До конца 2021 года Google реализует активацию функции защиты конфиденциальности Android 11 на устройствах под управлением более старых версий ОС. В настоящее время ОС Android установлена на более чем 3 миллиардах устройств по всему миру.

Речь идет о функции автоматического сброса разрешений, предназначенной для защиты конфиденциальности пользователей путем автоматического удаления runtime permissions в приложениях, которые не использовались в течение нескольких месяцев.

Runtime permissions также известны как опасные разрешения и используют частные пользовательские данные с ограниченным доступом, такие как: местоположение или контактная информация.

Опция будет доступна на всех устройствах с сервисами Google Play и под управлением Android 6.0 (уровень API 23) до Android 10 (уровень API 29) включительно. Пользователи смогут перейти на страницу настроек автоматического сброса и включить/отключить ее для определенных приложений. При этом система начнет автоматически сбрасывать разрешения неиспользуемых приложений через несколько недель после запуска функции на устройстве.

Запуск стартует в декабре 2021 года и завершится, по расчетам разработчиков, в 1 квартале 2022 года, когда функция будет доступна на всех совместимых устройствах Android.

Google все же пытается изображать озабоченность по поводу защиты конфиденциальности своих пользователей, в отличие от конкурента Apple, действия которой по продвижению системы слежения за пользователями вызвали даже протесты жителей США накануне презентации новой линейки гаджетов.

Следуя своему плану Администрация Байдена намерена нанести серьезный удар по экономике операторов ransomware, для чего разрабатывает пакет санкций в отношении криптобирж, кошельков и трейдеров, задействуемых хакерами для обналичивания полученного выкупа и прочих преступных дивидендов.

Операции вымогателей рассчитаны, зачастую, на выкуп в BTC или Monero (или иной крипте), за исключением юрисдикции США, где Monero считается конфиденциальной монетой и не реализуется в свободном доступе. При этом под санкции также попадут криптомиксеры, способствующие сокрытию транзакций крипты.

Учитывая, что криптовалюта является обязательным элементом в операциях вымогателей, Администрация Байдена рассчитывает реально подорвать экономику ransomeware и значительно затруднить работу банд вымогателей.

На самом деле подобная тактика уже применялась американскими властями еще в 2019 году, в санкционный список Управления по контролю за иностранными активами (OFAC) тогда попали Evil Corp. Кроме того, были предусмотрены серьёзные штрафы для жертв, в случае оплаты выкупа включенным в санкционный список хакерским группам. Результат - налицо.

Новый пакет санкционных мер Минфина США скорее позволит национальным спецслужбам переформатировать современный криптокластер с учетом своих национальных интересов. Лицензий на транзакции получать самые лояльные или нужные, которые будут следовать директивам своих кураторов.

Но на первом этапе пострадать должны все: и криминальные элементы, и, главное, добропорядочные представители криптосообщества, коих среди клиентов бирж значительно больше. Таким образом, в ближайшее время санкции так или иначе могут коснуться почти каждого держателя криптовалюты.

Шпионские баталии разыгрались в самом северном штате США. Под удар попал Департамент здравоохранения и социальной защиты Аляски (DHSS).

В расследовании инцидента принимали участие такие фавориты инфосека как FireEye и Mandiant, которые выяснили, что в сеть DHSS проникли через уязвимость одного из веб-ресурсов http://dhss.alaska.gov.

Примечательно, что никаких признаков ransomware не обнаружено, а злоумышленники предпринимали попытки закрепиться в заражённой сети даже после того, когда они были раскрыты. Все указывает на тщательно подготовленную законспирированную атаку, рассчитанную на длительный период.

Об атаке стало известно ещё 2 мая, однако первые официальные сообщения появились лишь на прошлой неделе. Расследование инцидента все еще продолжается. Злоумышленника локализовали из своей сети, но до сих пор не ясно, что могло утечь во время кибератаки - полные имена, даты рождения, номера социального страхования, адреса, телефонные номера, водительские права, данные медицинских карт, финансовые реквизиты и другая личная информация.

