денег и осуществляет другие киберпреступления.
А накануне встречи, в прошлую пятницу, CNBC сообщили, что американская компания Sol Oriens из штата Нью-Мексико подверглась в мае атаке оператора ransomware REvil.
А Sol Oriens, даром что держит в штате всего 50 человек, является контрактором американской NNSA - Национального управления по ядерной безопасности. И нанимает на работу "специалистов по системам ядерного вооружения", в обязанности которого входит "планирование и управление программами продления срока службы ядерного оружия".
REvil опубликовали на своем сайте утечек ряд скринов документов Sol Oriens, по имеющейся информации среди украденных данных - счета-фактуры по контрактам NNSA, описание свежих исследовательских проектов и разработок и пр.
Пожалуй, с таким бэкграундом до канадской границы ребяты добежать не успеют.
Зак Уиттакер из TechCrunch раскопал уведомление в адрес американской прокуратуры от Volkswagen Group of America о произошедшей утечке личных данных ее клиентов, включая покупателей Volkswagen и Audi.
10 мая компания получила информацию о том, что третья сторона могла незаконно получить доступ к клиентским данным (скорее всего увидели кусок базы). Проведенное расследование показало, что один из маркетинговых партнеров компании не закрыл свой сервер, в результате чего данные об американских и канадских клиентах в период с 2014 по 2019 годы оказались в открытом доступе.
Доступ этот стал возможным в августе 2019, а закрыли его только 24 мая 2021 года. Либо Volkswagen привлекли очень медленных исследователей, либо скомпрометированный сервер находился в очень труднодоступном месте (ехали на собаках) и настраивался исключительно вручную.
Всего пострадали более 3,3 млн человек, личная информация которых стала доступна - ФИО, номера телефонов, почтовые и электронные адреса. Иногда там были VIN и другие сведения об автомобиле. Данные о приблизительно 90 тыс. клиентах Audi содержали более конфиденциальную информацию, включая номера социального страхования, дату рождения, а также "информацию для получения кредита".
Но хреновый инфосек - это все фигня. Главное, что логотип обновили!
10 мая компания получила информацию о том, что третья сторона могла незаконно получить доступ к клиентским данным (скорее всего увидели кусок базы). Проведенное расследование показало, что один из маркетинговых партнеров компании не закрыл свой сервер, в результате чего данные об американских и канадских клиентах в период с 2014 по 2019 годы оказались в открытом доступе.
Доступ этот стал возможным в августе 2019, а закрыли его только 24 мая 2021 года. Либо Volkswagen привлекли очень медленных исследователей, либо скомпрометированный сервер находился в очень труднодоступном месте (ехали на собаках) и настраивался исключительно вручную.
Всего пострадали более 3,3 млн человек, личная информация которых стала доступна - ФИО, номера телефонов, почтовые и электронные адреса. Иногда там были VIN и другие сведения об автомобиле. Данные о приблизительно 90 тыс. клиентах Audi содержали более конфиденциальную информацию, включая номера социального страхования, дату рождения, а также "информацию для получения кредита".
Но хреновый инфосек - это все фигня. Главное, что логотип обновили!
TechCrunch
Volkswagen says a vendor’s security lapse exposed 3.3 million drivers’ details
The vendor left the cache of data unsecured on the internet over a two-year window.
Мы уже рассказывали про февральскую атаку на ведущего поставщика телекоммуникационных и IT-решений для мировой пассажирской и грузовой авиации SITA, в результате которой пострадали данные, хранившиеся на серверах системы SITA Passenger Service System (SITA PSS).
В мае Air India сообщила о том, что информация о 4,5 млн. ее пассажиров утекла в ходе атаки на SITA. Кроме того, другие азиатские авиакомпании также сообщали об утечках клиентских данных. Считалось, что за атакой на SITA стоял оператор ransomware, тем более после того, как информация Air India нашлась в продаже на Dark Leak Market.
Однако сингарусская компания Group-IB предлагает альтернативную историю - ̶г̶д̶е̶ ̶Т̶р̶е̶т̶и̶й̶ ̶р̶е̶й̶х̶ ̶п̶о̶б̶е̶д̶и̶л̶ ̶в̶о̶ ̶В̶т̶о̶р̶о̶й̶ ̶м̶и̶р̶о̶в̶о̶й̶ ̶б̶л̶а̶г̶о̶д̶а̶р̶я̶ ̶т̶е̶х̶н̶о̶л̶о̶г̶и̶ч̶е̶с̶к̶о̶м̶у̶ ̶с̶к̶а̶ч̶к̶у̶ ̶и̶ ̶о̶к̶к̶у̶л̶ь̶т̶н̶ы̶м̶ ̶п̶р̶а̶к̶т̶и̶к̶а̶м̶. называет атаку делом рук китайской APT 41, которую некоторые приравнивают к APT Winnti (но, по нашему мнению, это не так). Киберкампанию ГрИБы назвали ColunmTK.
Итак, исследователи посчитали появившуюся на Dark Leak Market базу Air India фейковой и решили разобраться в ситуации подробнее.
В феврале ГрИБная система Threat Intelligence & Attribution обнаружила зараженные машины в сети Air India, которые обменивались данными с управляющим центром. Первым компьютером, который начал обмен данными с этим С2 оказался хост SITASERVER4, который, по предположению экспертов, был связан с сервером обработки данных SITA.
Далее более 20 машин в сети Air India были взломаны в ходе бокового перемещения. Злоумышленники выкачали более 200 Мб информации с зараженных машин. Всего атака на авиакомпанию длилась, согласно Group-IB, почти три месяца.
