Тем временем Wizard Spider тестирует новые разработки, развернув ботнет TrickBot с новым штаммом вымогателей под названием Diavol.
Аномалию заметили в FortiGuard Labs, которые обнаружили Diavol в ходе изучения неназванного инцидента у одного из их клиентов, на системах которого были развернуты полезные нагрузки программ-вымогателей Diavol и Conti.
Особенностью нового штамма вредоносного ПО являются асимметричные алгоритмы шифрования. Еще одним отличительным аспектом программы-вымогателя является то, что она эффективно скрывает свой код в виде растровых изображений, откуда подпрограммы загружаются в буфер с разрешениями на выполнение. Перед блокировкой файлов и изменением обоев рабочего стола с сообщением о выкупе Diavol реализует: регистрацию устройства жертвы на удаленном сервере, завершение запущенных процессов, поиск локальных дисков и файлов в системе для шифрования и предотвращение восстановление путем удаления теневых копий.
К аналогичной атрибуции ПО пришли специалисты Kryptos Logic Threat Intelligence, по мнению которых Wizard Spider стали все еще активнее переоснащать свой арсенал вредоносных программ.
Этих ребят не остановить.
Аномалию заметили в FortiGuard Labs, которые обнаружили Diavol в ходе изучения неназванного инцидента у одного из их клиентов, на системах которого были развернуты полезные нагрузки программ-вымогателей Diavol и Conti.
Особенностью нового штамма вредоносного ПО являются асимметричные алгоритмы шифрования. Еще одним отличительным аспектом программы-вымогателя является то, что она эффективно скрывает свой код в виде растровых изображений, откуда подпрограммы загружаются в буфер с разрешениями на выполнение. Перед блокировкой файлов и изменением обоев рабочего стола с сообщением о выкупе Diavol реализует: регистрацию устройства жертвы на удаленном сервере, завершение запущенных процессов, поиск локальных дисков и файлов в системе для шифрования и предотвращение восстановление путем удаления теневых копий.
К аналогичной атрибуции ПО пришли специалисты Kryptos Logic Threat Intelligence, по мнению которых Wizard Spider стали все еще активнее переоснащать свой арсенал вредоносных программ.
Этих ребят не остановить.
Fortinet Blog
Diavol - A New Ransomware Used By Wizard Spider?
FortiGuard Labs identified a new ransomware family, Diavol. Learn about the inner workings of Diavol and its possible attribution to the criminal group known as Wizard Spider. …
Как мы и предсказывали - новости про взлом Kaseya захавали весь доступный инфосек эфир и стали распространяться дальше.
В Швеции розничная сеть Coop закрыла 800 магазинов (20% шведской розничной торговли продуктами) из-за того, что их поставщик терминалов (по всей видимости, это Extenda Retail) работал с MSP, который использовал ПО от Kaseya. Пострадали местные аптечные сети и шведский ж/д оператор SJ.
Один из таких MSP, норвежская компания Visma EssCom, являющаяся клиентом Kaseya, заявила, что атака вымогателей является "глобальной кибератакой, затрагивающей розничную торговлю". В результате взлома фактически выведены все их устройства в розничных сетях, а таковых среди клиентов Visma EssCom немало.
Из последнего, что мы смогли найти - судя по сообщениям в сети уязвимость являла собой логическую ошибку в коде скрипта аутентификации VSA сервера. Кевин Бомонт пишет, что коду в обед 15 лет. Комментаторы задаются риторическим вопросом - а, собственно, где были пентестеры? Понятно, что ответить можно в рифму.
А в завершении - наиболее соответствующая текущему моменту картинка.
В Швеции розничная сеть Coop закрыла 800 магазинов (20% шведской розничной торговли продуктами) из-за того, что их поставщик терминалов (по всей видимости, это Extenda Retail) работал с MSP, который использовал ПО от Kaseya. Пострадали местные аптечные сети и шведский ж/д оператор SJ.
Один из таких MSP, норвежская компания Visma EssCom, являющаяся клиентом Kaseya, заявила, что атака вымогателей является "глобальной кибератакой, затрагивающей розничную торговлю". В результате взлома фактически выведены все их устройства в розничных сетях, а таковых среди клиентов Visma EssCom немало.
Из последнего, что мы смогли найти - судя по сообщениям в сети уязвимость являла собой логическую ошибку в коде скрипта аутентификации VSA сервера. Кевин Бомонт пишет, что коду в обед 15 лет. Комментаторы задаются риторическим вопросом - а, собственно, где были пентестеры? Понятно, что ответить можно в рифму.
А в завершении - наиболее соответствующая текущему моменту картинка.
Forwarded from Эксплойт | Live
Соцсеть сторонников Трампа Gettr взломали в первый день запуска
К тому моменту, как был взломан целый ряд аккаунтов пользователей Gettr, на площадке уже успело зарегистрироваться около 500 тыс. пользователей.
Взлому, в основном, подверглись аккаунты верифицированных пользователей — в том числе, бывших помощников Дональда Трампа.
Взломщики, когда получили доступ к этим аккаунтам, на всех из них изменили никнеймы на «@ JubaBaghdad was here :) ^^ free palestine ^^».
К счастью, «попытку» взлома (хотя, скорее, именно взлом, а не его попытку) смогли обнаружить и исправить уже в первые несколько минут.
К тому моменту, как был взломан целый ряд аккаунтов пользователей Gettr, на площадке уже успело зарегистрироваться около 500 тыс. пользователей.
Взлому, в основном, подверглись аккаунты верифицированных пользователей — в том числе, бывших помощников Дональда Трампа.
Взломщики, когда получили доступ к этим аккаунтам, на всех из них изменили никнеймы на «@ JubaBaghdad was here :) ^^ free palestine ^^».
