И тут 👆у нас для вас еще более печальные новости.
Исследователи ответили на вопрос, который, пожалуй, задавал почти каждый владелец девайса на базе ОС Android: какое антивирусное решение выбрать?
Исследователи провели тесты различных приложений по 29 угрозам, характерным для Stalkerware. Результаты показали, что на высоком уровне (почти 100%) способны детектировать шпионское ПО по всем 29 изучаемым параметрам следующие приложения: Antiy, Bitdefender, Trend Micro, ESET и Kaspersky. За ними следуют F-Secure и G Data с обнаружением 93,1%.
Вопреки ожиданиям и казалось бы репутации, худший результат показал Android Google Play Protect, который фактически как решето упустил 70% шпионского ПО.
Таким образом, результаты показывают, что когда дело доходит до защиты от вирусов, известная торговая марка - далеко не самый лучший вариант. По факту самая распространенная антивирусная программа оказалась хуже всех. Ничего личного - just business.
Исследователи ответили на вопрос, который, пожалуй, задавал почти каждый владелец девайса на базе ОС Android: какое антивирусное решение выбрать?
Исследователи провели тесты различных приложений по 29 угрозам, характерным для Stalkerware. Результаты показали, что на высоком уровне (почти 100%) способны детектировать шпионское ПО по всем 29 изучаемым параметрам следующие приложения: Antiy, Bitdefender, Trend Micro, ESET и Kaspersky. За ними следуют F-Secure и G Data с обнаружением 93,1%.
Вопреки ожиданиям и казалось бы репутации, худший результат показал Android Google Play Protect, который фактически как решето упустил 70% шпионского ПО.
Таким образом, результаты показывают, что когда дело доходит до защиты от вирусов, известная торговая марка - далеко не самый лучший вариант. По факту самая распространенная антивирусная программа оказалась хуже всех. Ничего личного - just business.
www.av-test.org
Stopped in its Tracks: Stalkerware for Spying Under Android
More and more dubious apps offer their services for spying and stalking, in order to secretly surveil unwitting persons, acquaintances or (ex-)partners. With a good security app for Android, it's also possible to unmask these deceitful attackers.
Исследователи Дэн Петро и Аллан Сесил из BiShopFox Labs обнаружили критическую уязвимость в аппаратных генераторах случайных чисел (ГСЧ) миллиардов устройств Интернета вещей (IoT).
Ошибка влияет на процесс генерации случайных чисел, что подрывает безопасность и подвергает устройства риску атак. Как оказалось, выбранные числа не всегда случайны, как хотелось бы, ведь фактически, во многих случаях устройства выбирают ключи шифрования 0 или тому подобные.
В традиционных операционных системах ГСЧ является производным от криптографически безопасного генератора псевдослучайных чисел (CSPRNG), который использует энтропию, полученную из высококачественного начального источника.
Но дело в том, что на устройствах IoT функция обеспечивается системой на кристалле (SoC), в которой размещается выделенное аппаратное периферийное устройство RNG, называемое генератором истинных случайных чисел TRNG, которое используется для захвата случайностей с физических процессов или явлений.
В случае, когда нарушается механизм взаимодействия с периферийным утсройством и не производится проверка поступающих с него ответов с кодами ошибок, реализуется негативный сценарий, при котором генерируемое случайное число не просто случайное и, что еще хуже, предсказуемо. Функция HAL для периферийного устройства с ГСЧ может не работать по разным причинам, но наиболее распространенной является исчерпание энтропии.
Аппаратные периферийные устройства ГСЧ вытягивают энтропию из физического окружения посредством аналоговых датчиков или показаний ЭДС, но область исчислений при этом оказывается ограниченной и содержит определенное количество случайных битов в секунду. В случае вызова функции RNG HAL при отсутствии случайных чисел, на устройство вернется код ошибки. Таким образом, если устройство пытается слишком быстро получить слишком много случайных чисел, оно выпадет в блок.
Проблема дополняется еще и тем, что в IoT отсутствует операционная система, которая имеет сервисы для получения энтропии на стороне (например, / dev / random в Unix-подобных ОС или BCryptGenRandom в Windows).
Поэтому ее глубинное решение может быть реализовано путем внедрения CSPRNG в операционную систему IoT. В общем разработчикам придется сделать серьёзное усилие над собой и суметь встроить более сложный функционал в устройства IoT. Но на наш взгляд, чем сложнее задача, тем интереснее ее решать: тем достигается эволюция и прогресс. Пожелаем удачи и будем следить за развитиям ситуации.
Ошибка влияет на процесс генерации случайных чисел, что подрывает безопасность и подвергает устройства риску атак. Как оказалось, выбранные числа не всегда случайны, как хотелось бы, ведь фактически, во многих случаях устройства выбирают ключи шифрования 0 или тому подобные.
В традиционных операционных системах ГСЧ является производным от криптографически безопасного генератора псевдослучайных чисел (CSPRNG), который использует энтропию, полученную из высококачественного начального источника.
Но дело в том, что на устройствах IoT функция обеспечивается системой на кристалле (SoC), в которой размещается выделенное аппаратное периферийное устройство RNG, называемое генератором истинных случайных чисел TRNG, которое используется для захвата случайностей с физических процессов или явлений.
В случае, когда нарушается механизм взаимодействия с периферийным утсройством и не производится проверка поступающих с него ответов с кодами ошибок, реализуется негативный сценарий, при котором генерируемое случайное число не просто случайное и, что еще хуже, предсказуемо. Функция HAL для периферийного устройства с ГСЧ может не работать по разным причинам, но наиболее распространенной является исчерпание энтропии.
Аппаратные периферийные устройства ГСЧ вытягивают энтропию из физического окружения посредством аналоговых датчиков или показаний ЭДС, но область исчислений при этом оказывается ограниченной и содержит определенное количество случайных битов в секунду. В случае вызова функции RNG HAL при отсутствии случайных чисел, на устройство вернется код ошибки. Таким образом, если устройство пытается слишком быстро получить слишком много случайных чисел, оно выпадет в блок.
Проблема дополняется еще и тем, что в IoT отсутствует операционная система, которая имеет сервисы для получения энтропии на стороне (например, / dev / random в Unix-подобных ОС или BCryptGenRandom в Windows).
Поэтому ее глубинное решение может быть реализовано путем внедрения CSPRNG в операционную систему IoT. В общем разработчикам придется сделать серьёзное усилие над собой и суметь встроить более сложный функционал в устройства IoT. Но на наш взгляд, чем сложнее задача, тем интереснее ее решать: тем достигается эволюция и прогресс. Пожелаем удачи и будем следить за развитиям ситуации.
Bishop Fox
You're Doing IoT Security RNG: The Crack in the Foundation of IoT
Learn why hardware random number generators (RNG) used by billions of IoT devices to create encryption keys don't always generate random numbers.
И снова хакеры украли...
Внимание криптообщественности приковано к трем кошелькам Ethereum, BinanceChain и Polygon на которые были выведены активы с Poly Network - межсетевой децентрализованной финансовой платформы DeFi, предназначенной для обмена токенов между несколькими блокчейнами. Сумма похищенных активов составляет 611 млн. долларов, что на сегодняшний день считается одним из крупнейших ограблений в индустрии цифровых активов, опередив взломы бирж Coincheck и Mt. Gox.
Хакерам удалось воспользоваться уязвимостью между вызовами контрактов, что по меньшей мере странно в нынешних условиях обеспечения безопасности современных криптоплатформ. Не зря компания CipherTrace, занимающаяся безопасностью блокчейнов заявила, что по сравнению с предыдущими годами взломы, связанные с DeFi, теперь составляют более 60% от общего объема краж, что точно должно настораживать юзеров.
Poly Network, в свою очередь, обратилась к майнерам и владельцам криптобирж с просьбой внести в блэк-листы данные кошельки, а также призвала представителей хакерского сообщества установить с ними связь и вернуть взломанные активы десятков тысяч членов криптосообщества.