При этом отсутствие каких-либо публичных сведений об обстоятельствах случившегося, не помешало представителям DHSS заявить, что злоумышленники представляют очень изощренную АРТ, которая, проводит комплексные кибератаки против государственных организаций, включая правительства штатов и учреждения здравоохранения.

Так что ждём отчетов и атрибуций, хотя бы формальных, ведь необходимые выводы уже сделаны.

​​Под руководством Аллана Лиска из CSIRT Recorded Future группой исследователей проведён анализ материалов расследования инцидентов с использованием ransomware, на основе которого составлен арсенал уязвимостей, которые используют банды вымагателей для обеспечения первичного доступа к целевым системам.

Стоит отметить, что получился достаточно впечатляющий список CVE, включающий в себя более дюжины производителей и поставщиков программного обеспечения.

Для администраторов и служб информационной безопасности данная диаграмма должна являться отправной точкой для проведения ревизии и защиты своей сетевой инфраструктуры от кибератак.

Настоятельно рекомендуем взять на карандаш как пособие к руководству.

​​Однажды мы когда-то рассказывали как в сети датского Центробанка в течение 7 месяцев сидел бэкдор и никто ничего не увидел.

На этот раз Центральный банк Кюрасао на Синт-Мартене (CBCS) 2 сентября 2021 года подвергся мощной кибератаке, в результате которой хакеры положили всю операционную сеть. Фактически CBCS вынужден был отключить всю инфраструктуру, чтобы избежать дальнейших негативных последствий, защитить все данные и восстановить целостность системы.

В настоящий момент CBCS пытаются понять, к каким данным был осуществлен неправомерный доступ. При этом сервисы электронной почты и удаленные телефонные службы также были отключены, по заверению регулятора: в целях предосторожности.

В интересах расследования CBCS не раскрывает подробности инцидента. Однако дежурные камлания "немедленно начато полное расследование в тесном сотрудничестве с соответствующими органами, международными и местными экспертами в области кибербезопасности" и "расследование показывает, что платформа платежной системы не была взломана", как обычно, прилагаются.

​​Итальянская мафия бессмертна. 

Власти Испании и Италии ликвидировали организованную преступную группу, связанную с итальянской мафией, за плечами которой приличный пул киберпреступлений от онлайн-мошенничества до отмывания денег и другой незаконной деятельности в электронной коммерции.

Правоохранители совместно с Европолом произвели 106 арестов, провели 16 обысков домов и заморозили 118 банковских счетов. Они изъяли различные электронные устройства, 224 кредитных карты, торговые терминалы, SIM-карты и многое другое.

Представители киберсиндиката, обманули сотни людей с помощью фишинга, подмены SIM-карт и компрометации деловой электронной почты (BEC). Выручка отмывалась через сеть подставных компаний и номиналов.

Преступная сеть, была построена в виде пирамидальной структуры, в которую были включены разные участники для выполнения специализированных ролей, включая компьютерных экспертов, которые создавали фишинговые домены и способствовали кибермошенничеству, вербовщики и контролеры за номиналами, специалисты в области криптовалют и отмывания денег.

Жулики, большинство из которых являются гражданами Италии, связанные с мафиозными картелями, склоняли своих жертв к переводу крупных сумм денег на банковские счета, находящиеся под их контролем. Затем незаконно полученную прибыль отмывали через широкую сеть обнальных фирм и дропов.

По данным Европола, только в 2020 году преступная группировка заработала около 10 миллионов евро (примерно 11,7 миллиона долларов).

Печатать или не печатать?

Перед такой дилеммой Microsoft поставила тысячи своих пользователей. Долгожданное обновление PatchTuesday, о котором мы недавно писали, помимо исправления критических уязвимостей, в том числе активно эксплуатируемых в дикой природе, напрочь поломало функцию печати.

Пользователи обновленной Windows жалуются на ошибки 0x0000011b при печати на сетевых принтерах. Эта ошибка печати в основном наблюдается в небольших компаниях и домашних сетях, которые не могут воспользоваться настройкой Kerberos в домене Windows.