К счастью, «попытку» взлома (хотя, скорее, именно взлом, а не его попытку) смогли обнаружить и исправить уже в первые несколько минут.
Голландский MSP Velzart, пострадавший от взлома Kaseya, на своем сайте ведет блог, в котором специалисты описывают все подробности и процесс восстановления.
Интересно почитать (хоть блог и на голландском).
Интересно почитать (хоть блог и на голландском).
VelzArt
Belangrijk bericht over recente ransomware aanval
Berichtgeving over de recente wereldwijde ransomware aanval.
И снова про взлом Kaseya (а мы предупреждали, что про это все новости и будут в ближайшие дни).
Оказывается одним из требований для нормального функционирования продуктов от Kaseya было внесение их рабочих папок и приложений в исключения антивирусов.
Что-то это нам напоминает - NMS Orion, отключение сканирования антивирусными решениями, SolarWinds...
Оказывается одним из требований для нормального функционирования продуктов от Kaseya было внесение их рабочих папок и приложений в исключения антивирусов.
Что-то это нам напоминает - NMS Orion, отключение сканирования антивирусными решениями, SolarWinds...
Богоспасаемый ProtonMail демонстрирует отрасли как надо относиться к вопросам приватности и безопасности пользователей:
- откройте код своих приложений;
- привлекайте независимых исследователей и пентестеров для проведения регулярных аудитов;
- публикуйте результаты аудитов своего ПО.
И в подтверждение своих statements швейцарцы выложили в паблик отчет по результатам проведенного инфосек компанией Securitum аудита (доступен по приведенной ссылке), который показал, что серьезных дырок в ProtonMail нет.
Российский ТГ может спать спокойно.
- откройте код своих приложений;
- привлекайте независимых исследователей и пентестеров для проведения регулярных аудитов;
- публикуйте результаты аудитов своего ПО.
И в подтверждение своих statements швейцарцы выложили в паблик отчет по результатам проведенного инфосек компанией Securitum аудита (доступен по приведенной ссылке), который показал, что серьезных дырок в ProtonMail нет.
Российский ТГ может спать спокойно.
Proton
The new Proton Mail has passed its independent security audit | Proton
Before we released the new Proton Mail, security experts conducted an independent audit of its open source code. You can read their report.
Отвлечемся на секунду и порадуемся: тайваньский производитель сетевых хранилищ QNAP исправил критическую ошибку в приложении резервного копирования и аварийного восстановления.
CVE-2021-28809 была обнаружена Ta-Lun Yen из TXOne IoT/ICS Security Research Labs в системе HBS 3 Hybrid, реализующей аварийное восстановление и резервное копирование данных.
Основная проблема безопасности обусловлена недостатками в организации контроля доступа, которые позволяют злоумышленнику повышать привилегии, удаленно выполнять команды или читать конфиденциальную информацию без авторизации.
Компания заявляет, что ошибка исправлена в версиях HBS: QTS 4.3.6: HBS 3 v3.0.210507; QTS 4.3.4: HBS 3 v3.0.210506; QTS 4.3.3: HBS 3 v3.0.210506 и новее, устройства QNAP под управлением QTS 4.5.x с HBS 3 v16.x не содержат уязвимости и не подвержены атакам.
Все хорошо, но есть нюанс, прямо как в анекдоте: успешно отчитались об исправлении, а примечания к продукту HBS 3 Hybrid Backup Sync содержат последние упоминания о модификациях кода, датированные 14 маем 2021. Печальный опыт эксплуатации вымогателями Qlocker и eCh0raix уязвимостей в HBS 3 Hybrid Backup Sync до сих пор снится в кошмарах владельцам хранилищ QNAP.
CVE-2021-28809 была обнаружена Ta-Lun Yen из TXOne IoT/ICS Security Research Labs в системе HBS 3 Hybrid, реализующей аварийное восстановление и резервное копирование данных.
Основная проблема безопасности обусловлена недостатками в организации контроля доступа, которые позволяют злоумышленнику повышать привилегии, удаленно выполнять команды или читать конфиденциальную информацию без авторизации.
Компания заявляет, что ошибка исправлена в версиях HBS: QTS 4.3.6: HBS 3 v3.0.210507; QTS 4.3.4: HBS 3 v3.0.210506; QTS 4.3.3: HBS 3 v3.0.210506 и новее, устройства QNAP под управлением QTS 4.5.x с HBS 3 v16.x не содержат уязвимости и не подвержены атакам.
Все хорошо, но есть нюанс, прямо как в анекдоте: успешно отчитались об исправлении, а примечания к продукту HBS 3 Hybrid Backup Sync содержат последние упоминания о модификациях кода, датированные 14 маем 2021. Печальный опыт эксплуатации вымогателями Qlocker и eCh0raix уязвимостей в HBS 3 Hybrid Backup Sync до сих пор снится в кошмарах владельцам хранилищ QNAP.
QNAP Systems, Inc. - Network Attached Storage (NAS)
Improper Access Control Vulnerability in Legacy HBS 3 (Hybrid Backup Sync) - Security Advisory
QNAP designs and delivers high-quality network attached storage (NAS) and professional network video recorder (NVR) solutions to users from home, SOHO to small, medium businesses.
Microsoft в кои-то веки оперативно отреагировали на попавшую в паблик 0-day уязвимость CVE-2021-34527 aka PrintNightmare и выпустили внеочередное обновление безопасности.
PrintNightmare позволяет осуществить RCE с позиции любого аутентифицированного пользователя через ошибку в службе spoolsv.exe. Так что всем срочно обновляться!
PrintNightmare позволяет осуществить RCE с позиции любого аутентифицированного пользователя через ошибку в службе spoolsv.exe. Так что всем срочно обновляться!
Docs
Windows message center
Никогда мы не доверяли менеджерам паролей. Даже от известных инфосек вендоров. И, как оказывается, правильно делали.
