Одна из благодатных инфосек компаний - японская Trend Micro - выпустила статью из разряда "все что Вы хотели знать о ransomware, но боялись спросить".
Исследователи рассматривают эволюцию ransomware, а на примере банды вымогателей Nefilim подробно описывают работу подобных хакерских групп.
Nefilim, напомним, тоже русскоязычная бригада. По крайней мере, как говорили еще год назад эксперты из голландской Tesorion, они являются родственной группой вымогателям из Nemty, а уж последние свое происхождение засветили чуть более чем полностью, когда оставляли в коде ransomware приветы Кремезу в виде строчек из песен Скриптонита.
Конечно на звание всеобъемлющего гайда по ransomware статья японцев не претендует, но в качестве одного из базовых материалов про вымогателей зайдет очень даже. Мы, по крайней мере, с интересом прочитали.
Исследователи рассматривают эволюцию ransomware, а на примере банды вымогателей Nefilim подробно описывают работу подобных хакерских групп.
Nefilim, напомним, тоже русскоязычная бригада. По крайней мере, как говорили еще год назад эксперты из голландской Tesorion, они являются родственной группой вымогателям из Nemty, а уж последние свое происхождение засветили чуть более чем полностью, когда оставляли в коде ransomware приветы Кремезу в виде строчек из песен Скриптонита.
Конечно на звание всеобъемлющего гайда по ransomware статья японцев не претендует, но в качестве одного из базовых материалов про вымогателей зайдет очень даже. Мы, по крайней мере, с интересом прочитали.
Trendmicro
Modern Ransomware's Double Extortion Tactics and How to Protect Enterprises Against Them
Modern ransomware like Nefilim present new challenges and security concerns for enterprises across the world. How do these new families differ from traditional ransomware? And what can organizations do to mitigate risks?
Forwarded from Эксплойт | Live
Франция оштрафовала Google на €220 млн
Причиной этому стало то, что компания продвигала собственные услуги «в ущерб конкурентам».
Примечательно, что инициатором жалобы против компании стали местные СМИ.
Буквально вчера регулятор во Франции подтвердил то, что Google «злоупотребляет своим доминирующем положении на рынке рекламных сервисов».
Сама компания, к слову, не стала оспаривать штраф, а признала ошибку и приняла решение его выплатить.
Google также взяла на себя обязательство по улучшению сервисов Google Ad Manager с другими рекламными сервисами.
Причиной этому стало то, что компания продвигала собственные услуги «в ущерб конкурентам».
Примечательно, что инициатором жалобы против компании стали местные СМИ.
Буквально вчера регулятор во Франции подтвердил то, что Google «злоупотребляет своим доминирующем положении на рынке рекламных сервисов».
Сама компания, к слову, не стала оспаривать штраф, а признала ошибку и приняла решение его выплатить.
Google также взяла на себя обязательство по улучшению сервисов Google Ad Manager с другими рекламными сервисами.
Google выпустили обновление 91.0.4472.101 для Chrome. Среди 14 исправленных уязвимостей одна 0-day, которая к тому же используется в дикой природе.
CVE-2021-30551 - это дырка в многострадальном движке V8, в котором с начала года закрыли уже несколько 0-day, одну из которых юзали северокорейцы из APT Lazarus, когда ломали инфосек экспертов.
Эксплойт же новой уязвимости, судя по словам руководителя Google TAG, применяется тем же актором, что свежезакрытая CVE-2021-33742 в Windows. Напомним, что это некая государственная APT, атаковавшая цели в Восточной Европе и на Ближнем Востоке.
Обновляйтесь.
CVE-2021-30551 - это дырка в многострадальном движке V8, в котором с начала года закрыли уже несколько 0-day, одну из которых юзали северокорейцы из APT Lazarus, когда ломали инфосек экспертов.
Эксплойт же новой уязвимости, судя по словам руководителя Google TAG, применяется тем же актором, что свежезакрытая CVE-2021-33742 в Windows. Напомним, что это некая государственная APT, атаковавшая цели в Восточной Европе и на Ближнем Востоке.
Обновляйтесь.
Chrome Releases
Stable Channel Update for Desktop
The Stable channel has been updated to 91.0.4472.101 for Windows, Mac and Linux which will roll out over the coming days/weeks. A full list ...
Тем временем, REvil продолжает будоражить общественность. Группировка мощно пропиарилась благодаря признанию JBS об уплате выкупа вымогателям.
На 11 миллионов долларов стороны сторговались в ходе приватных переговоров, уронив изначальную сумму с 22,5 миллионов долларов. Сразу после инцидента, парализовавшего работу ряда предприятий по производству продуктов питания, JBS и REvil инициировали переговорный процесс и после серии дебатов - нашли компромисс: платеж в биткойнах был отправлен в тот же день, 1 июня. Причем вымогатели потребовали и получили деньги вперед.
Официально JBS объяснила свою лояльность к хакерам необходимостью обеспечения сохранности значимой клиентской информации. После того, как банда вымогателей получила платеж, они предоставили дешифратор, который им был нужен для расшифровки двух определенных баз данных, поскольку остальные данные были восстановлены из резервных копий.
Но, главное, пожалуй, для JBS были репутационные риски от возможной утечки, которую обещали организовать REvil. Вопреки громким заявлениям о бюджете компании в 200 миллионов долларов на ИТ и штате 850 ИТ-специалистов по всему миру, крупный мясной гигант все же предпочел деликатно урегулировать вопрос, не дожидаясь помощи спецслужб.
Возможно, мир и стал бы лучше, если бы файлы были опубликованы, но пока лучше только стала репа вымогателей REvil.
На 11 миллионов долларов стороны сторговались в ходе приватных переговоров, уронив изначальную сумму с 22,5 миллионов долларов. Сразу после инцидента, парализовавшего работу ряда предприятий по производству продуктов питания, JBS и REvil инициировали переговорный процесс и после серии дебатов - нашли компромисс: платеж в биткойнах был отправлен в тот же день, 1 июня. Причем вымогатели потребовали и получили деньги вперед.