Все дело в пресловутой PrintNightmare - уязвимости подмены диспетчера очереди печати Windows (CVE-2021-1678). Обновлением в ОС по умолчанию был активирован ключ реестра: [HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Print] «RpcAuthnLevelPrivacyEnabled» = двойное слово: 00000001, который используется для повышения уровня проверки подлинности RPC, используемого для сетевой печати, чтобы закрыть уязвимость.

При этом удаление сентябрьских обновлений безопасности Windows решит проблему, но в таком случае устройства будут уязвимы и для PrintNightmare, и для MSHTML.

Пожалуй, оптимальным является отключение защиты от CVE-2021-1678 до тех пор, пока Microsoft не выпустит новое руководство.

Чтобы исправить недавние ошибки печати 0x0000011b без удаления текущих обновлений Windows (KB5005565), необходимо отредактировать ключ реестра для CVE-2021-1678. Для этого в разделе реестра: HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Print, следует создать новое 32-битное значение DWORD с именем RpcAuthnLevelPrivacyEnabled и установить для него значение 0. Либо воспользоваться прилагаемым файлом реестра.

Но помните, как только вы измените значение, вы больше не будете защищены от уязвимости, но это позволит снова печатать. Если это не решит вашу проблему, просто вернитесь к настройкам Windows по умолчанию.

Прекрасно одно: все же Microsoft оставили хоть какой-то выбор, но за последствия ответить придется пользователям.

Удачная неделя для BlackMatter, которым удалось хорошенько потрудиться и, несмотря на официальные предостережения ФБР США о надвигающихся атаках на продовольственный и сельскохозяйственный сектор, пошифровать сельхозпроизводителя NEW Cooperative.

Об атаке стало известно после публикации образца ransomware, который и раскрыл доступ к сообщению BlackMatter о выкупе, чату для переговоров и сайту утечки украденных данных. Представленные материалы указывают на то, что хакерам удалось выкрасть более 1000 ГБ данных, в том числе результаты исследований, изысканий и разработок, конфиденциальную информацию о сотрудниках, финансовые документы и экспортированную базу данных KeePass.

NEW Cooperative - это крупнейший фермерский кооператив по производству кормовых культур с более чем 60 филиалами по всей Айове. Хакеры потребовали выкуп в размере 5,9 миллиона долларов, который вырастет до 11,8 миллионов, если вопрос не решиться в течение 5 дней.

Как обычно в таких случаях, работу систем компании пришлось приостановить, подключить к расследованию инцидента правоохранительные органы и экспертов по восстановлению данных. NEW Cooperative также заявил, что им придется связаться с регулирующими органами и CISA по поводу атаки.

Атака на NEW Cooperative состоялась вопреки джентльменскому соглашению о ненападении на объекты критически важной инфраструктуры, заключенному после резонансного инцидента с Colonial Pipeline, совершенному предшественниками BlackMatter - представителями группировки DarkSide. BlackMatter в ходе переговоров пояснили, что компания «не подпадает под правила соглашения», пригрозив удвоить выкуп и посоветовав срочно искать деньги.

По мнению экспертов сельхозотрасли, последствия инцидента могут нанести более серьезный ущерб экономике США, ведь простой вызовет сбои в цепочках поставок продукции и подорвет продовольственную безопасность страны.

Безусловно, власти США не допустят этого и предпримут необходимые меры. Но нам интересно другое: подорвет ли это самих BlackMatter, по аналогии с их предшественниками.

Полагаем, что в условиях, когда Администрация Байдена намерена ударить по экономике вымогателей, атаки будут более дерзкими и дорогими, учитывая предстоящие сложности по выводу дивидендов.

Специалисты из Cisco Talos выявили новый бэкдор TinyTurla, который задействован хакерской группировкой Turla.

APT Turla, также известна как Snake, Uroburos, Venomous Bear и WhiteBear, действует с 2004 года, сосредоточена на шпионаже и известна своими атаками на объекты в США, Германии, Украины и на Ближнем Востоке. Западные специалисты предполагают, что АРТ может действовать в интересах РФ.