Внимательно наблюдаем за миграцией активов и ожидаем возможные манипуляции на котировках криптовалют. Монеты перспективные, так что не исключено, что в скором времени увидим новую строчку с миллиардером в списке Forbes. Во всяком случае нынешние хакеры - как 12 друзей Оушена: вынуждены подыскивать варианты безопасного вывода такого «раритета», что с учётом пристального внимания общественности и не только - будет второй по сложности после хищения задачей.
Так что, запасаемся попкорном и следим:
Ethereum: 0xC8a65Fadf0e0dDAf421F28FEAb69Bf6E2E589963 ($273 million)
Binance Smart Chain: 0x0D6e286A7cfD25E0c01fEe9756765D8033B32C71 ($253 million)
Polygon: 0x5dc3603C9D42Ff184153a8a9094a73d461663214 ($85 million)
Внимание криптообщественности приковано к трем кошелькам Ethereum, BinanceChain и Polygon на которые были выведены активы с Poly Network - межсетевой децентрализованной финансовой платформы DeFi, предназначенной для обмена токенов между несколькими блокчейнами. Сумма похищенных активов составляет 611 млн. долларов, что на сегодняшний день считается одним из крупнейших ограблений в индустрии цифровых активов, опередив взломы бирж Coincheck и Mt. Gox.
Хакерам удалось воспользоваться уязвимостью между вызовами контрактов, что по меньшей мере странно в нынешних условиях обеспечения безопасности современных криптоплатформ. Не зря компания CipherTrace, занимающаяся безопасностью блокчейнов заявила, что по сравнению с предыдущими годами взломы, связанные с DeFi, теперь составляют более 60% от общего объема краж, что точно должно настораживать юзеров.
Poly Network, в свою очередь, обратилась к майнерам и владельцам криптобирж с просьбой внести в блэк-листы данные кошельки, а также призвала представителей хакерского сообщества установить с ними связь и вернуть взломанные активы десятков тысяч членов криптосообщества.
Внимательно наблюдаем за миграцией активов и ожидаем возможные манипуляции на котировках криптовалют. Монеты перспективные, так что не исключено, что в скором времени увидим новую строчку с миллиардером в списке Forbes. Во всяком случае нынешние хакеры - как 12 друзей Оушена: вынуждены подыскивать варианты безопасного вывода такого «раритета», что с учётом пристального внимания общественности и не только - будет второй по сложности после хищения задачей.
Так что, запасаемся попкорном и следим:
Ethereum: 0xC8a65Fadf0e0dDAf421F28FEAb69Bf6E2E589963 ($273 million)
Binance Smart Chain: 0x0D6e286A7cfD25E0c01fEe9756765D8033B32C71 ($253 million)
Polygon: 0x5dc3603C9D42Ff184153a8a9094a73d461663214 ($85 million)
Twitter
Poly Network
https://t.co/Yzw4oDenjC
Adobe выпустила большое обновление безопасности Patch Tuesday, которое закрывает более 29 критических уязвимостей, которые могут привести к выполнению произвольного кода.
При этом 26 из них касаются Magento (оставшиеся - Adobe Connect), 10 из которых могут быть реализованы без входа на сайт, а некоторые из этих ошибок в preauth вызывают удаленное выполнение кода и представляют обходы безопасности, позволяющие контролировать сайт и его сервер.
Несмотря на то, что случаев эксплуатации багов в дикой природе не зафиксировано, это вовсе не означает, что этого не произойдет: мы прекрасно помним про 72 часа, в течение которых коварный ум хакера может вычленить уязвимый код и создать под него эксплойты.
А учитывая, что к настоящему времени Magento - это одна из самых популярных E-commerce-систем, интегрированная в более 100 000 Интернет-магазинов, в 2 000 расширений и включающей около 375 000 участников сообщества, поработать хакподполью будет над чем.
Поэтому всецело разделяем обеспокоенность Adobe и настоятельно рекомендуем как можно скорее обновиться до последних версий.
При этом 26 из них касаются Magento (оставшиеся - Adobe Connect), 10 из которых могут быть реализованы без входа на сайт, а некоторые из этих ошибок в preauth вызывают удаленное выполнение кода и представляют обходы безопасности, позволяющие контролировать сайт и его сервер.
Несмотря на то, что случаев эксплуатации багов в дикой природе не зафиксировано, это вовсе не означает, что этого не произойдет: мы прекрасно помним про 72 часа, в течение которых коварный ум хакера может вычленить уязвимый код и создать под него эксплойты.
А учитывая, что к настоящему времени Magento - это одна из самых популярных E-commerce-систем, интегрированная в более 100 000 Интернет-магазинов, в 2 000 расширений и включающей около 375 000 участников сообщества, поработать хакподполью будет над чем.
Поэтому всецело разделяем обеспокоенность Adobe и настоятельно рекомендуем как можно скорее обновиться до последних версий.
Adobe
Adobe Security Bulletin
Security Updates Available for Adobe Commerce | APSB21-64
Forwarded from Эксплойт | Live
Хакеры начали возвращать Poly Network часть похищенной криптовалюты
Напомним, что всего хакеры похитили у межсетевого протокола Poly Network криптовалюту на сумму почти $600 млн.
Платформа сразу же призвала майнеров внести в чёрный список токены адресов злоумышленников.
Вероятно, теперь хакерам трудно отмыть и обналичить криптовалюту, поэтому они пришли к тому, что самым приемлемым вариантом будет просто вернуть украденные деньги.
Что они, собственно говоря, и сделали: уже порядка $4,8 млн было перечислено хакерами на адреса биржи.
Напомним, что всего хакеры похитили у межсетевого протокола Poly Network криптовалюту на сумму почти $600 млн.
Платформа сразу же призвала майнеров внести в чёрный список токены адресов злоумышленников.
Вероятно, теперь хакерам трудно отмыть и обналичить криптовалюту, поэтому они пришли к тому, что самым приемлемым вариантом будет просто вернуть украденные деньги.
Что они, собственно говоря, и сделали: уже порядка $4,8 млн было перечислено хакерами на адреса биржи.
«Империя наносит ответный удар» - так мы обозначим, пожалуй, эпический патч от Microsoft, который исправляет в общей сложности 44 CVE, из которых 7 - критические, 3 - zeroday, 37 - важные, 13 - уязвимости удаленного выполнения кода, 8 - касаются раскрытия информации, а главное - содержит как бы исправления PrintNightmare и PetitPotam.
В общем, баги устранены в NET Core, Visual Studio, ASP.NET Core, Azure, Центр обновления Windows, диспетчер очереди печати Windows, Windows Media, Защитник Windows, клиент удаленного рабочего стола, Microsoft Dynamics, Microsoft Edge, Microsoft Office, Microsoft Office SharePoint и др.
К исправленным ошибкам нулевого дня относятся:
• CVE-2021-36948: уязвимость, связанная с повышением привилегий Windows Update Medic;
• CVE-2021-36942: уязвимость подмены Windows LSA;
• CVE-2021-36936: уязвимости диспетчера очереди печати Windows.
При этом из них, согласно данным Microsoft, эксплуатировалась в реале лишь CVE-2021-36948, однако кем и как история умалчивает. Мы полагаем, что за ней может скрываться ноябрьская 2020-года CVE-2020-17070, а рокировка может быть своеобразным фокусом для злоумышленников.
На практике же среди прочих следует уделить внимание CVE-2021-26424, которая непосредственно касается Windows TCP/IP Remote Code Execution в весьма популярных Windows 7–10 и Windows Server 2008–2019. Ошибка, с большой долей вероятности, может быть использована злоумышленниками в виду ее относительной тривиальности, как например CVE-2020-16898, экплуатировавшаяся вдоль и поперек в прошлом году.
Аналогичное замечание относится и к CVE-2021-26432, которая представляет собой патч для драйвера NFS ONCRPC XDR служб Windows, эксплуатация ошибки не требует ни привилегии, ни взаимодействия с пользователем.