Официально JBS объяснила свою лояльность к хакерам необходимостью обеспечения сохранности значимой клиентской информации. После того, как банда вымогателей получила платеж, они предоставили дешифратор, который им был нужен для расшифровки двух определенных баз данных, поскольку остальные данные были восстановлены из резервных копий.
Но, главное, пожалуй, для JBS были репутационные риски от возможной утечки, которую обещали организовать REvil. Вопреки громким заявлениям о бюджете компании в 200 миллионов долларов на ИТ и штате 850 ИТ-специалистов по всему миру, крупный мясной гигант все же предпочел деликатно урегулировать вопрос, не дожидаясь помощи спецслужб.
Возможно, мир и стал бы лучше, если бы файлы были опубликованы, но пока лучше только стала репа вымогателей REvil.
Jbsfoodsgroup
JBS USA Cyberattack Media Statement - June 9 — JBS Foods
JBS USA today confirmed it paid the equivalent of $11 million in ransom in response to the criminal hack against its operations.
Electronic Arts, как вы уже наверняка слышали, поехали на веселом паровозике вслед за CD Projekt Red - издателя взломали и украли 780 Гб данных, включая исходный код FIFA (который один и тот же на протяжении последних лет 15-ти). EA жлобы и их не жалко.
CD Projekt же рассказывает, что информация, которая утекла во время февральской атаки ransomware HelloKitty, якобы начала активно циркулировать в сети. В том числе сведения в отношении сотрудников игровой студии.
Также поляки уведомляют общественность о принятых после взлома мерах, направленных на усиление информационной безопасности. И ознакомившись с этим самыми мерами становится понятно, что раньше инфосек в некогда благословенной (до Cyberpunk'а, конечно) компании строился по принципу "пей, гуляй, люби гусей".
Впрочем, польские разработчики в этом не одиноки. Это обычная практика мировой религии эффективного менеджмента (да святится MBA и Большая Четверка).
Вот и BleepingComputer сообщает об атаке ransomware на одного из крупнейших американских производителей оборудования для общественного питания Edward Don. В результате взлома работа компании встала колом.
И пока представители Edward Don не комментирует происходящее, Виталий Кремез заявляет, что в сети компании сидел Qbot, с которым сотрудничают сразу несколько вымогательских группировок.
В общем, все как обычно.
CD Projekt же рассказывает, что информация, которая утекла во время февральской атаки ransomware HelloKitty, якобы начала активно циркулировать в сети. В том числе сведения в отношении сотрудников игровой студии.
Также поляки уведомляют общественность о принятых после взлома мерах, направленных на усиление информационной безопасности. И ознакомившись с этим самыми мерами становится понятно, что раньше инфосек в некогда благословенной (до Cyberpunk'а, конечно) компании строился по принципу "пей, гуляй, люби гусей".
Впрочем, польские разработчики в этом не одиноки. Это обычная практика мировой религии эффективного менеджмента (да святится MBA и Большая Четверка).
Вот и BleepingComputer сообщает об атаке ransomware на одного из крупнейших американских производителей оборудования для общественного питания Edward Don. В результате взлома работа компании встала колом.
И пока представители Edward Don не комментирует происходящее, Виталий Кремез заявляет, что в сети компании сидел Qbot, с которым сотрудничают сразу несколько вымогательских группировок.
В общем, все как обычно.
CD PROJEKT
Security breach update - CD PROJEKT
This message is a follow-up on the February security breach which targeted the CD PROJEKT Group. Today, we have learned new information regarding the breach, and now have reason to believe that internal data illegally
Кевин Бэкхаус, исследователь GitHub Security Lab, нашел уязвимость в службе polkit в Linux, которая позволяет непривилегированному локальному пользователю получить рутовые права.
Polkit - это служба, предоставляющая возможность непривилегированным процессам запускать привилегированные. Используется в Ubuntu, Fedora, Red Hat и др.
Ошибка получила CVE-2021-3560 и была исправлена 3 июня. Судя по всему, она появилась в версии polkit 0.113 еще в ноябре 2013 года (а Baron Samedit в sudo просуществовала все 10 лет до своего исправления).
Эксплуатация уязвимости весьма проста и подробно описана Бэкхаусом в своей статье. Оценка критичности по CVSS - 7,8.
Всем, кто использует дистрибутивы с polkit рекомендуем обновиться (хотя это не RCE, конечно, и тем не менее).
Polkit - это служба, предоставляющая возможность непривилегированным процессам запускать привилегированные. Используется в Ubuntu, Fedora, Red Hat и др.
Ошибка получила CVE-2021-3560 и была исправлена 3 июня. Судя по всему, она появилась в версии polkit 0.113 еще в ноябре 2013 года (а Baron Samedit в sudo просуществовала все 10 лет до своего исправления).
Эксплуатация уязвимости весьма проста и подробно описана Бэкхаусом в своей статье. Оценка критичности по CVSS - 7,8.
Всем, кто использует дистрибутивы с polkit рекомендуем обновиться (хотя это не RCE, конечно, и тем не менее).
The GitHub Blog
Privilege escalation with polkit: How to get root on Linux with a seven-year-old bug
polkit is a system service installed by default on many Linux distributions. It’s used by systemd, so any Linux distribution that uses systemd also uses polkit.
В КНР решили задать новый общемировой тренд, и установить жесткие экономические рамки для хакерских групп.
Под руководством Министерства общественной безопасности китайские правоохранительные органы провернули крупнейшую операцию по борьбе с национальной и международной киберпреступностью, получившей название Card Broken.
Card Broken направлена на борьбу с мошенничеством в телекоммуникационных сетях и отмыванию денег в Китае и за рубежом. В результате нее было нейтрализовано 15 000 банд и арестовано 311 000 подозреваемых, в том числе на пятом заключительном этапе операции совершено более 1000 арестов, раскрыто 170 преступных группировок в Пекине, Хэбэй и Шаньси.