TinyTurla - это второстепенный бэкдор, так как вредоносная программа достаточно проста, но способна поддерживать длительное скрытое присутствие на зараженных машинах.

Скрыть присутствие вредоносного ПО в системе Turla удаётся путём маскировки под службу Windows Time Service. После запуска она позволяет акторам извлекать, загружать и испольнять файлы, тем самым работая в качестве дроппера второго уровня, при необходимости конечно. Более того, было замечено, что malware каждые 5 секунд связывается со сервером управления и контроля по зашифрованному каналу для проверки наличия команд.

Cisco Talos полагают, что именно TinyTurla использовалась против афганского правительства до прихода к власти в стране талибов после вывода западного военного контингента.

​​Никто и не удивился, что после объявления войны криптобиржам первый удар Администрация Байдена нанесет именно по российскому сегменту. Так и случилось.

Во вторник Министерство финансов США наложило санкции российскую криптобиржу SUEX OTC. По мнению американских регулирующих органов и спецслужб, 8 банд вымогателей через нее обналичивали преступные доходы. При этом более 40% объема транзакций, по мнению Elliptic, были связаны с киберпреступностью и составляют более 370 миллионов долларов.

SUEX OTC - это так называемая «вложенная биржа», которая проводит транзакции со счетов на крупных, законных глобальных биржах криптовалют. По мнению криптоаналитиков из Chainalysis, биржа является крупнейшим незаконным сервисом для киберпреступников. Эксперты компании полагают, что SUEX тесно сотрудничает с правоохранительными органами для отслеживания преступного отмывания денег в Интернете.

Несмотря на то, что компания SUEX юридически зарегистрирована в Чешской Республике, биржа работает в филиалах в Москве и Санкт-Петербурге, где производятся все обменные и обвальные операции. Кроме того, компания представлена и в Средней Азии и на Востоке. По сведениям Chainalysis, что SUEX позволяет конвертировать активы в криптовалюту, в наличные и даже в недвижимость.

Именно через SUEX проходили операции другой незаконной криптовалютной биржи BTC-e, админа которой по наводке американских правоохранителей арестовали во время отпуска в Греции и приговорили французским судом к 5 годам лишения свободы.

По данным TRM Labs, взаимодействие участников SUEX в основном ведется через Telegram, новые клиенты заходят на площадку через систему рекомендаций от доверенных посредников. Транзакции с другими биржами организовано через инфраструктуру, включающую добытые с использованием мошеннических или украденные учетные данные этих бирж.

Через такие аккаунты SUEX на других крупных биржах проходило более 160 миллионов грязных долларов в битках с момента открытия в начале 2018 года, в том числе почти 13 миллионов долларов от таких клиентов как Ryuk, Conti и Maze.

В реальности под санкции скорее попадут именно легальные биржи, используемые SUEX в темную, а вместе с ними и добропорядочные трейдеры, платёжные системы и банковские структуры.

В России и мире постоянно происходят утечки персональных данных и корпоративной информации. Миллионы записей из различных баз данных всплывают на теневых форумах и торговых площадках даркнета.

Следить за всем, что происходит в сфере утечек данных можно просто читая канал Утечки информации.

Ежедневная аналитика утечек, разбор самых громких случаев, мониторинг даркнета и теневых форумов. Редакция канала пишет только про то, что видела сама!

Мы настоятельно рекомендуем подписаться на Утечки информации, поскольку редакция канала дает качественный авторский контент, который, как правило, является эксклюзивным. Сами читаем и всем советуем!

Netgear исправил уязвимость удаленного выполнения кода высокой степени серьезности (RCE), обнаруженную в службе родительского контроля Circle, которая работает с правами root почти на дюжине современных маршрутизаторов Netgear для малых офисов/домашних офисов (SOHO).

Несмотря на то, что вектор атаки, CVE-2021-40847, может исправлен остановкой службы, обновление Circle, все же содержит ошибку и включен по умолчанию, и ошибку можно использовать, даже если служба отключена.