Можно отказываться от фильтров NETSH в вопросе противодействия атакам PetitPotam, патч действительно нейтрализует вектор этой атаки, блокируя вызовы уязвимых API OpenEncryptedFileRawA и OpenEncryptedFileRawW через интерфейс LSARPC. Но одновременно с этим и блокирует программное обеспечение резервного копирования, которое использует функцию EFS API OpenEncryptedFileRaw (A / W) в Windows 7 и Windows Server 2008, для которых потребуется получить у разработчика соответствующие программное обеспечение новой версии. Все для клиентов, как говорится.
Уязвимость PrintNightmare также устранена с помощью ввода по умолчанию требования от пользователя прав администратора для установки драйвера принтера с помощью функции Указать и напечатать.
Все бы ничего, но!
К сожалению, вскоре после того, как Microsoft выпустила обновление безопасности, небезызвестный исследователь
Benjamin Delpy забомбил, что его пакетный драйвер печати PoC, по-прежнему, продолжает работать Still SYSTEM from standard user…
Похоже, ответный «удар империи» немного отрекошетил, в обратную сторону. Эх, а мы так надеялись.
В общем, баги устранены в NET Core, Visual Studio, ASP.NET Core, Azure, Центр обновления Windows, диспетчер очереди печати Windows, Windows Media, Защитник Windows, клиент удаленного рабочего стола, Microsoft Dynamics, Microsoft Edge, Microsoft Office, Microsoft Office SharePoint и др.
К исправленным ошибкам нулевого дня относятся:
• CVE-2021-36948: уязвимость, связанная с повышением привилегий Windows Update Medic;
• CVE-2021-36942: уязвимость подмены Windows LSA;
• CVE-2021-36936: уязвимости диспетчера очереди печати Windows.
При этом из них, согласно данным Microsoft, эксплуатировалась в реале лишь CVE-2021-36948, однако кем и как история умалчивает. Мы полагаем, что за ней может скрываться ноябрьская 2020-года CVE-2020-17070, а рокировка может быть своеобразным фокусом для злоумышленников.
На практике же среди прочих следует уделить внимание CVE-2021-26424, которая непосредственно касается Windows TCP/IP Remote Code Execution в весьма популярных Windows 7–10 и Windows Server 2008–2019. Ошибка, с большой долей вероятности, может быть использована злоумышленниками в виду ее относительной тривиальности, как например CVE-2020-16898, экплуатировавшаяся вдоль и поперек в прошлом году.
Аналогичное замечание относится и к CVE-2021-26432, которая представляет собой патч для драйвера NFS ONCRPC XDR служб Windows, эксплуатация ошибки не требует ни привилегии, ни взаимодействия с пользователем.
Можно отказываться от фильтров NETSH в вопросе противодействия атакам PetitPotam, патч действительно нейтрализует вектор этой атаки, блокируя вызовы уязвимых API OpenEncryptedFileRawA и OpenEncryptedFileRawW через интерфейс LSARPC. Но одновременно с этим и блокирует программное обеспечение резервного копирования, которое использует функцию EFS API OpenEncryptedFileRaw (A / W) в Windows 7 и Windows Server 2008, для которых потребуется получить у разработчика соответствующие программное обеспечение новой версии. Все для клиентов, как говорится.
Уязвимость PrintNightmare также устранена с помощью ввода по умолчанию требования от пользователя прав администратора для установки драйвера принтера с помощью функции Указать и напечатать.
Все бы ничего, но!
К сожалению, вскоре после того, как Microsoft выпустила обновление безопасности, небезызвестный исследователь
Benjamin Delpy забомбил, что его пакетный драйвер печати PoC, по-прежнему, продолжает работать Still SYSTEM from standard user…
Похоже, ответный «удар империи» немного отрекошетил, в обратную сторону. Эх, а мы так надеялись.
Twitter
🥝 Benjamin Delpy
Great #patchtuesday Microsoft, but did you not forgot something for #printnightmare? 🤔 Still SYSTEM from standard user... (I may have missed something, but #mimikatz🥝mimispool library still loads... 🤷♂️)
Цепочка загадочных событий в деле Kaseya продолжается.
После таинственного исчезновения банды вымогателей REvil, которое произошло сразу после телефонного разговора лидеров РФ и США, • представители последней жертвы вымогателей - Kaseya заявили, что получили универсальный дешифратор для всех своих жертв ransomware от неназванной доверенной третьей стороны.
А на днях исследователь безопасности Pancak3 сообшил о публикации в даркнете универсального дешифратора REvil.
После внимательного изучения ключа установлено, что ключ подходит лишь для систем, атакованных в рамках кампании Kaseya. По мнению специалистов, к публикации ключа скорее причастны сами хакеры, нежели представители пострадавшей компании.
И все же мы ошибались: вместо кина для взрослых, в эфире инфосек настоящий сериал. Будем следить.
После таинственного исчезновения банды вымогателей REvil, которое произошло сразу после телефонного разговора лидеров РФ и США, • представители последней жертвы вымогателей - Kaseya заявили, что получили универсальный дешифратор для всех своих жертв ransomware от неназванной доверенной третьей стороны.
А на днях исследователь безопасности Pancak3 сообшил о публикации в даркнете универсального дешифратора REvil.
После внимательного изучения ключа установлено, что ключ подходит лишь для систем, атакованных в рамках кампании Kaseya. По мнению специалистов, к публикации ключа скорее причастны сами хакеры, нежели представители пострадавшей компании.
И все же мы ошибались: вместо кина для взрослых, в эфире инфосек настоящий сериал. Будем следить.
Twitter
pancak3
#kaseya master key? OgTD7co7NcYCoNj8NoYdPoR8nVFJBO5vs/kVkhelp2s= github.com/Fr3akaLmaTT3r/…
А тем временем, наследие нашумевшей в свое время банды вымогателей Egregor продолжает преследовать ее жертв.
Схлопнувшиеся в феврале 2021 после совместной операции правоохранительных органов Франции и Украины Egregor, а прошлом легендарные Maze, как выясняется, преследовали и продолжают преследовать как страшный сон разработчика и издателя игры Crytek.
Копания на днях разослала уведомления клиентам с предупреждением об утечке их данных, которые были получены хакерами в результате взлома сети в октябре 2020 года. Реализованная на рынок Egregor информация о клиентах Crytek включала имя и фамилию людей, должность, название компании, электронную почту, служебный адрес, номер телефона и страну.
Принимая во внимание попытки компании преуменьшить обозначаемый ими потенциальный ущерб, в реале по ходу инфа начала эффективно отрабатываться другими киберпреступниками, учитывая связи хакеров, которые они выстраивали в формате RaaS.
А вот для гиганта Accenture попытки приукрасить инцидент могут закончиться достаточно печально. Ведь совсем она стала жертвой вымогателя Lockbit. Отметим, что Accenture сама представлена в инфосек, в прошлом году выручка компании составила более 40 млрд. долларов, а ее штат насчитывает более 550 000 сотрудников в разных странах.
После ответки о том, что они смогли оперативно выявить активность в одной из сред, локализовать проблему и восстановить системы из резервной копии, хакеры в своем обращении написали, что за атакой на компанию стоял инсайдер, что достаточно сильно подогрело публику.
После чего компания решила отмалчиваться и не отказалась от комментариев.
Но, как стало известно Hudson Rock в результате атаки были скомпрометированы около 2500 компьютеров сотрудников и партнеров, а Cyble заявили о требовании выкупа в размере 50 млн. долларов за 6 ТБ украденных данных.
Совсем скоро, мы увидим, чем ответят Lockbit и может быть они представят подтверждения своих слов. Не зря же анонсировали.
Схлопнувшиеся в феврале 2021 после совместной операции правоохранительных органов Франции и Украины Egregor, а прошлом легендарные Maze, как выясняется, преследовали и продолжают преследовать как страшный сон разработчика и издателя игры Crytek.