Жан-Батист Бедрун, исследователь Ledger Donjon, раскрыл технические подробности уязвимости CVE-2020-27020, которая была найдена в Kaspersky Password Manager (KPM) в июне 2019 года и исправлена спустя четыре месяца.
Итак, реализация KPM содержала в себе несколько упущений, но главная из них заключалась в использовании генератора псевдослучайных чисел (ГПСЧ) Mersenne Twister, который генерит пароль только лишь на основании текущего системного времени в секундах. Таким образом, каждый экземпляр KPM в мире генерирует один и тот же пароль в каждую конкретную секунду.
Всего за год, например, KPM мог сгенерить чуть больше 31,5 млн. паролей, брутфорс которых займет минуты, особенно если злоумышленник приблизительно знает время создания учетной записи (например, на форуме).
Как мы уже сказали, Касперские довольно оперативно устранили дырку, а вот уведомление пользователей о необходимости повторной генерации паролей вышло лишь спустя год.
Надеемся, ответственные за этот факап товарищи уже выпнуты с голым афедроном на негостеприимные российские морозы.
Жан-Батист Бедрун, исследователь Ledger Donjon, раскрыл технические подробности уязвимости CVE-2020-27020, которая была найдена в Kaspersky Password Manager (KPM) в июне 2019 года и исправлена спустя четыре месяца.
Итак, реализация KPM содержала в себе несколько упущений, но главная из них заключалась в использовании генератора псевдослучайных чисел (ГПСЧ) Mersenne Twister, который генерит пароль только лишь на основании текущего системного времени в секундах. Таким образом, каждый экземпляр KPM в мире генерирует один и тот же пароль в каждую конкретную секунду.
Всего за год, например, KPM мог сгенерить чуть больше 31,5 млн. паролей, брутфорс которых займет минуты, особенно если злоумышленник приблизительно знает время создания учетной записи (например, на форуме).
Как мы уже сказали, Касперские довольно оперативно устранили дырку, а вот уведомление пользователей о необходимости повторной генерации паролей вышло лишь спустя год.
Надеемся, ответственные за этот факап товарищи уже выпнуты с голым афедроном на негостеприимные российские морозы.
Ledger
Kaspersky Password Manager: All your passwords belong to us | Ledger
The password generator included in Kaspersky Password Manager had several problems. The most critical one is that it used a PRNG not suited for cryptographic purposes. Its single source of entropy was the current time. All the passwords it created could be…
Бесплатный сыр только в мышеловке: но как выяснилось для некоторых пользователей Android - за мышеловку все же пришлось заплатить, только сыра в ней не оказалось.
Исследователи инфсеккомпании Lookout обнаружили, что более 93000 пользователей, загрузивших себе на смартфоны приложения для майнинга криптовалюты, стали жертвами аферы.
Lookout нашли 172 платных приложения BitScam и CloudScam, в том числе 25 доступных в Google Play, с фейковыми функциями облачного майнинга. Разработчики «пустышек» заработали на ожиданиях предприимчивых пользователей более 350 000 долларов (300 000 долларов на продажу приложений и 50 000 долларов на поддельные обновления). При этом, как отмечают исследователи, приложения вредоносного кода не содержали.
Играя на алчности юзеров приложений, мошенники продавали за отдельный прайс дополнительные услуги, подписки и обновления через прямые переводы крипты на свои кошельки или возможности Play Store.
Некоторые из приложений до сих пор выставлены на продажу в популярных магазинах приложений по всему Интернету.
Видимо, в разрабы переквалифицировались, раньше эффективно пылесосы впаривали, передвигаясь по квартирам доверчивых бабулей и дедулей, а теперь - на удаленке. Всем увлеченным облачным майнингом рекомендуем внимательно изучить доклад👇
Исследователи инфсеккомпании Lookout обнаружили, что более 93000 пользователей, загрузивших себе на смартфоны приложения для майнинга криптовалюты, стали жертвами аферы.
Lookout нашли 172 платных приложения BitScam и CloudScam, в том числе 25 доступных в Google Play, с фейковыми функциями облачного майнинга. Разработчики «пустышек» заработали на ожиданиях предприимчивых пользователей более 350 000 долларов (300 000 долларов на продажу приложений и 50 000 долларов на поддельные обновления). При этом, как отмечают исследователи, приложения вредоносного кода не содержали.
Играя на алчности юзеров приложений, мошенники продавали за отдельный прайс дополнительные услуги, подписки и обновления через прямые переводы крипты на свои кошельки или возможности Play Store.
Некоторые из приложений до сих пор выставлены на продажу в популярных магазинах приложений по всему Интернету.
Видимо, в разрабы переквалифицировались, раньше эффективно пылесосы впаривали, передвигаясь по квартирам доверчивых бабулей и дедулей, а теперь - на удаленке. Всем увлеченным облачным майнингом рекомендуем внимательно изучить доклад👇
Продолжается реакция американских властей на атаку банды вымогателей REvil на американского поставщика IT-услуг и производителя ПО Kaseya.
Первая реакция от Президента США последовала еще в субботу, тогда Байден заявил, что поручил Разведсообществу США разобраться в ситуации, а также пробурчал что-то невнятное в отношении установления связи вымогателей с Россией.
Вчера пресс-секретарь Белого Дома небезизвестная Джейн Псаки заявила на очередной пресс-конференции в ответ на вопрос про атаку на Kaseya, что на встрече с Путиным американский Президент дал понять, что если российские власти не будут принимать меры против находящихся на территории страны киберпреступников, то США примут меры сами или оставят за собой право действовать по своему усмотрению.