Китайцы отдельно акцентируют внимание общественности на том, что в преступлениях замешаны майнеры, которые содействуют хакерам в отмывании денег с помощью криптовалюты, получая за свои услуги комиссию в размере от 1,5% до 5%.
Таким образом, основной удар правоохранители нанесли по криптоподполью. Китай четко продемонстрировал свою принципиальную позицию в отношении криптовалюты, объявив обмен криптой вне закона и нарушением национального «экономического и финансового порядка», а значит в обозримом будущем челендж будет поддержан, с большой долей вероятности, партнерами КНР из других стран.
Под руководством Министерства общественной безопасности китайские правоохранительные органы провернули крупнейшую операцию по борьбе с национальной и международной киберпреступностью, получившей название Card Broken.
Card Broken направлена на борьбу с мошенничеством в телекоммуникационных сетях и отмыванию денег в Китае и за рубежом. В результате нее было нейтрализовано 15 000 банд и арестовано 311 000 подозреваемых, в том числе на пятом заключительном этапе операции совершено более 1000 арестов, раскрыто 170 преступных группировок в Пекине, Хэбэй и Шаньси.
Китайцы отдельно акцентируют внимание общественности на том, что в преступлениях замешаны майнеры, которые содействуют хакерам в отмывании денег с помощью криптовалюты, получая за свои услуги комиссию в размере от 1,5% до 5%.
Таким образом, основной удар правоохранители нанесли по криптоподполью. Китай четко продемонстрировал свою принципиальную позицию в отношении криптовалюты, объявив обмен криптой вне закона и нарушением национального «экономического и финансового порядка», а значит в обозримом будущем челендж будет поддержан, с большой долей вероятности, партнерами КНР из других стран.
Поскольку на нескрепном Западе праздник объявления независимости России (от России же?) не отмечают, то 14 июня у них вполне себе рабочий день, в ходе которого повстречалось руководство G7.
И сразу же правительства участвующих стран приняли коммюнике, которым призвали Россию выявить, пресечь и привлечь к ответственности тех, кто с ее территории проводит атаки ransomware, использует криптовалюту для отмывания денег и осуществляет другие киберпреступления.
А накануне встречи, в прошлую пятницу, CNBC сообщили, что американская компания Sol Oriens из штата Нью-Мексико подверглась в мае атаке оператора ransomware REvil.
А Sol Oriens, даром что держит в штате всего 50 человек, является контрактором американской NNSA - Национального управления по ядерной безопасности. И нанимает на работу "специалистов по системам ядерного вооружения", в обязанности которого входит "планирование и управление программами продления срока службы ядерного оружия".
REvil опубликовали на своем сайте утечек ряд скринов документов Sol Oriens, по имеющейся информации среди украденных данных - счета-фактуры по контрактам NNSA, описание свежих исследовательских проектов и разработок и пр.
Пожалуй, с таким бэкграундом до канадской границы ребяты добежать не успеют.
И сразу же правительства участвующих стран приняли коммюнике, которым призвали Россию выявить, пресечь и привлечь к ответственности тех, кто с ее территории проводит атаки ransomware, использует криптовалюту для отмывания денег и осуществляет другие киберпреступления.
А накануне встречи, в прошлую пятницу, CNBC сообщили, что американская компания Sol Oriens из штата Нью-Мексико подверглась в мае атаке оператора ransomware REvil.
А Sol Oriens, даром что держит в штате всего 50 человек, является контрактором американской NNSA - Национального управления по ядерной безопасности. И нанимает на работу "специалистов по системам ядерного вооружения", в обязанности которого входит "планирование и управление программами продления срока службы ядерного оружия".
REvil опубликовали на своем сайте утечек ряд скринов документов Sol Oriens, по имеющейся информации среди украденных данных - счета-фактуры по контрактам NNSA, описание свежих исследовательских проектов и разработок и пр.
Пожалуй, с таким бэкграундом до канадской границы ребяты добежать не успеют.
Зак Уиттакер из TechCrunch раскопал уведомление в адрес американской прокуратуры от Volkswagen Group of America о произошедшей утечке личных данных ее клиентов, включая покупателей Volkswagen и Audi.
10 мая компания получила информацию о том, что третья сторона могла незаконно получить доступ к клиентским данным (скорее всего увидели кусок базы). Проведенное расследование показало, что один из маркетинговых партнеров компании не закрыл свой сервер, в результате чего данные об американских и канадских клиентах в период с 2014 по 2019 годы оказались в открытом доступе.
Доступ этот стал возможным в августе 2019, а закрыли его только 24 мая 2021 года. Либо Volkswagen привлекли очень медленных исследователей, либо скомпрометированный сервер находился в очень труднодоступном месте (ехали на собаках) и настраивался исключительно вручную.
Всего пострадали более 3,3 млн человек, личная информация которых стала доступна - ФИО, номера телефонов, почтовые и электронные адреса. Иногда там были VIN и другие сведения об автомобиле. Данные о приблизительно 90 тыс. клиентах Audi содержали более конфиденциальную информацию, включая номера социального страхования, дату рождения, а также "информацию для получения кредита".
Но хреновый инфосек - это все фигня. Главное, что логотип обновили!
10 мая компания получила информацию о том, что третья сторона могла незаконно получить доступ к клиентским данным (скорее всего увидели кусок базы). Проведенное расследование показало, что один из маркетинговых партнеров компании не закрыл свой сервер, в результате чего данные об американских и канадских клиентах в период с 2014 по 2019 годы оказались в открытом доступе.
Доступ этот стал возможным в августе 2019, а закрыли его только 24 мая 2021 года. Либо Volkswagen привлекли очень медленных исследователей, либо скомпрометированный сервер находился в очень труднодоступном месте (ехали на собаках) и настраивался исключительно вручную.
Всего пострадали более 3,3 млн человек, личная информация которых стала доступна - ФИО, номера телефонов, почтовые и электронные адреса. Иногда там были VIN и другие сведения об автомобиле. Данные о приблизительно 90 тыс. клиентах Audi содержали более конфиденциальную информацию, включая номера социального страхования, дату рождения, а также "информацию для получения кредита".