Копания на днях разослала уведомления клиентам с предупреждением об утечке их данных, которые были получены хакерами в результате взлома сети в октябре 2020 года. Реализованная на рынок Egregor информация о клиентах Crytek включала имя и фамилию людей, должность, название компании, электронную почту, служебный адрес, номер телефона и страну.
Принимая во внимание попытки компании преуменьшить обозначаемый ими потенциальный ущерб, в реале по ходу инфа начала эффективно отрабатываться другими киберпреступниками, учитывая связи хакеров, которые они выстраивали в формате RaaS.
А вот для гиганта Accenture попытки приукрасить инцидент могут закончиться достаточно печально. Ведь совсем она стала жертвой вымогателя Lockbit. Отметим, что Accenture сама представлена в инфосек, в прошлом году выручка компании составила более 40 млрд. долларов, а ее штат насчитывает более 550 000 сотрудников в разных странах.
После ответки о том, что они смогли оперативно выявить активность в одной из сред, локализовать проблему и восстановить системы из резервной копии, хакеры в своем обращении написали, что за атакой на компанию стоял инсайдер, что достаточно сильно подогрело публику.
После чего компания решила отмалчиваться и не отказалась от комментариев.
Но, как стало известно Hudson Rock в результате атаки были скомпрометированы около 2500 компьютеров сотрудников и партнеров, а Cyble заявили о требовании выкупа в размере 50 млн. долларов за 6 ТБ украденных данных.
Совсем скоро, мы увидим, чем ответят Lockbit и может быть они представят подтверждения своих слов. Не зря же анонсировали.
Twitter
vx-underground
@Accenture
Интересно наблюдать переговорный процесс крупнейшего киберстраховщика Accenture и вымогателей Lockbit.
В ходе первого раунда компания, как мы сообщали вчера, пыталась замять инцидент и продемонстрировала свою неприступность.
В ответ хакеры к таймеру обратного отчета (момент слива украденной информации) приклеили запись о вероятном источнике утечки, указав на возможного инсайдера.
Accenture предпочли не отвечать, а тем временем ажиотаж вокруг ситуации привлек внимание инфосек-аудитории и в сеть стали просачиваться последствия атаки ransomware: 6 Тб и выкуп в размере 50 млн. долларов.
А сегодня после обнуления счетчика вниманию общественности хакеры представили маркетинговые документы, которые не содержали конфиденциальной информации. Счетчик при этом начал новый отсчет.
Что ж, по ходу первый транш зашел, судьба последующих переговоров станет известна совсем скоро. Ждем.
В ходе первого раунда компания, как мы сообщали вчера, пыталась замять инцидент и продемонстрировала свою неприступность.
В ответ хакеры к таймеру обратного отчета (момент слива украденной информации) приклеили запись о вероятном источнике утечки, указав на возможного инсайдера.
Accenture предпочли не отвечать, а тем временем ажиотаж вокруг ситуации привлек внимание инфосек-аудитории и в сеть стали просачиваться последствия атаки ransomware: 6 Тб и выкуп в размере 50 млн. долларов.
А сегодня после обнуления счетчика вниманию общественности хакеры представили маркетинговые документы, которые не содержали конфиденциальной информации. Счетчик при этом начал новый отсчет.
Что ж, по ходу первый транш зашел, судьба последующих переговоров станет известна совсем скоро. Ждем.
Twitter
vx-underground
Lockbit ransomware group has indeed ransomed @Accenture. Today they briefly released 2,384 files which were inaccessible due to TOR domain outages, presumably due to high traffic. Lockbit has rolled back the clock - stating data will be re-released 12 Aug…
Не прошло и 24 часов, как выяснилось, что Microsoft вновь облажались.
Обнародованная вчера исследователем Бенджамином Делпи уязвимость в диспетчере очереди печати Windows, по-прежнему, позволяет злоумышленникам получить системные привилегии, просто подключившись к удаленному серверу печати.
Разработчик подтвердил ошибку удаленного выполнения кода и присвоил ей CVE-2021-36958, таким образом пролонгировав эпопею PrintNightmare.
Как выяснилось, несмотря на то, что обновлением безопасности Microsoft изменила процедуру установки нового драйвера принтера, потребовав для нее права администратора, таких прав не потребуется для подключения к принтеру, если этот драйвер уже установлен. Если драйвер существует на клиенте - подключение к удаленному принтеру будет выполняться директивой CopyFile для пользователей без прав администратора.
Более того, бага позволяет скопировать DLL Делпи на клиент и запустить ее, чтобы открыть командную строку уровня SYSTEM.
Злоумышленник, успешно воспользовавшийся этой уязвимостью, может запустить произвольный код с привилегиями SYSTEM, а затем устанавливать программы, просматривать, изменять или удалять данные или создавать новые учетные записи с полными правами пользователя.
Microsoft предложила обойти уязвимость, остановив и отключив службу диспетчера очереди печати, и, следуя логике, вообще отказаться от печати (?).
Но удивляться не стоит, это же Microsoft. Забавный квест PrintNightmare продолжается.
Обнародованная вчера исследователем Бенджамином Делпи уязвимость в диспетчере очереди печати Windows, по-прежнему, позволяет злоумышленникам получить системные привилегии, просто подключившись к удаленному серверу печати.
Разработчик подтвердил ошибку удаленного выполнения кода и присвоил ей CVE-2021-36958, таким образом пролонгировав эпопею PrintNightmare.
Как выяснилось, несмотря на то, что обновлением безопасности Microsoft изменила процедуру установки нового драйвера принтера, потребовав для нее права администратора, таких прав не потребуется для подключения к принтеру, если этот драйвер уже установлен. Если драйвер существует на клиенте - подключение к удаленному принтеру будет выполняться директивой CopyFile для пользователей без прав администратора.
Более того, бага позволяет скопировать DLL Делпи на клиент и запустить ее, чтобы открыть командную строку уровня SYSTEM.
Злоумышленник, успешно воспользовавшийся этой уязвимостью, может запустить произвольный код с привилегиями SYSTEM, а затем устанавливать программы, просматривать, изменять или удалять данные или создавать новые учетные записи с полными правами пользователя.
Microsoft предложила обойти уязвимость, остановив и отключив службу диспетчера очереди печати, и, следуя логике, вообще отказаться от печати (?).
Но удивляться не стоит, это же Microsoft. Забавный квест PrintNightmare продолжается.
Telegram
SecAtor
«Империя наносит ответный удар» - так мы обозначим, пожалуй, эпический патч от Microsoft, который исправляет в общей сложности 44 CVE, из которых 7 - критические, 3 - zeroday, 37 - важные, 13 - уязвимости удаленного выполнения кода, 8 - касаются раскрытия…
Ни что так не вразумляет злоумышленника как скомпрометированный почтовый ящик, IP-адрес и отпечатки устройства особенно, особенно если дело касается украденных 611 млн. долларов и к ним приковано внимание всего криптосообщетсва и не только.
Команда специалистов по информационной безопасности SlowMist сообщила о результатах собственного расследования громкого инцидента и смогла отследить сетевые идентификаторы хакеров, причастных к атаке на Poly Network.
После публичных обращений к хакерам и резкой консолидации криптосообщества, готового ввести свои санкции на их кошельки, Poly Network рапортовала о возвращении похищенных цифровых активов на сумму более 260 миллионов долларов.
Примечательно, что за семь минут до отправки первой транзакции, хакер создал токен под названием Хакер готов сдаться и отправил этот токен на указанный Polygon адрес возврата денег.
Только представьте уровень разочарования, когда ты владеешь состоянием, но не в силах им воспользоваться. Вероятно, оправдываешь свой поступок тем, что внес свою лепту в развитие инфосека криптоиндустрии.
По этому поводу разгорелись споры будет ли это оценено в рамках Bug Bounty. К тому же выплата вознаграждений за обнаружение ошибок в программном обеспечении - обычная практика в мире высоких технологий.
Например, Альянс разработчиков открытого исходного кода BinomialPool уже предложил вознаграждение 5-10% за реализацию таких криптохаков, а что: хакеры не попадают в тюрьму, сообщество несет приемлемые потери, код становится лучше.