Что скрывается за этой формулировкой неясно, не морских котиков же пришлют хакеров воровать - это casus belli в чистом виде. Но можем предположить, что в логике нынешней администрации Белого Дома (как красиво излагаем, прямо как общественно-политический канал какой) действия по своему усмотрению будут представлять демонстративные кибератаки по площадям - типа, Unknown живет в Саратове (это мы к примеру, мы не знаем где он живет, может вообще на Украине), поэтому мы сломали весь Саратов. Чтобы хакер не мог пользоваться сетью - мы потушили провайдеров, чтобы не баловался мобильной data - мы положили медный таз на коммутаторы сотовых операторов, а до кучи выключили саратовский водоканал, чтоб воды не пил.
Конечно же мы утрируем, эти хулиганства американцы делать вряд ли будут. Тем не менее, нам почему-то кажется, что направление их мышления именно таково - на показ бить намеренно широко по возможно имеющим хоть какое-то отношение к вымогателям объектам - хостингам, провайдерам и пр.
Как обычно - будем посмотреть.
Первая реакция от Президента США последовала еще в субботу, тогда Байден заявил, что поручил Разведсообществу США разобраться в ситуации, а также пробурчал что-то невнятное в отношении установления связи вымогателей с Россией.
Вчера пресс-секретарь Белого Дома небезизвестная Джейн Псаки заявила на очередной пресс-конференции в ответ на вопрос про атаку на Kaseya, что на встрече с Путиным американский Президент дал понять, что если российские власти не будут принимать меры против находящихся на территории страны киберпреступников, то США примут меры сами или оставят за собой право действовать по своему усмотрению.
Что скрывается за этой формулировкой неясно, не морских котиков же пришлют хакеров воровать - это casus belli в чистом виде. Но можем предположить, что в логике нынешней администрации Белого Дома (как красиво излагаем, прямо как общественно-политический канал какой) действия по своему усмотрению будут представлять демонстративные кибератаки по площадям - типа, Unknown живет в Саратове (это мы к примеру, мы не знаем где он живет, может вообще на Украине), поэтому мы сломали весь Саратов. Чтобы хакер не мог пользоваться сетью - мы потушили провайдеров, чтобы не баловался мобильной data - мы положили медный таз на коммутаторы сотовых операторов, а до кучи выключили саратовский водоканал, чтоб воды не пил.
Конечно же мы утрируем, эти хулиганства американцы делать вряд ли будут. Тем не менее, нам почему-то кажется, что направление их мышления именно таково - на показ бить намеренно широко по возможно имеющим хоть какое-то отношение к вымогателям объектам - хостингам, провайдерам и пр.
Как обычно - будем посмотреть.
The White House
Press Briefing by Press Secretary Jen Psaki, July 6, 2021
James S. Brady Press Briefing Room 1:04 P.M. EDT MS. PSAKI: Hi, everyone. Happy Tuesday. Happy July Fourth week. Okay, a couple of updates for you all at the top here. After the President is briefed by his COVID-19 Response Team this afternoon, he will…
Microsoft не были бы сами собой, если бы опять не накосячили.
Как оказалось, вчерашнее внеочередное обновление KB5004945 для Windows, которое должно было исправить уязвимость PrintNightmare, на самом деле ее не исправляло. Точнее исправляло, но не до конца.
Сначала Уилл Дорман из CERT/CC сообщил, что патч устранил возможность RCE, но повышение локальных привилегий до SYSTEM путем эксплуатации ошибки по-прежнему возможно. Однако в дальнейшем выяснилось, что при определенных условиях (включение политики "Point and Print Restrictions" и при выключенном уведомлении о запросе на повышение прав в параметре "When installing drivers for a new connection") все еще возможно и RCE.
И уже ночью Microsoft выпустили новый патч KB5004948 для устранения уязвимости в Windows 10 1607 и Windows Server 2019, который, как мы понимаем, для остальных версий проблемы не решает.
А мы-то уж было обрадовались, что Microsoft исправляются со своими срочными фиксами дырок. Но нет, мелкомягкие верны себе! Опять Print Spooler выключать надо...
Как оказалось, вчерашнее внеочередное обновление KB5004945 для Windows, которое должно было исправить уязвимость PrintNightmare, на самом деле ее не исправляло. Точнее исправляло, но не до конца.
Сначала Уилл Дорман из CERT/CC сообщил, что патч устранил возможность RCE, но повышение локальных привилегий до SYSTEM путем эксплуатации ошибки по-прежнему возможно. Однако в дальнейшем выяснилось, что при определенных условиях (включение политики "Point and Print Restrictions" и при выключенном уведомлении о запросе на повышение прав в параметре "When installing drivers for a new connection") все еще возможно и RCE.
И уже ночью Microsoft выпустили новый патч KB5004948 для устранения уязвимости в Windows 10 1607 и Windows Server 2019, который, как мы понимаем, для остальных версий проблемы не решает.
А мы-то уж было обрадовались, что Microsoft исправляются со своими срочными фиксами дырок. Но нет, мелкомягкие верны себе! Опять Print Spooler выключать надо...
Twitter
Will Dormann
And based on testing of the first VM of mine that completed the install of the update (Windows 8.1), it looks like it works against both the SMB and the RPC variants in the @cube0x0 github repo. I don't think that LPE is fixed, though. @hackerfantastic 's…
Большой брат следит за тобой, а между наблюдениями периодически получает за это, в этот раз прилетело конкретно.
Группа технологических компаний, ориентированных на конфиденциальность, в том числе Vivaldi Technologies, Fastmail Pty, Conva Ventures Inc, Fathom Analytics, Proton Technologies, Tutao, DuckDuckGo, Disconnect, Mojeek Limited, Ecosia, Startpage & StartMail, Nextcloud, Kobler, Strossle International, Mailfence, опубликовали открытое письмо с просьбой к регулирующим органам ЕС и США принять меры и запретить рекламные технологии, нарушающие конфиденциальность пользователей в сети.