Но хреновый инфосек - это все фигня. Главное, что логотип обновили!
TechCrunch
Volkswagen says a vendor’s security lapse exposed 3.3 million drivers’ details
The vendor left the cache of data unsecured on the internet over a two-year window.
Мы уже рассказывали про февральскую атаку на ведущего поставщика телекоммуникационных и IT-решений для мировой пассажирской и грузовой авиации SITA, в результате которой пострадали данные, хранившиеся на серверах системы SITA Passenger Service System (SITA PSS).
В мае Air India сообщила о том, что информация о 4,5 млн. ее пассажиров утекла в ходе атаки на SITA. Кроме того, другие азиатские авиакомпании также сообщали об утечках клиентских данных. Считалось, что за атакой на SITA стоял оператор ransomware, тем более после того, как информация Air India нашлась в продаже на Dark Leak Market.
Однако сингарусская компания Group-IB предлагает альтернативную историю - ̶г̶д̶е̶ ̶Т̶р̶е̶т̶и̶й̶ ̶р̶е̶й̶х̶ ̶п̶о̶б̶е̶д̶и̶л̶ ̶в̶о̶ ̶В̶т̶о̶р̶о̶й̶ ̶м̶и̶р̶о̶в̶о̶й̶ ̶б̶л̶а̶г̶о̶д̶а̶р̶я̶ ̶т̶е̶х̶н̶о̶л̶о̶г̶и̶ч̶е̶с̶к̶о̶м̶у̶ ̶с̶к̶а̶ч̶к̶у̶ ̶и̶ ̶о̶к̶к̶у̶л̶ь̶т̶н̶ы̶м̶ ̶п̶р̶а̶к̶т̶и̶к̶а̶м̶. называет атаку делом рук китайской APT 41, которую некоторые приравнивают к APT Winnti (но, по нашему мнению, это не так). Киберкампанию ГрИБы назвали ColunmTK.
Итак, исследователи посчитали появившуюся на Dark Leak Market базу Air India фейковой и решили разобраться в ситуации подробнее.
В феврале ГрИБная система Threat Intelligence & Attribution обнаружила зараженные машины в сети Air India, которые обменивались данными с управляющим центром. Первым компьютером, который начал обмен данными с этим С2 оказался хост SITASERVER4, который, по предположению экспертов, был связан с сервером обработки данных SITA.
Далее более 20 машин в сети Air India были взломаны в ходе бокового перемещения. Злоумышленники выкачали более 200 Мб информации с зараженных машин. Всего атака на авиакомпанию длилась, согласно Group-IB, почти три месяца.
Исходя из изложенного, исследователи предположили, что сеть SITA послужила точкой первичной компрометации Air India. Таким образом вся киберкампания ColunmTK была ни чем иным, как атакой на цепочку поставок.
Проанализировав вредоносную инфраструктуру и использованные хакерами SSL-сертификаты ресерчеры выявили ряд совпадений с ранее описанными другими инфосек командами киберкампаниями, которые атрибутировались как проведенные APT 41.
Интересный поворот.
В мае Air India сообщила о том, что информация о 4,5 млн. ее пассажиров утекла в ходе атаки на SITA. Кроме того, другие азиатские авиакомпании также сообщали об утечках клиентских данных. Считалось, что за атакой на SITA стоял оператор ransomware, тем более после того, как информация Air India нашлась в продаже на Dark Leak Market.
Однако сингарусская компания Group-IB предлагает альтернативную историю - ̶г̶д̶е̶ ̶Т̶р̶е̶т̶и̶й̶ ̶р̶е̶й̶х̶ ̶п̶о̶б̶е̶д̶и̶л̶ ̶в̶о̶ ̶В̶т̶о̶р̶о̶й̶ ̶м̶и̶р̶о̶в̶о̶й̶ ̶б̶л̶а̶г̶о̶д̶а̶р̶я̶ ̶т̶е̶х̶н̶о̶л̶о̶г̶и̶ч̶е̶с̶к̶о̶м̶у̶ ̶с̶к̶а̶ч̶к̶у̶ ̶и̶ ̶о̶к̶к̶у̶л̶ь̶т̶н̶ы̶м̶ ̶п̶р̶а̶к̶т̶и̶к̶а̶м̶. называет атаку делом рук китайской APT 41, которую некоторые приравнивают к APT Winnti (но, по нашему мнению, это не так). Киберкампанию ГрИБы назвали ColunmTK.
Итак, исследователи посчитали появившуюся на Dark Leak Market базу Air India фейковой и решили разобраться в ситуации подробнее.
В феврале ГрИБная система Threat Intelligence & Attribution обнаружила зараженные машины в сети Air India, которые обменивались данными с управляющим центром. Первым компьютером, который начал обмен данными с этим С2 оказался хост SITASERVER4, который, по предположению экспертов, был связан с сервером обработки данных SITA.
Далее более 20 машин в сети Air India были взломаны в ходе бокового перемещения. Злоумышленники выкачали более 200 Мб информации с зараженных машин. Всего атака на авиакомпанию длилась, согласно Group-IB, почти три месяца.
Исходя из изложенного, исследователи предположили, что сеть SITA послужила точкой первичной компрометации Air India. Таким образом вся киберкампания ColunmTK была ни чем иным, как атакой на цепочку поставок.
Проанализировав вредоносную инфраструктуру и использованные хакерами SSL-сертификаты ресерчеры выявили ряд совпадений с ранее описанными другими инфосек командами киберкампаниями, которые атрибутировались как проведенные APT 41.
Интересный поворот.
ZDNet, со ссылкой на сегодняшнее исследование инфосек компании Cybereason, сообщает, что около 80% организаций, заплативших выкуп владельцам ransomware, подверглись повторной атаке, причем почти половина из них подозревали в ней тех же вымогателей.