Исходя из изложенного, исследователи предположили, что сеть SITA послужила точкой первичной компрометации Air India. Таким образом вся киберкампания ColunmTK была ни чем иным, как атакой на цепочку поставок.
Проанализировав вредоносную инфраструктуру и использованные хакерами SSL-сертификаты ресерчеры выявили ряд совпадений с ранее описанными другими инфосек командами киберкампаниями, которые атрибутировались как проведенные APT 41.
Интересный поворот.
В мае Air India сообщила о том, что информация о 4,5 млн. ее пассажиров утекла в ходе атаки на SITA. Кроме того, другие азиатские авиакомпании также сообщали об утечках клиентских данных. Считалось, что за атакой на SITA стоял оператор ransomware, тем более после того, как информация Air India нашлась в продаже на Dark Leak Market.
Однако сингарусская компания Group-IB предлагает альтернативную историю - ̶г̶д̶е̶ ̶Т̶р̶е̶т̶и̶й̶ ̶р̶е̶й̶х̶ ̶п̶о̶б̶е̶д̶и̶л̶ ̶в̶о̶ ̶В̶т̶о̶р̶о̶й̶ ̶м̶и̶р̶о̶в̶о̶й̶ ̶б̶л̶а̶г̶о̶д̶а̶р̶я̶ ̶т̶е̶х̶н̶о̶л̶о̶г̶и̶ч̶е̶с̶к̶о̶м̶у̶ ̶с̶к̶а̶ч̶к̶у̶ ̶и̶ ̶о̶к̶к̶у̶л̶ь̶т̶н̶ы̶м̶ ̶п̶р̶а̶к̶т̶и̶к̶а̶м̶. называет атаку делом рук китайской APT 41, которую некоторые приравнивают к APT Winnti (но, по нашему мнению, это не так). Киберкампанию ГрИБы назвали ColunmTK.
Итак, исследователи посчитали появившуюся на Dark Leak Market базу Air India фейковой и решили разобраться в ситуации подробнее.
В феврале ГрИБная система Threat Intelligence & Attribution обнаружила зараженные машины в сети Air India, которые обменивались данными с управляющим центром. Первым компьютером, который начал обмен данными с этим С2 оказался хост SITASERVER4, который, по предположению экспертов, был связан с сервером обработки данных SITA.
Далее более 20 машин в сети Air India были взломаны в ходе бокового перемещения. Злоумышленники выкачали более 200 Мб информации с зараженных машин. Всего атака на авиакомпанию длилась, согласно Group-IB, почти три месяца.
Исходя из изложенного, исследователи предположили, что сеть SITA послужила точкой первичной компрометации Air India. Таким образом вся киберкампания ColunmTK была ни чем иным, как атакой на цепочку поставок.
Проанализировав вредоносную инфраструктуру и использованные хакерами SSL-сертификаты ресерчеры выявили ряд совпадений с ранее описанными другими инфосек командами киберкампаниями, которые атрибутировались как проведенные APT 41.
Интересный поворот.
ZDNet, со ссылкой на сегодняшнее исследование инфосек компании Cybereason, сообщает, что около 80% организаций, заплативших выкуп владельцам ransomware, подверглись повторной атаке, причем почти половина из них подозревали в ней тех же вымогателей.
Вице-президент Cybereason по АТР Лесли Вонг сказал, что "надо понимать, что уплата выкупа не гарантирует успешного восстановления и не мешает вымогателям снова нанести удар по жертве, так как оплата выкупа еще больше их мотивирует".
Товарищ Вонг виртуозно тасует телегу и лошадь. Безусловно, получение денег придает бонус к мотивации владельцам и операторам ransomware. Но они, пардон минутку, для этого и функционируют.
Ломают же повторно жертв по другим причинам.
Если компания единожды стала жертвой ransomware, то это означает, что в ее системе информационной безопасности есть бреши, и, скорее всего, сильно больше одной. Но "эффективный топ-менеджмент", попавший в просак из-за недостаточных мер инфосека и вынужденный заплатить живые деньги хакерам, после взлома уделяет внимание усилению ИБ компании по остаточному принципу - типа, "и так бабок отгрузили, еще и на SOC какой-то просят, пшли вон".
Результат предсказуем.
Вице-президент Cybereason по АТР Лесли Вонг сказал, что "надо понимать, что уплата выкупа не гарантирует успешного восстановления и не мешает вымогателям снова нанести удар по жертве, так как оплата выкупа еще больше их мотивирует".
Товарищ Вонг виртуозно тасует телегу и лошадь. Безусловно, получение денег придает бонус к мотивации владельцам и операторам ransomware. Но они, пардон минутку, для этого и функционируют.
Ломают же повторно жертв по другим причинам.
Если компания единожды стала жертвой ransomware, то это означает, что в ее системе информационной безопасности есть бреши, и, скорее всего, сильно больше одной. Но "эффективный топ-менеджмент", попавший в просак из-за недостаточных мер инфосека и вынужденный заплатить живые деньги хакерам, после взлома уделяет внимание усилению ИБ компании по остаточному принципу - типа, "и так бабок отгрузили, еще и на SOC какой-то просят, пшли вон".
Результат предсказуем.
ZDNET
Most firms face second ransomware attack after paying off first
Some 80% of businesses that choose to pay to regain access to their encrypted systems experience a subsequent ransomware attack, amongst which 46% believe it to be caused by the same attackers.