Практика слежения в рекламной индустрии стара как сам Интернет и последнее время с развитием цифровизацией вызывает все больше критики. Помимо защиты прав и личных свобод пользователей на неприкосновенность частной жизни IT-альянс аппелирует к необходимости ограничения монополии крупных технологических гигантов в рекламной экосистеме, выступая с инициативой введения запретов на законодательном уровне.
Кроме того, подписанты разразились обвинениями в злоупотреблении доминирующими игроками своим положением для продвижения собственных услуг и сервисов, а также в манипуляциях рынком. При этом альянс не ограничился сугубо экономикой, приплели и политику: по их мнению, основанная на слежке реклама используется для влияния на общественное мнение, допускает масштабную дискриминацию, и применяется для кибератак и шпионажа.
Борьба за конфиденциальность в мире набирает обороты, а значит некоторым компаниям (все поняли) на отечественном рынке стоит начинать волноваться.
Группа технологических компаний, ориентированных на конфиденциальность, в том числе Vivaldi Technologies, Fastmail Pty, Conva Ventures Inc, Fathom Analytics, Proton Technologies, Tutao, DuckDuckGo, Disconnect, Mojeek Limited, Ecosia, Startpage & StartMail, Nextcloud, Kobler, Strossle International, Mailfence, опубликовали открытое письмо с просьбой к регулирующим органам ЕС и США принять меры и запретить рекламные технологии, нарушающие конфиденциальность пользователей в сети.
Практика слежения в рекламной индустрии стара как сам Интернет и последнее время с развитием цифровизацией вызывает все больше критики. Помимо защиты прав и личных свобод пользователей на неприкосновенность частной жизни IT-альянс аппелирует к необходимости ограничения монополии крупных технологических гигантов в рекламной экосистеме, выступая с инициативой введения запретов на законодательном уровне.
Кроме того, подписанты разразились обвинениями в злоупотреблении доминирующими игроками своим положением для продвижения собственных услуг и сервисов, а также в манипуляциях рынком. При этом альянс не ограничился сугубо экономикой, приплели и политику: по их мнению, основанная на слежке реклама используется для влияния на общественное мнение, допускает масштабную дискриминацию, и применяется для кибератак и шпионажа.
Борьба за конфиденциальность в мире набирает обороты, а значит некоторым компаниям (все поняли) на отечественном рынке стоит начинать волноваться.
Vivaldi Browser
Open letter: Ban surveillance-based advertising | Vivaldi Browser
This letter has been sent by the undersigned to EU & US regulators, to urge them to take action on banning surveillance-based ads, as recommended by the NCC.
Forwarded from SecurityLab.ru (Pipiggi)
С 2016 года правозащитные организации предупреждают об online-наблюдении за разговорами в социальных сетях, проводимом городскими властями и полицейскими управлениями. Такие сервисы, как Media Sonar, Social Sentinel и Geofeedia, анализируют разговоры, сообщая полиции и городским властям, о чем говорят в интернете сотни тысяч пользователей.
Израильская аналитическая компания Zencity позиционирует себя как менее агрессивную альтернативу, поскольку предлагает только агрегированные данные и запрещает целевое наблюдение за массовыми движениями и протестами. Американские города Феникс, Новый Орлеан и Питтсбург используют этот сервис для борьбы с дезинформацией и оценки реакции общественности на такие темы, как соблюдение правил социального дистанцирования или правила дорожного движения.
https://www.securitylab.ru/news/522029.php
Израильская аналитическая компания Zencity позиционирует себя как менее агрессивную альтернативу, поскольку предлагает только агрегированные данные и запрещает целевое наблюдение за массовыми движениями и протестами. Американские города Феникс, Новый Орлеан и Питтсбург используют этот сервис для борьбы с дезинформацией и оценки реакции общественности на такие темы, как соблюдение правил социального дистанцирования или правила дорожного движения.
https://www.securitylab.ru/news/522029.php
SecurityLab.ru
ИИ Zencity помогает полиции анализировать разговоры в соцсетях
В крупных городах США ИИ используется для борьбы с дезинформацией.
Вчера Cisco Talos выпустили отчет о новой киберкампании APT SideCopy, направленной на сотрудников индийских правительственных учреждений.
В кибероперации ничего сверхъестественного нет. Фишинг, используемый для доставки дропперов и RAT, четыре из которых исследователи называют авторскими вредоносами SideCopy. Тут более интересен сам актор и используемые им тактики.
Напомним, что SideCopy впервые были замечены в сентябре прошлого года индийскими исследователями из инфосек компании Quick Heal, которые обратили внимание на то, что группа достаточно много копирует TTPs индийской же APT SideWinder (отсюда, собственно, и название - SideCopy).
Некоторые же признаки, в частности использование Crimson RAT, указывали на связь вновь появившихся хакеров с известной пакистанской группой Transparent Tribe aka APT 36, про которую мы писали ранее.
В новой кампании SideCopy продолжили придерживаться той же тактики по имитации цепочек заражения, которые ранее использовали хакеры из SideWinder. Вряд ли это рассчитано на введение исследователей в заблуждение, ведь все уже в курсе существования SideCopy, нам кажется, что это, скорее, эдакий хакерский стеб над индийцами.
Остается добавить, что сама SideWinder - это индийская прогосударственная APT, работающая преимущественно на пакистанском и китайском направлениях. Видели ее и нападающей на афганские объекты, а также на страны Юго-Восточной Азии. У хакерской группы даже есть персональный инфосек присматривающий - это китайская компания Shadow Chaser Group, которая в прошлом году выдала в паблик развернутый материал про активность SideWinder.
Вот такие они, киберстрасти между двумя частями некогда единого государства.
В кибероперации ничего сверхъестественного нет. Фишинг, используемый для доставки дропперов и RAT, четыре из которых исследователи называют авторскими вредоносами SideCopy. Тут более интересен сам актор и используемые им тактики.