Вице-президент Cybereason по АТР Лесли Вонг сказал, что "надо понимать, что уплата выкупа не гарантирует успешного восстановления и не мешает вымогателям снова нанести удар по жертве, так как оплата выкупа еще больше их мотивирует".
Товарищ Вонг виртуозно тасует телегу и лошадь. Безусловно, получение денег придает бонус к мотивации владельцам и операторам ransomware. Но они, пардон минутку, для этого и функционируют.
Ломают же повторно жертв по другим причинам.
Если компания единожды стала жертвой ransomware, то это означает, что в ее системе информационной безопасности есть бреши, и, скорее всего, сильно больше одной. Но "эффективный топ-менеджмент", попавший в просак из-за недостаточных мер инфосека и вынужденный заплатить живые деньги хакерам, после взлома уделяет внимание усилению ИБ компании по остаточному принципу - типа, "и так бабок отгрузили, еще и на SOC какой-то просят, пшли вон".
Результат предсказуем.
Вице-президент Cybereason по АТР Лесли Вонг сказал, что "надо понимать, что уплата выкупа не гарантирует успешного восстановления и не мешает вымогателям снова нанести удар по жертве, так как оплата выкупа еще больше их мотивирует".
Товарищ Вонг виртуозно тасует телегу и лошадь. Безусловно, получение денег придает бонус к мотивации владельцам и операторам ransomware. Но они, пардон минутку, для этого и функционируют.
Ломают же повторно жертв по другим причинам.
Если компания единожды стала жертвой ransomware, то это означает, что в ее системе информационной безопасности есть бреши, и, скорее всего, сильно больше одной. Но "эффективный топ-менеджмент", попавший в просак из-за недостаточных мер инфосека и вынужденный заплатить живые деньги хакерам, после взлома уделяет внимание усилению ИБ компании по остаточному принципу - типа, "и так бабок отгрузили, еще и на SOC какой-то просят, пшли вон".
Результат предсказуем.
ZDNET
Most firms face second ransomware attack after paying off first
Some 80% of businesses that choose to pay to regain access to their encrypted systems experience a subsequent ransomware attack, amongst which 46% believe it to be caused by the same attackers.
В прошлом году IBM создала и разместила в паблике опенсорсные инструменты для реализации полного гомоморфного шифрования (FHE).
Напомним, что гомоморфное шифрование позволяет производить математические действия с зашифрованным текстом и получать зашифрованный результат, соответствующий результату аналогичных действий с открытым текстом. Различают частичные и полные гомоморфные криптосистемы - первые позволяет производить только одну математическую операцию (либо сложение, либо умножение), вторые позволяют производить обе.
Полные гомоморфные криптосистемы могут при шифрованном вводе получить шифрованный вывод, что дает возможность производить обработку данных в недоверенной среде.
Теперь Google последовали за гигантами компьютеростроения - компания предоставила на GitHub сырцы библиотек для реализации FHE не отходя от производства.
Вприпрыжку за Google бегут товарищи из Intel и Microsoft, последняя из которых впиздрячила FHE в механизм Password Monitor своего браузера Edge.
И все эти новости не перестают нас радовать. Ведь в перспективе даже самые медленные и реакционные российские госорганы и другие страховые компании перейдут на использование FHE при обработке персональных данных. А это значит, что наша приватность будет в большей безопасности.
За что и выпьем.
Напомним, что гомоморфное шифрование позволяет производить математические действия с зашифрованным текстом и получать зашифрованный результат, соответствующий результату аналогичных действий с открытым текстом. Различают частичные и полные гомоморфные криптосистемы - первые позволяет производить только одну математическую операцию (либо сложение, либо умножение), вторые позволяют производить обе.
Полные гомоморфные криптосистемы могут при шифрованном вводе получить шифрованный вывод, что дает возможность производить обработку данных в недоверенной среде.
Теперь Google последовали за гигантами компьютеростроения - компания предоставила на GitHub сырцы библиотек для реализации FHE не отходя от производства.
Вприпрыжку за Google бегут товарищи из Intel и Microsoft, последняя из которых впиздрячила FHE в механизм Password Monitor своего браузера Edge.
И все эти новости не перестают нас радовать. Ведь в перспективе даже самые медленные и реакционные российские госорганы и другие страховые компании перейдут на использование FHE при обработке персональных данных. А это значит, что наша приватность будет в большей безопасности.
За что и выпьем.
GitHub
GitHub - google/fully-homomorphic-encryption: An FHE compiler for C++
An FHE compiler for C++. Contribute to google/fully-homomorphic-encryption development by creating an account on GitHub.
Американская инфосек компания Secureworks сделала разбор ransomware Hades. Не очень большой, но содержательный.
Штамм Hades появился в конце 2020 года и с тех пор успел засветиться в ряде атак. Одна из них - взлом американского транспортного гиганта Forward Air.
Весной с подачи CrowdStrike появилось мнение, что Hades является ни чем иным как перелицованным вариантом WastedLocker, принадлежащего группе Evil Corp. И вот теперь Secureworks выдвигает новую версию.
Эксперты говорят, что их исследования не подтверждают атрибуцию стоящего за Hades актора как Evil Corp, а также, по другой версии (слышим впервые), как китайскую APT Hafnium - это именно те ребята, которые в начале марта вынудили Microsoft выпустить экстренное обновление Exchange, поскольку активно юзали эксплойт-кит из четырех 0-day уязвимостей в нем.
Secureworks говорят, что, согласно их анализу, Hades не связан с другими штаммами ransomware, а стоящую за ним группу называют Gold Winter. Хакеры не работают по схеме RaaS, а используют ransomware самостоятельно. Нацелены только на крупные корпоративные структуры.
Для каждой из жертв создается свой персональный Tor-сайт, адрес которого жестко закодирован в конкретном экземпляре Hades. Тексты записок зачастую копируются у других штаммов - то у REvil, то у Conti.
И еще одно, интересное. Проанализировав вредоносную инфраструктуру вымогателей Secureworks обнаружили, что ассоциируемые с ней домены выданы Reg .ru. Симпоматичненько.