Все же интересно, какую позицию примут представители Poly Network, а особенно компетентные органы с точки зрения оценки обстоятельств в юридической плоскости. Во всяком случае создан уникальный прецедент, чем он завершится поглядим.
Команда специалистов по информационной безопасности SlowMist сообщила о результатах собственного расследования громкого инцидента и смогла отследить сетевые идентификаторы хакеров, причастных к атаке на Poly Network.
После публичных обращений к хакерам и резкой консолидации криптосообщества, готового ввести свои санкции на их кошельки, Poly Network рапортовала о возвращении похищенных цифровых активов на сумму более 260 миллионов долларов.
Примечательно, что за семь минут до отправки первой транзакции, хакер создал токен под названием Хакер готов сдаться и отправил этот токен на указанный Polygon адрес возврата денег.
Только представьте уровень разочарования, когда ты владеешь состоянием, но не в силах им воспользоваться. Вероятно, оправдываешь свой поступок тем, что внес свою лепту в развитие инфосека криптоиндустрии.
По этому поводу разгорелись споры будет ли это оценено в рамках Bug Bounty. К тому же выплата вознаграждений за обнаружение ошибок в программном обеспечении - обычная практика в мире высоких технологий.
Например, Альянс разработчиков открытого исходного кода BinomialPool уже предложил вознаграждение 5-10% за реализацию таких криптохаков, а что: хакеры не попадают в тюрьму, сообщество несет приемлемые потери, код становится лучше.
Все же интересно, какую позицию примут представители Poly Network, а особенно компетентные органы с точки зрения оценки обстоятельств в юридической плоскости. Во всяком случае создан уникальный прецедент, чем он завершится поглядим.
Twitter
BinomialPool
@zero1_flux I propose a general 5-10% bounty for crypto-hacks. This could be a win-win: (1.) Hackers don't go into jail (2.) The community faces acceptable losses (3.) Code gets better. Of course, my proposal does not apply for insider-frauds, but only for…
Forwarded from Social Engineering
🧠 Социальная Инженерия и обход биометрической системы безопасности.
Социальный Инженер ожидает от своей цели подозрение и недоверие, и он всегда подготавливается, чтобы недоверие превратить в доверие.
Хороший социальный инженер планирует атаку подобно шахматной игре, предполагая вопросы, которые жертва может задать, так что у него могут быть готовы подходящие ответы.
• Компания, проводившая пентест банка, привлекла Дженни для проверки эффективности работы системы биометрической идентификации. Задача состояла в том, чтобы проникнуть за охраняемый периметр и вставить флешку со специальным ПО в один из корпоративных компьютеров.
• Традиционный вариант с пожарной тревогой и эвакуацией персонала из здания Дженни отмела. Понаблюдав за тем, как выглядят и ведут себя сотрудники, проходящие за дверь, снабженную сканером отпечатка пальца, девушка подобрала более подходящий план действий. Она оделась в соответствии с дресс-кодом, но загипсовала себе руку. При этом у нее все же оставалась возможность прикоснуться «больной» рукой к сканеру.
• Неуклюже прикладывая палец к сканеру, Дженни сетовала на то, что «тупой замок опять не работает». Наблюдавший за этим охранник попытался помочь и со словами «а вы поплотнее прижать попробуйте» поднажал на больную руку. Это не помогло, а Дженни сделала вид, что от еще одной подобной попытки она потеряет сознание от боли. Сердобольный секьюрити вошел в положение и открыл «сотруднице» дверь своим отпечатком. Так Дженни выполнила свою задачу, а банк провалил #пентест.
• Оригинал интервью и другие истории от Дженни: https://darknetdiaries.com/trannoscript/90/
• Перевод на RU: https://habr.com/ru/company/searchinform/blog/571024/
‼️ Данная история еще раз доказывает, что основы социальной инженерии не претерпели существенных изменений за века — менялись только формы и детали приемов. Советую обратить внимание на другие истории и методы применяемые Социальными Инженерами на практике. Найти нужный материал ты можешь по хештегу #СИ. Твой S.E.
Социальный Инженер ожидает от своей цели подозрение и недоверие, и он всегда подготавливается, чтобы недоверие превратить в доверие.
Хороший социальный инженер планирует атаку подобно шахматной игре, предполагая вопросы, которые жертва может задать, так что у него могут быть готовы подходящие ответы.
🖖🏻 Приветствую тебя user_name.• Сегодня ты узнаешь, как с помощью Социальной Инженерии, девушка смогла обойти биометрическую защиту и проникла на охраняемый периметр организации. К слову, девушка, которую зовут Дженни Редклифф, отличный Социальный Инженер и востребованный подрядчик крупных #ИБ компаний, которые ищут уязвимости не только в ИТ-инфраструктуре, но и в персонале.
• Компания, проводившая пентест банка, привлекла Дженни для проверки эффективности работы системы биометрической идентификации. Задача состояла в том, чтобы проникнуть за охраняемый периметр и вставить флешку со специальным ПО в один из корпоративных компьютеров.
• Традиционный вариант с пожарной тревогой и эвакуацией персонала из здания Дженни отмела. Понаблюдав за тем, как выглядят и ведут себя сотрудники, проходящие за дверь, снабженную сканером отпечатка пальца, девушка подобрала более подходящий план действий. Она оделась в соответствии с дресс-кодом, но загипсовала себе руку. При этом у нее все же оставалась возможность прикоснуться «больной» рукой к сканеру.
• Неуклюже прикладывая палец к сканеру, Дженни сетовала на то, что «тупой замок опять не работает». Наблюдавший за этим охранник попытался помочь и со словами «а вы поплотнее прижать попробуйте» поднажал на больную руку. Это не помогло, а Дженни сделала вид, что от еще одной подобной попытки она потеряет сознание от боли. Сердобольный секьюрити вошел в положение и открыл «сотруднице» дверь своим отпечатком. Так Дженни выполнила свою задачу, а банк провалил #пентест.
• Оригинал интервью и другие истории от Дженни: https://darknetdiaries.com/trannoscript/90/
• Перевод на RU: https://habr.com/ru/company/searchinform/blog/571024/
‼️ Данная история еще раз доказывает, что основы социальной инженерии не претерпели существенных изменений за века — менялись только формы и детали приемов. Советую обратить внимание на другие истории и методы применяемые Социальными Инженерами на практике. Найти нужный материал ты можешь по хештегу #СИ. Твой S.E.
А мы знаем, как эти выходные пройдут у IT в крупном секторе экономики.
Немецкий гигант программного обеспечения для предприятий SAP выпустил внушительный патч исправлений, закрыв 9 критических и особо серьезных уязвимостей. Важные:
- CVE-2021-33698: проблема с неограниченной загрузкой файлов в SAP Business One. Злоумышленник может использовать уязвимость для загрузки файлов сценария, что предполагает возможность использования уязвимости для выполнения произвольного кода.
- CVE-2021-33690: подделка запросов на стороне сервера SSRF, влияющая на инфраструктуру разработки NetWeaver. Злоумышленник может использовать уязвимость для прокси-атак, отправляя специально созданные запросы, и если целевой экземпляр доступен в Интернете, может полностью скомпрометировать конфиденциальные данные, находящиеся на сервере, и повлиять на их доступность.
- CVE-2021-33701: SQL-инъекцию в сервисе SAP NZDT (Near Zero Downtime Technology), используемом S / 4HANA и мобильным плагином DMIS.
Другие (высокой степени серьезности):
- Ошибки межсайтового скриптинга (XSS): уязвимости XSS позволяют внедрять код JavaScript на сервлет-порталы и выполнять его в браузере жертвы.
- Бага в SSRF в NetWeaver Enterprise Portal: ошибка позволяет неаутентифицированному злоумышленнику делать запросы к внутренним или внешним серверам, заставляя целевого пользователя щелкнуть вредоносную ссылку.