Напомним, что SideCopy впервые были замечены в сентябре прошлого года индийскими исследователями из инфосек компании Quick Heal, которые обратили внимание на то, что группа достаточно много копирует TTPs индийской же APT SideWinder (отсюда, собственно, и название - SideCopy).
Некоторые же признаки, в частности использование Crimson RAT, указывали на связь вновь появившихся хакеров с известной пакистанской группой Transparent Tribe aka APT 36, про которую мы писали ранее.
В новой кампании SideCopy продолжили придерживаться той же тактики по имитации цепочек заражения, которые ранее использовали хакеры из SideWinder. Вряд ли это рассчитано на введение исследователей в заблуждение, ведь все уже в курсе существования SideCopy, нам кажется, что это, скорее, эдакий хакерский стеб над индийцами.
Остается добавить, что сама SideWinder - это индийская прогосударственная APT, работающая преимущественно на пакистанском и китайском направлениях. Видели ее и нападающей на афганские объекты, а также на страны Юго-Восточной Азии. У хакерской группы даже есть персональный инфосек присматривающий - это китайская компания Shadow Chaser Group, которая в прошлом году выдала в паблик развернутый материал про активность SideWinder.
Вот такие они, киберстрасти между двумя частями некогда единого государства.
Cisco Talos Blog
InSideCopy: How this APT continues to evolve its arsenal
By Asheer Malhotra and Justin Thattil.
* Cisco Talos is tracking an increase in SideCopy's activities targeting government personnel in India using themes and tactics similar to APT36 (aka Mythic Leopard and Transparent Tribe).
* SideCopy is an APT group…
* Cisco Talos is tracking an increase in SideCopy's activities targeting government personnel in India using themes and tactics similar to APT36 (aka Mythic Leopard and Transparent Tribe).
* SideCopy is an APT group…
Софта Accellion FTA уже нет, а скомпрометированные с его помощью жертвы до сих разгребают последствия серии атак, которые были предприняты Clop в конце 2020 года.
На этот раз инвестиционная компания Morgan Stanley уведомила генерального прокурора Нью-Гэмпшира об краже пользовательских данных своих клиентов посредством компрометации FTA. Уязвимым элементом оказалась Guidehouse, которая предоставляет услуги по обслуживанию счетов компании Morgan Stanley из числа участников StockPlan Connect.
В Morgan Stanley признались, что в руки злоумышленников попали сведения в отношении 108 жителей Нью-Гэмпшира, а именно: имена, адреса, даты рождения, номера социального страхования и названия компаний. Точнее был украден защищенный файл с личными и контактными данными акционеров, бумаги которых должны были участвовать в торгах. Никто и не сомневался, украденные файлы были зашифрованы, но вот досада: злоумышленник все же смог получить ключ дешифрования во время инцидента из-за уязвимости именно в FTA.
Guidehouse при этом заметили утечку лишь в марте 2021 году и в течение 5 дней закрыли дыру, а проинформировали Morgan Stanley только в мае. После уже полугодовых разборок инцидента все сошлись во мнении: доказательств того, что данные Morgan Stanley были распространены за пределы объекта угрозы. Заметим, что западный инфосек-истеблишмент полагает об обратном.
Дабы погасить скандал компания раздала плюшки жертвам инцидента в Нью-Гэмпшире в виде бесплатных услуг по мониторингу кредитоспособности от Experian и прочих услуг. В целом, грамотные финансисты оперативно зарешали вопрос со всеми интересантами и свели к минимуму репутационыне потери. Не без Clop конечно же: вы ведь помните реальный объём доходов вымогателей.
На этот раз инвестиционная компания Morgan Stanley уведомила генерального прокурора Нью-Гэмпшира об краже пользовательских данных своих клиентов посредством компрометации FTA. Уязвимым элементом оказалась Guidehouse, которая предоставляет услуги по обслуживанию счетов компании Morgan Stanley из числа участников StockPlan Connect.
В Morgan Stanley признались, что в руки злоумышленников попали сведения в отношении 108 жителей Нью-Гэмпшира, а именно: имена, адреса, даты рождения, номера социального страхования и названия компаний. Точнее был украден защищенный файл с личными и контактными данными акционеров, бумаги которых должны были участвовать в торгах. Никто и не сомневался, украденные файлы были зашифрованы, но вот досада: злоумышленник все же смог получить ключ дешифрования во время инцидента из-за уязвимости именно в FTA.
Guidehouse при этом заметили утечку лишь в марте 2021 году и в течение 5 дней закрыли дыру, а проинформировали Morgan Stanley только в мае. После уже полугодовых разборок инцидента все сошлись во мнении: доказательств того, что данные Morgan Stanley были распространены за пределы объекта угрозы. Заметим, что западный инфосек-истеблишмент полагает об обратном.
Дабы погасить скандал компания раздала плюшки жертвам инцидента в Нью-Гэмпшире в виде бесплатных услуг по мониторингу кредитоспособности от Experian и прочих услуг. В целом, грамотные финансисты оперативно зарешали вопрос со всеми интересантами и свели к минимуму репутационыне потери. Не без Clop конечно же: вы ведь помните реальный объём доходов вымогателей.
Пока Администрация Президента США угрожает России предпринять жесткие меры в отношении акторов нашумевших кибератак, а специалисты Kaseya судорожно пытаются восстановить работу серверов VSA и SaaS, подвергшихся нападению REvil, мошенники уровнем пониже выкатили свои обновления для клиентов компании.
Malwarebytes обнаружили фишинговые письма, содержащие поддельные информационные сообщения Kaseya, в которых клиентам предлагается загрузить и выполнить вложение под названием SecurityUpdates.exe, чтобы устранить уязвимость в программном обеспечении VSA и защититься от программ-вымогателей.