Штамм Hades появился в конце 2020 года и с тех пор успел засветиться в ряде атак. Одна из них - взлом американского транспортного гиганта Forward Air.
Весной с подачи CrowdStrike появилось мнение, что Hades является ни чем иным как перелицованным вариантом WastedLocker, принадлежащего группе Evil Corp. И вот теперь Secureworks выдвигает новую версию.
Эксперты говорят, что их исследования не подтверждают атрибуцию стоящего за Hades актора как Evil Corp, а также, по другой версии (слышим впервые), как китайскую APT Hafnium - это именно те ребята, которые в начале марта вынудили Microsoft выпустить экстренное обновление Exchange, поскольку активно юзали эксплойт-кит из четырех 0-day уязвимостей в нем.
Secureworks говорят, что, согласно их анализу, Hades не связан с другими штаммами ransomware, а стоящую за ним группу называют Gold Winter. Хакеры не работают по схеме RaaS, а используют ransomware самостоятельно. Нацелены только на крупные корпоративные структуры.
Для каждой из жертв создается свой персональный Tor-сайт, адрес которого жестко закодирован в конкретном экземпляре Hades. Тексты записок зачастую копируются у других штаммов - то у REvil, то у Conti.
И еще одно, интересное. Проанализировав вредоносную инфраструктуру вымогателей Secureworks обнаружили, что ассоциируемые с ней домены выданы Reg .ru. Симпоматичненько.
Secureworks
Hades Ransomware Operators Use Distinctive Tactics and Infrastructure
Commonalities revealed during multiple Secureworks incident response engagements provided insights into the GOLD WINTER threat group’s tactics, techniques, and procedures.
Forwarded from Pipiggi
Security-новости от Александра Антипова (securitylab.ru). Выпуск #21
Anonymous объявили войну Илону Маску из-за его чрезмерного влияния на курс криптовалют, ФБР следило за преступниками по всему миру через собственный зашифрованный чат, Apple возместила моральный вред американской студентке за слив ее интимных фото, а Microsoft исправила около 50 уязвимостей в различных продуктах. В США конгрессмен случайно раскрыл пароль своей почты, в Китае новая нейросеть в 10 раз мощнее ближайшего конкурента, а многие боссы этих двух стран готовы шпионить за работниками ради защиты коммерческой тайны. Американский Минюст вернул половину выкупа, выплаченного вымогателям Darkside после атаки на Colonial Pipeline, ежегодно ущерб от кибервымогателей возрастает на 30%, а через 10 лет превысит $265 млрд.
В двадцать первом выпуске «Топа Security-новостей» главред SecurityLab.ru Александр Антипов расскажет о самых заметных инцидентах безопасности и важных событиях в мире технологий за неделю. Среди тем выпуска:
- ФБР и полиция управляли защищенной чат-платформой для слежки за преступниками,
- Apple заплатила студентке миллионы долларов за слив интимных фото,
- Anonymous объявили войну Илону Маску из-за курса криптовалют,
- Microsoft исправила рекордное число 0-Day-уязвимостей с выпуском июньского пакета обновлений,
- в Китае создали гигантскую нейросеть,
- конгрессмен США случайно показал PIN-код и пароль своей электронной почты в Twitter,
- ущерб от атак вымогателей в следующем десятилетии превысит $265 млрд,
- Минюст США вернул $2,3 млн в криптовалюте, выплаченные вымогателям Darkside,
- треть руководителей готовы шпионить за персоналом ради защиты коммерческой тайны.
https://www.youtube.com/watch?v=R_pVPyBDmQ0
Anonymous объявили войну Илону Маску из-за его чрезмерного влияния на курс криптовалют, ФБР следило за преступниками по всему миру через собственный зашифрованный чат, Apple возместила моральный вред американской студентке за слив ее интимных фото, а Microsoft исправила около 50 уязвимостей в различных продуктах. В США конгрессмен случайно раскрыл пароль своей почты, в Китае новая нейросеть в 10 раз мощнее ближайшего конкурента, а многие боссы этих двух стран готовы шпионить за работниками ради защиты коммерческой тайны. Американский Минюст вернул половину выкупа, выплаченного вымогателям Darkside после атаки на Colonial Pipeline, ежегодно ущерб от кибервымогателей возрастает на 30%, а через 10 лет превысит $265 млрд.
В двадцать первом выпуске «Топа Security-новостей» главред SecurityLab.ru Александр Антипов расскажет о самых заметных инцидентах безопасности и важных событиях в мире технологий за неделю. Среди тем выпуска:
- ФБР и полиция управляли защищенной чат-платформой для слежки за преступниками,
- Apple заплатила студентке миллионы долларов за слив интимных фото,
- Anonymous объявили войну Илону Маску из-за курса криптовалют,
- Microsoft исправила рекордное число 0-Day-уязвимостей с выпуском июньского пакета обновлений,
- в Китае создали гигантскую нейросеть,
- конгрессмен США случайно показал PIN-код и пароль своей электронной почты в Twitter,
- ущерб от атак вымогателей в следующем десятилетии превысит $265 млрд,
- Минюст США вернул $2,3 млн в криптовалюте, выплаченные вымогателям Darkside,
- треть руководителей готовы шпионить за персоналом ради защиты коммерческой тайны.
https://www.youtube.com/watch?v=R_pVPyBDmQ0
YouTube
Microsoft закрывает 0day-уязвимости, Apple снова платит, Маск рушит биткоин. Security-новости, #21
0:00 Здравствуйте с вами Александр Антипов, ваш бессменный ведущий самых жарких новостей по информационной безопасности
0:41 ФБР и полиция управляли защищенной чат-платформой для слежки за преступниками - https://www.securitylab.ru/news/520974.php
3:09 Apple…
0:41 ФБР и полиция управляли защищенной чат-платформой для слежки за преступниками - https://www.securitylab.ru/news/520974.php
3:09 Apple…
Когда мы год назад писали обзор активности северокорейской хакерской группы Lazarus мы упомянули о том, что, как считается, эта APT состоит из двух подразделений – Andariel, занимающегося кибершпионажем, и Bluenoroff, которое ориентировано на коммерческий хакинг и добывание необходимых финансов.