- Проблема аутентификации, затрагивающую все системы SAP, доступ к которым осуществляется через Web Dispatcher.
- Ошибка перехвата задачи в мобильном приложении Fiori Client для Android.
- Ошибка аутентификации в SAP Business One.
По оценкам экспертов, текущие исправления SAP (считая исправления HotNews и High Priority) являются самыми масштабными в этом году.
Особое внимание к ним со стороны хакподполья потребует и особых усилий от IT. Ведь выстраивание вектора под уязвимости, как мы помним, занимает всего несколько дней после выпуска исправлений.
Немецкий гигант программного обеспечения для предприятий SAP выпустил внушительный патч исправлений, закрыв 9 критических и особо серьезных уязвимостей. Важные:
- CVE-2021-33698: проблема с неограниченной загрузкой файлов в SAP Business One. Злоумышленник может использовать уязвимость для загрузки файлов сценария, что предполагает возможность использования уязвимости для выполнения произвольного кода.
- CVE-2021-33690: подделка запросов на стороне сервера SSRF, влияющая на инфраструктуру разработки NetWeaver. Злоумышленник может использовать уязвимость для прокси-атак, отправляя специально созданные запросы, и если целевой экземпляр доступен в Интернете, может полностью скомпрометировать конфиденциальные данные, находящиеся на сервере, и повлиять на их доступность.
- CVE-2021-33701: SQL-инъекцию в сервисе SAP NZDT (Near Zero Downtime Technology), используемом S / 4HANA и мобильным плагином DMIS.
Другие (высокой степени серьезности):
- Ошибки межсайтового скриптинга (XSS): уязвимости XSS позволяют внедрять код JavaScript на сервлет-порталы и выполнять его в браузере жертвы.
- Бага в SSRF в NetWeaver Enterprise Portal: ошибка позволяет неаутентифицированному злоумышленнику делать запросы к внутренним или внешним серверам, заставляя целевого пользователя щелкнуть вредоносную ссылку.
- Проблема аутентификации, затрагивающую все системы SAP, доступ к которым осуществляется через Web Dispatcher.
- Ошибка перехвата задачи в мобильном приложении Fiori Client для Android.
- Ошибка аутентификации в SAP Business One.
По оценкам экспертов, текущие исправления SAP (считая исправления HotNews и High Priority) являются самыми масштабными в этом году.
Особое внимание к ним со стороны хакподполья потребует и особых усилий от IT. Ведь выстраивание вектора под уязвимости, как мы помним, занимает всего несколько дней после выпуска исправлений.
В то время пока весь инфосек по очередно с Microsoft выпиливает все новые и новые дыры PrintNightmare (группа ошибок CVE-2021-1675 , CVE-2021-34527 и CVE-2021-36958), хакерская индустрия успешно перенимает передовой опыт коллег, добавляя в свой арсенал соответствующие эксплойты для взлома серверов Windows.
Злоумышленники используют эти недостатки безопасности при локальном повышении привилегий (LPE) для распространения вредоносного ПО в качестве администраторов домена Windows через удаленное выполнение кода (RCE) с привилегиями SYSTEM.
На днях Crowdstrike уличили в этом банду вымогателей Magniber, которая теперь использует эксплойты PrintNightmare для развертывания полезных нагрузок в ходе атак на южнокорейских жертв. Установлено, что после компрометации серверов, на которых не установлено исправление, Magniber удаляет запутанный загрузчик DLL, который сначала вводится в процесс, а затем распаковывается для выполнения локального обхода файлов и шифрования файлов на скомпрометированном устройстве.
Magniber активна с октября 2017 года, первоначально распространялась с помощью вредоносной рекламы с использованием комплекта Magnitude Exploit Kit (EK) в качестве преемника программы-вымогателя Cerber, сейчас доставляется через Magnitude EK на устройства под управлением Internet Explorer с непропатченной CVE-2020-0968. Группировка сосредоточена на Южную Корею, Китай, Тайвань, Гонконг, Сингапур, Малайзию и другие. И в последние 30 дней стала особенно активна, теперь понятно почему.
К атакам PrintNightmare присоседились и ransomware Vice Society (связанные с HelloKitty), используя уязвимости для бокового перемещения по сетям своих жертв. Активность банды попала под прицел Cisco Talos, которые увидели, как Vice Society развертывают вредоносную библиотеку динамической компоновки (DLL) для использования двух ошибок CVE-2021-1675 и CVE-2021-34527.
Как известно, Vice Society шифрует системы Windows и Linux с помощью OpenSSL (AES256 + secp256k1 + ECDSA) и нацелена на маленьких или средних жертв, практикует двойное вымогательство, при этом особое внимание уделяется образовательным учреждениям. TTP включает удаление резервных копий для предотвращения восстановления зашифрованных систем жертвами и обход средств защиты Windows для кражи учетных данных и повышения привилегий.
Кроме того, к новичкам ленты совсем недавно также присоединились и Conti, компрометируя сервера Windows посредством излюбленной PrintNightmare.
Да и вообще этот список будет расти достаточно быстро, равно как и список их жертв. Тенденция, как говорится, на лицо.
Злоумышленники используют эти недостатки безопасности при локальном повышении привилегий (LPE) для распространения вредоносного ПО в качестве администраторов домена Windows через удаленное выполнение кода (RCE) с привилегиями SYSTEM.
На днях Crowdstrike уличили в этом банду вымогателей Magniber, которая теперь использует эксплойты PrintNightmare для развертывания полезных нагрузок в ходе атак на южнокорейских жертв. Установлено, что после компрометации серверов, на которых не установлено исправление, Magniber удаляет запутанный загрузчик DLL, который сначала вводится в процесс, а затем распаковывается для выполнения локального обхода файлов и шифрования файлов на скомпрометированном устройстве.
Magniber активна с октября 2017 года, первоначально распространялась с помощью вредоносной рекламы с использованием комплекта Magnitude Exploit Kit (EK) в качестве преемника программы-вымогателя Cerber, сейчас доставляется через Magnitude EK на устройства под управлением Internet Explorer с непропатченной CVE-2020-0968. Группировка сосредоточена на Южную Корею, Китай, Тайвань, Гонконг, Сингапур, Малайзию и другие. И в последние 30 дней стала особенно активна, теперь понятно почему.
К атакам PrintNightmare присоседились и ransomware Vice Society (связанные с HelloKitty), используя уязвимости для бокового перемещения по сетям своих жертв. Активность банды попала под прицел Cisco Talos, которые увидели, как Vice Society развертывают вредоносную библиотеку динамической компоновки (DLL) для использования двух ошибок CVE-2021-1675 и CVE-2021-34527.
Как известно, Vice Society шифрует системы Windows и Linux с помощью OpenSSL (AES256 + secp256k1 + ECDSA) и нацелена на маленьких или средних жертв, практикует двойное вымогательство, при этом особое внимание уделяется образовательным учреждениям. TTP включает удаление резервных копий для предотвращения восстановления зашифрованных систем жертвами и обход средств защиты Windows для кражи учетных данных и повышения привилегий.
Кроме того, к новичкам ленты совсем недавно также присоединились и Conti, компрометируя сервера Windows посредством излюбленной PrintNightmare.
Да и вообще этот список будет расти достаточно быстро, равно как и список их жертв. Тенденция, как говорится, на лицо.
CrowdStrike.com
Magniber Ransomware Caught Using PrintNightmare Vulnerability
CrowdStrike recently observed new activity related to a 2017 ransomware family, known as Magniber, using the PrintNightmare vulnerability on victims in South Korea.
Японский разработчик Trend Micro предупреждает о начале эксплуатации Zero-Day в продукте Apex One, предназначенного для мониторинга сети и исследования угроз. Уязвимы как локальные, так и облачные версии Apex One.
CVE-2021-36741 и CVE-2021-36742 (загрузка произвольных файлов и локальное повышение привилегий) уже использовались в цепочке эксплоитов для загрузки на платформу Apex One вредоноса с целью повышения привилегий и дальнейшего захвата контроля над системой.