На самом деле исполняемый файл Windows являлся пакетом Cobalt Strike, а сам образец письма также содержал прямую ссылку на вредоносный исполняемый файл.
К настоящему времени в свете этого потенциального риска безопасности компания отключила своих крикетов от услуг и официально отказалась от использования электронной почты для доставки обновлений. Возобновить работу Kaseya намерены в это в 16:00 по восточному времени.
Ждемс.
Malwarebytes обнаружили фишинговые письма, содержащие поддельные информационные сообщения Kaseya, в которых клиентам предлагается загрузить и выполнить вложение под названием SecurityUpdates.exe, чтобы устранить уязвимость в программном обеспечении VSA и защититься от программ-вымогателей.
На самом деле исполняемый файл Windows являлся пакетом Cobalt Strike, а сам образец письма также содержал прямую ссылку на вредоносный исполняемый файл.
К настоящему времени в свете этого потенциального риска безопасности компания отключила своих крикетов от услуг и официально отказалась от использования электронной почты для доставки обновлений. Возобновить работу Kaseya намерены в это в 16:00 по восточному времени.
Ждемс.
Twitter
Malwarebytes Threat Intelligence
A #malspam campaign is taking advantage of Kaseya VSA #ransomware attack to drop #CobaltStrike. It contains an attachment named "SecurityUpdates.exe" as well as a link pretending to be security update from Microsoft to patch Kaseya vulnerability!
Традиционно об уязвимостях: Rapid7 обнаружили баги в продукте планирования ресурсов предприятия ERP Sage X3, включая недостатки, которые можно использовать удаленно без аутентификации для получения полного контроля над системой. Отметим, что больше тысячи средних и крупных организаций по всему миру используют Sage X3: поисковые запросы в Censys, например, выдаёт более 1800 результатов.
Из четырех выявленных исследователями уязвимостей CVE-2020-7387 - CVE-2020-7390 одна 7388 наиболее критическая: описывается как проблема с удаленным выполнением команд без аутентификации и связана со службой для удаленного управления Sage ERP через консоль Sage X3.
При этом применив CVE-2020-7387, которая представляет собой проблему раскрытия пути установки, злоумышленник может получить необходимую ему для реализации CVE-2020-7388: злоумышленник может сначала узнать путь установки уязвимого программного обеспечения, а затем использовать эту информацию для передачи команд в хост-систему для запуска. Два оставшихся недостатка были описаны как внедрение аутентифицированных команд ОС и постоянные проблемы межсайтового скриптинга XSS.
О дырах в системе безопасности поставщику сообщили ещё в феврале 2021 года, и в следующем месяце они были исправлены. В мае все клиенты были оповещены о наличии исправлений: Sage X3 Version 9 (Syracuse 9.22.7.2), Sage X3 HR & Payroll Version 9 (Syracuse 9.24.1.3), Sage X3 Version 11 (Syracuse 11.25.2.6) и Sage X3 Version 12 (Syracuse 12.10.2.8). Кроме того, исследователи рекомендуют работать с Sage X3 через VPN и настоятельно накатывать обновления.
Из четырех выявленных исследователями уязвимостей CVE-2020-7387 - CVE-2020-7390 одна 7388 наиболее критическая: описывается как проблема с удаленным выполнением команд без аутентификации и связана со службой для удаленного управления Sage ERP через консоль Sage X3.
При этом применив CVE-2020-7387, которая представляет собой проблему раскрытия пути установки, злоумышленник может получить необходимую ему для реализации CVE-2020-7388: злоумышленник может сначала узнать путь установки уязвимого программного обеспечения, а затем использовать эту информацию для передачи команд в хост-систему для запуска. Два оставшихся недостатка были описаны как внедрение аутентифицированных команд ОС и постоянные проблемы межсайтового скриптинга XSS.
О дырах в системе безопасности поставщику сообщили ещё в феврале 2021 года, и в следующем месяце они были исправлены. В мае все клиенты были оповещены о наличии исправлений: Sage X3 Version 9 (Syracuse 9.22.7.2), Sage X3 HR & Payroll Version 9 (Syracuse 9.24.1.3), Sage X3 Version 11 (Syracuse 11.25.2.6) и Sage X3 Version 12 (Syracuse 12.10.2.8). Кроме того, исследователи рекомендуют работать с Sage X3 через VPN и настоятельно накатывать обновления.
Rapid7
CVE-2020-7387.7390: Multiple Sage X3 Vulnerabilities | Rapid7 Blog
Наш скептицизм оправдался: в минувшее воскресенье Kaseya так и не удалось перезапустить сервера SaaS, но определенные сподвижки наметились.
Выпущено обновление 9.5.7a (9.5.7.2994) с исправлением уязвимостей в Virtual System Administrator: CVE-2021-30116 (утечка учетных данных), CVE-2021-30119 (уязвимость межсайтового скриптинга) и CVE-2021-30120 (обход 2FA), которые, по предположению разработчика, использовались REvil в ходе нашумевшей атаки.
Технологический гигант отметил, что развертывание идет «по плану», 95%клиентов SaaS компании уже активны, а серверы «в ближайшие часы выйдут в сеть для остальных наших клиентов».
В целом, компания наконец-то отказалась от устаревших решений. Обновленный API теперь будет скрывать значение пароля: в прошлом исполнении некоторые ответы API содержали его хэш. Исправлена ошибка, связанная с использованием флага безопасности для пользовательского портала, устранены потенциальные возможности для несанкционированной загрузки файлов на сервер VSA.
Кроме того, клиентам компании перед началом инсталляции предлагается предварительно просканить свои системы с помощью Compromise Detection Tool для поиска возможно скомпрометированных agent.crt и agent.exe, а в ходе обновления ограничить доступ к веб-интерфейсу VSA.