Безусловно, это деление весьма умозрительно. Поэтому появившиеся в этом году новости о том, что именно Andariel стали замечать во взломах, направленных на извлечение коммерческой выгоды, нас совсем не удивили.
Лаборатория Касперского выдала вчера отчет о выявленной в апреле этого года фишинговой кампании, направленной на цели в Южной Корее.
Ничего сверхъестественного в выявленной кибероперации нет, тем более, что ранее эту же кампанию уже описывали Malwarebytes.
Но в одном из случаев Касперские зафиксировали, что помимо установки бэкдора на атакованную машину, хакеры поставили еще и авторское ransomware , которое, по уверениям исследователей, было разработано именно актором, стоящим за атакой. Вымогатель обладал функционалом самоудаления.
Ransomware оставляло записку, в которой предлагало заплатить выкуп в BTC, для чего связаться с хакерами по электронной почте.
Проведя атрибуцию Касперские на основании совпадения сразу нескольких TTPs пришли к выводу, что за атакой с ransomware стоит именно Andariel. Видимо времена ковидные, голодные, каждый зарабатывает как может.
Безусловно, это деление весьма умозрительно. Поэтому появившиеся в этом году новости о том, что именно Andariel стали замечать во взломах, направленных на извлечение коммерческой выгоды, нас совсем не удивили.
Лаборатория Касперского выдала вчера отчет о выявленной в апреле этого года фишинговой кампании, направленной на цели в Южной Корее.
Ничего сверхъестественного в выявленной кибероперации нет, тем более, что ранее эту же кампанию уже описывали Malwarebytes.
Но в одном из случаев Касперские зафиксировали, что помимо установки бэкдора на атакованную машину, хакеры поставили еще и авторское ransomware , которое, по уверениям исследователей, было разработано именно актором, стоящим за атакой. Вымогатель обладал функционалом самоудаления.
Ransomware оставляло записку, в которой предлагало заплатить выкуп в BTC, для чего связаться с хакерами по электронной почте.
Проведя атрибуцию Касперские на основании совпадения сразу нескольких TTPs пришли к выводу, что за атакой с ransomware стоит именно Andariel. Видимо времена ковидные, голодные, каждый зарабатывает как может.
Securelist
Andariel evolves to target South Korea with ransomware
We observed a novel infection scheme and an unfamiliar payload. After a deep analysis, we came to a conclusion: the Andariel group was behind these attacks.
Информзащита выпустила эротический календарь - знакомьтесь, infosecaas.ru (осторожно, 18+).
Информационной безопасностью надо заниматься, а они теток голых снимают (на камеру). Вот поэтому у нас в инфосеке все делается через жопу и летит в пи....
P.S. Хотя, если честно, с Импортозамещением мы бы повозились, объемы хороши...
Информационной безопасностью надо заниматься, а они теток голых снимают (на камеру). Вот поэтому у нас в инфосеке все делается через жопу и летит в пи....
P.S. Хотя, если честно, с Импортозамещением мы бы повозились, объемы хороши...
На прошедшей встрече Путина с Байденом в Женеве последний передал Президенту России список из 16 секторов критической инфраструктуры, в отношении которой кибератаки недопустимы.
Позже Том Келлерманн, член консультативного совета по расследованию киберпреступлений Секретной службы США (если кто не в курсе - американский аналог ФСО не только охраняет первых лиц государства, но и исторически занимается финансовыми преступлениями, к коим США относят все виды кибермошенничества) дал пояснения по содержанию этого списка. 16 секторов - это химическая промышленность, коммерческие предприятия, телекоммуникации, критически важное производство, плотины, оборонная промышленность, ЧС, энергетика, финансовые услуги, продовольствие и сельское хозяйство (например, JBS), госучреждения, здравоохранение, IT, ядерные технологии, транспортные системы (например, Colonial Pipeline), водоканалы и очистные сооружения.
Вопрос со звездочкой - как быстро владельцы ransomware начнут соответствующим образом корректировать списки целей, допустимых для атак сотрудничающими с ними операторами?
Позже Том Келлерманн, член консультативного совета по расследованию киберпреступлений Секретной службы США (если кто не в курсе - американский аналог ФСО не только охраняет первых лиц государства, но и исторически занимается финансовыми преступлениями, к коим США относят все виды кибермошенничества) дал пояснения по содержанию этого списка. 16 секторов - это химическая промышленность, коммерческие предприятия, телекоммуникации, критически важное производство, плотины, оборонная промышленность, ЧС, энергетика, финансовые услуги, продовольствие и сельское хозяйство (например, JBS), госучреждения, здравоохранение, IT, ядерные технологии, транспортные системы (например, Colonial Pipeline), водоканалы и очистные сооружения.
Вопрос со звездочкой - как быстро владельцы ransomware начнут соответствующим образом корректировать списки целей, допустимых для атак сотрудничающими с ними операторами?
Twitter
Jennifer Jacobs
Biden says he gave Putin a list of 16 things that are off limits for cyber attacks on critical infrastructure.
Очередная новость про ransomware - на Украине правоохранительные органы арестовали причастных к ransomware Cl0p хакеров и отключили их вредоносную инфраструктуру.
Всего киберполицейские провели 21 обыск во взаимодействии с корейскими полицейскими и правоохранителями США.
Одновременно с этим исследователи Intel 471 заявили, что украинцы арестовали только лиц, причастных к отмыванию денег для членов Cl0p, а основные фигуранты сидят в России. Украинские же полицейские по этому поводу никаких разъяснений пока не дают.
Вместе с тем хотелось бы напомнить, что про арестованных в феврале этого года на Украине хакеров, причастных к ransomware Egregor, тоже сначала говорили, что они из операторов, а не принадлежат к группировке-владельцу. Правда после этого Egregor захирел и загнулся как-то.