Вспоминая инцидент когда злоумышленники похакали уязвимости в продукте Trend Micro OfficeScan у производителя электроники Mitsubishi Electric и украли личную и корпоративную информацию, отнестись к рекомендациям Trend Micro обновить свои системы Apex One до последних версий следует ответственно.
Конечно, Trend Micro не предоставила никакой информации об уже состоявшихся инцидентах, видите ли политика конфиденциальности, и все дела. Но, вангуем, скоро жертвы нарисуются.
А мы не ждём, исправляемся.
CVE-2021-36741 и CVE-2021-36742 (загрузка произвольных файлов и локальное повышение привилегий) уже использовались в цепочке эксплоитов для загрузки на платформу Apex One вредоноса с целью повышения привилегий и дальнейшего захвата контроля над системой.
Вспоминая инцидент когда злоумышленники похакали уязвимости в продукте Trend Micro OfficeScan у производителя электроники Mitsubishi Electric и украли личную и корпоративную информацию, отнестись к рекомендациям Trend Micro обновить свои системы Apex One до последних версий следует ответственно.
Конечно, Trend Micro не предоставила никакой информации об уже состоявшихся инцидентах, видите ли политика конфиденциальности, и все дела. Но, вангуем, скоро жертвы нарисуются.
А мы не ждём, исправляемся.
Telegram
SecAtor
Без сомнения лучший инфосек журналист настоящего времени Каталин Чимпану (мы не шутим, посмотрите в какое УГ скатилось ZDNet после ухода румына под крыло к Recorded Future), изволит шутить в своем новом издании TheRecord.
В статье Чимпану рассматривает последний…
В статье Чимпану рассматривает последний…
Forwarded from SecurityLab.ru
☠️Неизвестный хакер взломал Legalizer - одну из самых популярных площадок по сбыту наркотиков в СНГ.
🤦🏻♀️Получена база данных форума, все переписки, лог чата.
❗️На всеобщее обозрение также были вынесены закулисные интриги и проблемы.
🕵🏿♀️Взломщик предоставил ссылку на сайт , с информацией о деанонимизированных создателях площадки, включая их ФИО, номер телефона, адрес и страну проживания и паспортные данные.
https://www.securitylab.ru/news/523415.php
🤦🏻♀️Получена база данных форума, все переписки, лог чата.
❗️На всеобщее обозрение также были вынесены закулисные интриги и проблемы.
🕵🏿♀️Взломщик предоставил ссылку на сайт , с информацией о деанонимизированных создателях площадки, включая их ФИО, номер телефона, адрес и страну проживания и паспортные данные.
https://www.securitylab.ru/news/523415.php
SecurityLab.ru
Взломана одна из самых популярных площадок по сбыту наркотиков Legalizer
Хакер выложил информацию о деанонимизированных создателях площадки Legalizer, примеры переписок в личных сообщениях и другую информацию
Настоящий боевичок в стиле Крепкого орешка активно проигрывается в США, где неизвестные хакеры выставили на продажу базы данных крупнейшего мобильного оператора T-Mobile за 6 битков (280 тысяч долларов) и используют их в политических играх со спецслужбами.
До настоящего времени T-Mobile не раскрывает всех обстоятельств инцидента. По оценка экспертов, утечка включает информацию в отношении примерно 100 миллионов клиентов объемом 106GB, начиная с 2004 года, в том числе IMSI, IMEI клиентов, номера телефонов, имена клиентов, PIN-коды безопасности, номера социального страхования, номера водительских прав и дату рождения.
Информация могла быть получена в ходе взлома производственных, промежуточных серверов и серверов разработки T-Mobile, в том числе сервера с абонентской базой данных Oracle. В качестве пруфов хакеры слили скрины SSH-соединения с производственным сервером, на котором работает Oracle.
Казалось бы рядовой инцидент, но не тут то было. Кейс имеет куда более серьезные масштабы (если это, конечно, не является традиционным пиар сопровождением со стороны акторов).
Представителям инфосек компании Hudson Rock удалось связаться с хакерами и в ходе переговоров стали известны мотивы преступления. Атакующие реализовали нападение из политических соображений.
Все дело в том, что в 2019 году спецслужбы США и Турции похитили и пытали в Германии жителя Турции Джона Эрина Биннса, который спустя два года пытается добиться внимания к своему делу и покарать своих обидчиков публично, а вместе с ними и все разведсообщество. Он уже является фигурантом судебных исков в адрес ЦРУ, ФБР и Минюста США.
Если это правда, то Америку ждет целая волна кибератак, инспирированная международной бандой фанатиков хакеров, остановить которых под силу лишь Брюсу Уиллису.
Так это или не так, но если бы аналогичный сюжет развивался в России, как мы полагаем, то в центре событий вполне могли были бы оказаться тезки своих американских коллег.
До настоящего времени T-Mobile не раскрывает всех обстоятельств инцидента. По оценка экспертов, утечка включает информацию в отношении примерно 100 миллионов клиентов объемом 106GB, начиная с 2004 года, в том числе IMSI, IMEI клиентов, номера телефонов, имена клиентов, PIN-коды безопасности, номера социального страхования, номера водительских прав и дату рождения.
Информация могла быть получена в ходе взлома производственных, промежуточных серверов и серверов разработки T-Mobile, в том числе сервера с абонентской базой данных Oracle. В качестве пруфов хакеры слили скрины SSH-соединения с производственным сервером, на котором работает Oracle.
Казалось бы рядовой инцидент, но не тут то было. Кейс имеет куда более серьезные масштабы (если это, конечно, не является традиционным пиар сопровождением со стороны акторов).
Представителям инфосек компании Hudson Rock удалось связаться с хакерами и в ходе переговоров стали известны мотивы преступления. Атакующие реализовали нападение из политических соображений.
Все дело в том, что в 2019 году спецслужбы США и Турции похитили и пытали в Германии жителя Турции Джона Эрина Биннса, который спустя два года пытается добиться внимания к своему делу и покарать своих обидчиков публично, а вместе с ними и все разведсообщество. Он уже является фигурантом судебных исков в адрес ЦРУ, ФБР и Минюста США.
Если это правда, то Америку ждет целая волна кибератак, инспирированная международной бандой фанатиков хакеров, остановить которых под силу лишь Брюсу Уиллису.
Так это или не так, но если бы аналогичный сюжет развивался в России, как мы полагаем, то в центре событий вполне могли были бы оказаться тезки своих американских коллег.
Twitter
Alon Gal (Under the Breach) 🦇🔊
I spoke to the hackers, they claim they did it to harm US infrastructure and to retaliate against alleged US actions. twitter.com/josephfcox/sta…
Большой брат следит за тобой, второго брата в этом деле не должно быть - иначе теряется логика.
Как мы уже сообщали, скандал вокруг NSO Group и рынка услуг лицензируемого шпионажа будет иметь серьезные последствия, а в целом - его ждет глобальный передел. Без одобрения большого брата следить больше не получится, во всяком случае придется делиться, конечно же информацией.
К делу шпионского ПО Pegasus подключились эксперты ООН по правам человека. Они призвали приостановить продажу шпионского ПО и других технологий наблюдения до тех пор, пока они не установят правила, регулирующие их использование.
ООН призвала разработать надежную нормативно-правовую базу для предотвращения, смягчения и устранения негативного воздействия технологий слежения на права человека.
Все просто: инициированный американской разведкой через курируемые НКО и СМИ скандал - отличная подготовка для укрепления своих позиций в сфере наступательных кибертехнологий в международной плоскости.
Полагаем, что Большой брат сделает все необходимое под предлогом игры в демократию, чтобы создать инструменты сдерживания технологических конкурентов, будь то Израиля, России или КНР. За нарушения - конечно же, санкции.
Помните, Большой брат следит за тобой, а также и за теми, кто следит за тобой.