Вся эта история с Kaseya - пример того, как многие годы руководство в погоне за выручкой и оптимизациями, долгое время не уделяла должного внимания наболевшим проблемам в сфере информационной безопасности, включая устаревший код, слабое шифрование и отсутствие надежных процедур установки исправлений. Так, по данным Bloomberg, в 2018 и 2019 хакеры уже использовали продукты Kaseya для развертывания ransomware.
На деле экономия оборачивается серьезными убытками.
Выпущено обновление 9.5.7a (9.5.7.2994) с исправлением уязвимостей в Virtual System Administrator: CVE-2021-30116 (утечка учетных данных), CVE-2021-30119 (уязвимость межсайтового скриптинга) и CVE-2021-30120 (обход 2FA), которые, по предположению разработчика, использовались REvil в ходе нашумевшей атаки.
Технологический гигант отметил, что развертывание идет «по плану», 95%клиентов SaaS компании уже активны, а серверы «в ближайшие часы выйдут в сеть для остальных наших клиентов».
В целом, компания наконец-то отказалась от устаревших решений. Обновленный API теперь будет скрывать значение пароля: в прошлом исполнении некоторые ответы API содержали его хэш. Исправлена ошибка, связанная с использованием флага безопасности для пользовательского портала, устранены потенциальные возможности для несанкционированной загрузки файлов на сервер VSA.
Кроме того, клиентам компании перед началом инсталляции предлагается предварительно просканить свои системы с помощью Compromise Detection Tool для поиска возможно скомпрометированных agent.crt и agent.exe, а в ходе обновления ограничить доступ к веб-интерфейсу VSA.
Вся эта история с Kaseya - пример того, как многие годы руководство в погоне за выручкой и оптимизациями, долгое время не уделяла должного внимания наболевшим проблемам в сфере информационной безопасности, включая устаревший код, слабое шифрование и отсутствие надежных процедур установки исправлений. Так, по данным Bloomberg, в 2018 и 2019 хакеры уже использовали продукты Kaseya для развертывания ransomware.
На деле экономия оборачивается серьезными убытками.
Kaseya
Update Regarding VSA Security Incident
От слов к делу: связанный с Агентством по кибербезопасности и безопасности инфраструктуры США Джек Кейбл, по совместительству - эксперт из компании Krebs Stamos Group, запустил сайт https://ransomwhe.re для публичного мониторинга финансовой активности операторов ransomware.
Мы уже упоминали, что в качестве приемов борьбы с вымогателями Администрация Байдена рассматривает экономическое и административное стимулирование отказов от выкупов у их жертв и оказались правы.
Открытый краудсорсинговый трекер платежей ransomwhe.re - формально частный проект, который аккумулирует подгружаемые пользователями данные о платежных реквизитах вымогателей и общедоступные сведения о транзакциях криптовалюты. Такой публичный банк данных, по мнению автора, позвонит раскрыть объемы рынка вымогателей и повлиять на поведение жертв.
Очень сомнительно, что в бункерах спецслужб таких данных еще нет, поэтому даже не сомневаемся, что самую посильную помощь в наполнении проекту окажут спецслужбы и связанные с ними инфосек-компании.
А в перспективе Ransomwhere может пригодиться и самому Байдену в переговорах с Россией, с территории которой, по мнению американцев, безнаказанно орудуют широкоизвестные хакеры. Во всяком случае ссылочками точно поделятся.
На наш взгляд, проект определено заслуживает внимания специалистов инфосека с точки зрения аналитики и реальной оценки исходящих от ransomware угроз.
Мы уже упоминали, что в качестве приемов борьбы с вымогателями Администрация Байдена рассматривает экономическое и административное стимулирование отказов от выкупов у их жертв и оказались правы.
Открытый краудсорсинговый трекер платежей ransomwhe.re - формально частный проект, который аккумулирует подгружаемые пользователями данные о платежных реквизитах вымогателей и общедоступные сведения о транзакциях криптовалюты. Такой публичный банк данных, по мнению автора, позвонит раскрыть объемы рынка вымогателей и повлиять на поведение жертв.
Очень сомнительно, что в бункерах спецслужб таких данных еще нет, поэтому даже не сомневаемся, что самую посильную помощь в наполнении проекту окажут спецслужбы и связанные с ними инфосек-компании.
А в перспективе Ransomwhere может пригодиться и самому Байдену в переговорах с Россией, с территории которой, по мнению американцев, безнаказанно орудуют широкоизвестные хакеры. Во всяком случае ссылочками точно поделятся.
На наш взгляд, проект определено заслуживает внимания специалистов инфосека с точки зрения аналитики и реальной оценки исходящих от ransomware угроз.
Twitter
Jack Cable
Today, I'm excited to launch Ransomwhere, the open, crowdsourced ransomware payment tracker. Check out the site and contribute data at ransomwhe.re and follow @ransomwhere_ for updates. Thread on where I see this going:
Forwarded from Эксплойт | Live
Создатель бота «Глаз Бога» обвинил Telegram в незаконных действиях
После того, как Telegram удалил его канал более чем с миллионом подписчиков, он собирается выпустить собственную соцсеть и переманивать туда пользователей.
Сами пользователи, кстати, активно «клонируют» новых ботов так, что администрация Telegram не успевает их блокировать.
По словам создателя «Глаза Бога», администрация Telegram якобы сливает информацию «всем подряд», занимается коррупцией и тесно сотрудничает с Роскомнадзором.
После того, как Telegram удалил его канал более чем с миллионом подписчиков, он собирается выпустить собственную соцсеть и переманивать туда пользователей.
Сами пользователи, кстати, активно «клонируют» новых ботов так, что администрация Telegram не успевает их блокировать.
По словам создателя «Глаза Бога», администрация Telegram якобы сливает информацию «всем подряд», занимается коррупцией и тесно сотрудничает с Роскомнадзором.