Cl0p появился в 2019 году, а особенно громко вымогатели выступили минувшей зимой, когда используя дырку в Accellion FTA поломали кучу народа - университеты, страховые компании и банки, IT-производителей и даже странную инфосек компанию Qualys, которая одной рукой ищет действительно редкие дырки, а другой тащит себе ̶в̶ ̶р̶о̶т̶ в сеть разные вирусы.
И, в завершении поста, отметим, что факт русскоязычности вымогателей не означает автоматически их российского гражданства или нахождения на территории России. Ждем когда Байден передаст Зеленскому список из 16 секторов (и коробку печенья)?
P.S. Правда, украинские киберполицейские членов банд ransomware хоть иногда, но ловят. В отличие от.
Всего киберполицейские провели 21 обыск во взаимодействии с корейскими полицейскими и правоохранителями США.
Одновременно с этим исследователи Intel 471 заявили, что украинцы арестовали только лиц, причастных к отмыванию денег для членов Cl0p, а основные фигуранты сидят в России. Украинские же полицейские по этому поводу никаких разъяснений пока не дают.
Вместе с тем хотелось бы напомнить, что про арестованных в феврале этого года на Украине хакеров, причастных к ransomware Egregor, тоже сначала говорили, что они из операторов, а не принадлежат к группировке-владельцу. Правда после этого Egregor захирел и загнулся как-то.
Cl0p появился в 2019 году, а особенно громко вымогатели выступили минувшей зимой, когда используя дырку в Accellion FTA поломали кучу народа - университеты, страховые компании и банки, IT-производителей и даже странную инфосек компанию Qualys, которая одной рукой ищет действительно редкие дырки, а другой тащит себе ̶в̶ ̶р̶о̶т̶ в сеть разные вирусы.
И, в завершении поста, отметим, что факт русскоязычности вымогателей не означает автоматически их российского гражданства или нахождения на территории России. Ждем когда Байден передаст Зеленскому список из 16 секторов (и коробку печенья)?
P.S. Правда, украинские киберполицейские членов банд ransomware хоть иногда, но ловят. В отличие от.
cyberpolice.gov.ua
Кіберполіція викрила хакерське угруповання у розповсюдженні вірусу-шифрувальника та нанесенні іноземним компаніям пів мільярда…
Департамент Кіберполіції Національної поліції України
Insikt Group Recorded Future удалось отдеанонить целую китайскую АРТ RedFoxtrot благодаря проколу в OpSec одного из ее участников.
Личность хакера публично не раскрыта, однако спецы отметили, что им удалось собрать большой круг сведений о нем и доказать его дислокацию в Урумчи, скилы и, главное, связь с Академией связи НОАК в Ухане.
Добытые Insikt Group сведения позволили тесно связать начавшиеся с 2014 года операции кибершпионажа с деятельностью подразделением 69010 Народно-освободительной армии (НОАК), действующим в городе Урумчи в западной провинции Китая Синьцзян.
Как известно, RedFoxtrot в своих атаках были нацелены на аэрокосмические, оборонные, государственные, телекоммуникационные, горнодобывающие и исследовательские организации в Средней и Восточной Азии, в том числе в Афганистане, Индии, Казахстане, Кыргызстане, Пакистане, Таджикистане и Узбекистане, что особенно При этом активизация работы хакеров на индийском направлении совпадала периодами пограничной конфронтации между Индией и КНР.
В работе RedFoxtrot использовали широко известный набор вредоносных программ (IceFog , ShadowPad , Royal Road, PCShare, PlugX и Poison Ivy) и соответствующую инфраструктуру для размещения и доставки полезных нагрузок и для хранения украденной информации.
Первоначальную атрибуцию опубличили японские СМИ после атаки, инициированной еще в 2016 и затронувшей более 200 японских компаний и организаций. Виновником тогда была объявлена группировка TICK, о чем мы также ранее упоминали.
Однако учитывая то, как вредоносный софт гуляет между различными группами хакеров, работающих под крышами спецслужб и военных, сложно утверждать, что привлекаемые спецы не меняют своих кураторов с той же частотой, но определённые успехи в наведении минимального WIKI-порядка по китайским АРТ спецы из Insikt Group достигнуты точно.
Личность хакера публично не раскрыта, однако спецы отметили, что им удалось собрать большой круг сведений о нем и доказать его дислокацию в Урумчи, скилы и, главное, связь с Академией связи НОАК в Ухане.
Добытые Insikt Group сведения позволили тесно связать начавшиеся с 2014 года операции кибершпионажа с деятельностью подразделением 69010 Народно-освободительной армии (НОАК), действующим в городе Урумчи в западной провинции Китая Синьцзян.
Как известно, RedFoxtrot в своих атаках были нацелены на аэрокосмические, оборонные, государственные, телекоммуникационные, горнодобывающие и исследовательские организации в Средней и Восточной Азии, в том числе в Афганистане, Индии, Казахстане, Кыргызстане, Пакистане, Таджикистане и Узбекистане, что особенно При этом активизация работы хакеров на индийском направлении совпадала периодами пограничной конфронтации между Индией и КНР.
В работе RedFoxtrot использовали широко известный набор вредоносных программ (IceFog , ShadowPad , Royal Road, PCShare, PlugX и Poison Ivy) и соответствующую инфраструктуру для размещения и доставки полезных нагрузок и для хранения украденной информации.
Первоначальную атрибуцию опубличили японские СМИ после атаки, инициированной еще в 2016 и затронувшей более 200 японских компаний и организаций. Виновником тогда была объявлена группировка TICK, о чем мы также ранее упоминали.
Однако учитывая то, как вредоносный софт гуляет между различными группами хакеров, работающих под крышами спецслужб и военных, сложно утверждать, что привлекаемые спецы не меняют своих кураторов с той же частотой, но определённые успехи в наведении минимального WIKI-порядка по китайским АРТ спецы из Insikt Group достигнуты точно.