Как мы уже сообщали, скандал вокруг NSO Group и рынка услуг лицензируемого шпионажа будет иметь серьезные последствия, а в целом - его ждет глобальный передел. Без одобрения большого брата следить больше не получится, во всяком случае придется делиться, конечно же информацией.
К делу шпионского ПО Pegasus подключились эксперты ООН по правам человека. Они призвали приостановить продажу шпионского ПО и других технологий наблюдения до тех пор, пока они не установят правила, регулирующие их использование.
ООН призвала разработать надежную нормативно-правовую базу для предотвращения, смягчения и устранения негативного воздействия технологий слежения на права человека.
Все просто: инициированный американской разведкой через курируемые НКО и СМИ скандал - отличная подготовка для укрепления своих позиций в сфере наступательных кибертехнологий в международной плоскости.
Полагаем, что Большой брат сделает все необходимое под предлогом игры в демократию, чтобы создать инструменты сдерживания технологических конкурентов, будь то Израиля, России или КНР. За нарушения - конечно же, санкции.
Помните, Большой брат следит за тобой, а также и за теми, кто следит за тобой.
Telegram
SecAtor
Отметили для себя новую парадигму: все чаще межправительственные конфликты проистекают из IT-плоскости. Вот небольшой дайджест, судите сами:
1. Правительство Великобритании в лице Национального центра кибербезопасности (NCSC) официально возложило вину за…
1. Правительство Великобритании в лице Национального центра кибербезопасности (NCSC) официально возложило вину за…
Приятный бонус для пользователей Messenger от компании Facebook.
С момента нашего обзора, мессенджер получил новые функции: расширилось сквозное шифрование E2EE для голосовых и видеозвонков, а также запущена новая настройка подписки, которая включает сквозное шифрование для DM Instagram.
Новшества продиктованы практикой: в 2020 году резко вырос спрос на аудио- и видеозвонки, достигнув показателя - более 150 миллионов соединений в день через Messenger.
Как вы помните, флагманский сервис обмена сообщениями компании получил поддержку E2EE в текстовых чатах в 2016 году вместе с опцией «секретного разговора», в то время как сообщения на родственной платформе WhatsApp были полностью зашифрованы в том же году после перехода протокол Signal.
Новые шаги являются частью поворота Facebook к коммуникационной платформе, ориентированной на конфиденциальность, о которой компания объявила ещё в марте 2019 года.
Планируется, что в скором времени добавится и функция групповых чатов и звонков со сквозным шифрованием в Messenger.
При этом компания все же дает понять, что лазейки останутся для предотвращения использования своих платформ для преступных или оскорбительных целях. Они мотивировали это тем, что на Facebook приходится более 90% материалов с пометкой CSAM.
С момента нашего обзора, мессенджер получил новые функции: расширилось сквозное шифрование E2EE для голосовых и видеозвонков, а также запущена новая настройка подписки, которая включает сквозное шифрование для DM Instagram.
Новшества продиктованы практикой: в 2020 году резко вырос спрос на аудио- и видеозвонки, достигнув показателя - более 150 миллионов соединений в день через Messenger.
Как вы помните, флагманский сервис обмена сообщениями компании получил поддержку E2EE в текстовых чатах в 2016 году вместе с опцией «секретного разговора», в то время как сообщения на родственной платформе WhatsApp были полностью зашифрованы в том же году после перехода протокол Signal.
Новые шаги являются частью поворота Facebook к коммуникационной платформе, ориентированной на конфиденциальность, о которой компания объявила ещё в марте 2019 года.
Планируется, что в скором времени добавится и функция групповых чатов и звонков со сквозным шифрованием в Messenger.
При этом компания все же дает понять, что лазейки останутся для предотвращения использования своих платформ для преступных или оскорбительных целях. Они мотивировали это тем, что на Facebook приходится более 90% материалов с пометкой CSAM.
Завершилась эпопея нашумевшего на весь мир Мистера Белой шляпы, который сначала грациозно вывел криптоактивы на сумму более чем на полмиллиарда долларов, а потом не менее эффектно вернул их.
Стоит отдать должное компании Poly Network, которые прислушались к альянсу разработчиков BinomialPool и вместо уголовки предложили хакеру вознаграждение в 500 тысяч долларов.
На наш взгляд, это ничто иное, как отличный прецендент для криптоиндустрии, хороший стимул для трухакеров и весьма дорогой ликбез по инфобезу для Poly Network.
Стоит отдать должное компании Poly Network, которые прислушались к альянсу разработчиков BinomialPool и вместо уголовки предложили хакеру вознаграждение в 500 тысяч долларов.
На наш взгляд, это ничто иное, как отличный прецендент для криптоиндустрии, хороший стимул для трухакеров и весьма дорогой ликбез по инфобезу для Poly Network.
Twitter
Poly Network
#PolyNetwork system is soon about to be relaunched as the team gets things in order to proceed as per the #roadmap . In addition to the previous 500k proposal for #MrWhiteHat, #PolyNetwork officially announces a separate 500k #bounty program open for top…
«Качество — это делать что-либо правильно, даже когда никто не смотрит» - Генри Форд. А пока смотрят - можно и подзабить: Ford Motor Company.
Именно так и случилось с обнаруженной в феврале этого года CVE-2021-27653 в системе взаимодействия с клиентами Pega Infinity, работающей на серверах Ford. Уязвимость в неработающем контроле доступа позволяла злоумышленникам получить множество конфиденциальных записей, осуществить захват учетных записей и скачать приличный объем данных компании и ее клиентов.
Бага была обнаружена исследователями Робертом Уиллисом и break3r совместно с представителями Sakura Samurai: Обри Коттлом, Джексоном Генри и Джоном Джексоном.
После того, как исследователи сообщили о своих выводах, Pega относительно быстро устранили CVE. Примерно в то же время о проблеме было сообщено Ford через программу раскрытия уязвимостей HackerOne. И тут началось.
Представители автогиганта по-тихому замяли вопрос и какой-то момент просто перестали отвечать исследователям, а уязвимость была помечена как устраненная. В соответствии с политикой HackerOne исследователи выждали полные шесть месяцев и раскрыли информацию об уязвимости. Однако в Ford за раскрытие уязвимостей не предложили в конечном счете ничего и до настоящего времени дистанцировались от инцидента. Пока неизвестно, эксплуатировалась ли уязвимость в дикой природе, но посмотрим.
Вот и пример, когда не всегда игроки рынка bug bounty принципиальны и проявляют должное внимание вопросам ИБ, адекватной системе вознаграждений, что напрямую затем отражается на их клиентах, которые впоследствии становятся жертвами утечек.
Именно так и случилось с обнаруженной в феврале этого года CVE-2021-27653 в системе взаимодействия с клиентами Pega Infinity, работающей на серверах Ford. Уязвимость в неработающем контроле доступа позволяла злоумышленникам получить множество конфиденциальных записей, осуществить захват учетных записей и скачать приличный объем данных компании и ее клиентов.
Бага была обнаружена исследователями Робертом Уиллисом и break3r совместно с представителями Sakura Samurai: Обри Коттлом, Джексоном Генри и Джоном Джексоном.
После того, как исследователи сообщили о своих выводах, Pega относительно быстро устранили CVE. Примерно в то же время о проблеме было сообщено Ford через программу раскрытия уязвимостей HackerOne. И тут началось.
Представители автогиганта по-тихому замяли вопрос и какой-то момент просто перестали отвечать исследователям, а уязвимость была помечена как устраненная. В соответствии с политикой HackerOne исследователи выждали полные шесть месяцев и раскрыли информацию об уязвимости. Однако в Ford за раскрытие уязвимостей не предложили в конечном счете ничего и до настоящего времени дистанцировались от инцидента. Пока неизвестно, эксплуатировалась ли уязвимость в дикой природе, но посмотрим.
Вот и пример, когда не всегда игроки рынка bug bounty принципиальны и проявляют должное внимание вопросам ИБ, адекватной системе вознаграждений, что напрямую затем отражается на их клиентах, которые впоследствии становятся жертвами утечек.