Процесс обновления Circle Parental Control Service на различных маршрутизаторах Netgear позволяет удаленным злоумышленникам с сетевым доступом реализовать RCE в качестве root с помощью атаки MitM. Проверено GRIMM.

Успешное использование этой уязвимости требует от злоумышленников контроля и сетевого трафика в той же сети, чтобы получить RCE в качестве root на целевом маршрутизаторе. Получив root-права, злоумышленник может захватить полный контроль над трафиком, проходящим через скомпрометированный маршрутизатор, считывая зашифрованные данные, которыми обмениваются с другими устройствами, в том числе в корпоративной сети жертвы.

Потенциальная цепочка угроз атак для взлома корпоративной сети после компрометации одного из маршрутизаторов Netgear сотрудника выглядит следующим образом:
• Злоумышленник проводит разведку, чтобы определить интернет-провайдера целевой корпорации.
• Компрометирует этого интернет-провайдера с помощью какого-либо другого средства (фишинг, эксплойт и т. д.).
• Из-под интернет-провайдера хакер  может скомпрометировать любые маршрутизаторы, уязвимые для ошибки Circle Parental Control Service.
• С помощью скомпрометированных маршрутизаторов злоумышленник напрямую взаимодействовует с любыми корпоративными компьютерами, подключенными к маршрутизатору. Затем, используя эксплойт для отдельной уязвимости, такой как PrintNightmare, может скомпрометировать эти компьютеры.
• После чего может перейти к корпоративной сети и проникнуть в корпоративные данные или начать дальнейшие атаки на корпорацию.

Поэтому если, вы все же пользователь  Netgear необходимо как можно скорее загрузить последнюю версию прошивки для своих устройств, уязвимых для эксплойтов CVE-2021-40847.

​​Bitcoin.org взломан в результате DNS hijack.

До того, как ресурс стал не доступен мошенники разместили традиционный скам удвойте свой капитал.

По некоторым данным, предприимчивым хакерам удалось поднять около 17 000 долларов, но фактически, согласно анализу мошеннического BTC-кошелька, сумма заработка оказалась куда более скромной.

Похоже, что владельцы цифровых активов умеют считать деньги и более вдумчиво подходят к сомнительным инвестициям, чего точно не скажешь, например, о поклонниках Finiko.

Хохлов подал в суд на Facebook из-за блокировки его фамилии

Судебное заседание уже назначено на 5 октября.

Соцсети трактуют его фамилию как «пренебрежительное наименование украинцев», поэтому он не может их использовать.

Все другие люди, при упоминании его фамилии, так же получают бан на целую неделю.

С помощью суда Хохлов потребует разрешить ему пользоваться его фамилией, а так же попытается добиться компенсации морального суда.

Мы, конечно, не эксперты, но суд он скорее всего выиграет.

​​VMware во вторник опубликовала новый бюллетень, предупреждающий о 19 уязвимостях в устройствах vCenter Server и Cloud Foundation, которые злоумышленники может использовать для получения контроля над уязвимой системой.

Наиболее серьезной из них является ошибка произвольной загрузки файлов в службе аналитики (CVE-2021-22005), которая влияет на развертывание vCenter Server 6.7 и 7.0 с конфигурациями по умолчанию. Злоумышленник с сетевым доступом к порту 443 на vCenter Server может ее использовать для выполнения кода, загрузив специально созданный файл. Эксплуатировать уязвимость может использовать любой неаутентифицированный пользователь, кто имеет доступ к vCenter Server через Интернет в ходе атаки низкой сложности.

Несмотря на то, что код эксплойта еще не является общедоступным, Bad Packets уже зафиксировали сканирование на наличие ошибки всего через несколько часов после того, как VMware выпустила обновления. При сканировании используется сведения об обходном пути, предоставленные VMware для клиентов, которые не смогли оперативно установить исправления.

Впрочем, это далеко не первый случай, когда хакеры сканировали и атаковали уязвимые уязвимые серверы VMware vCenter. Например, в феврале они провели массовое сканирование непропатченных устройств vCenter после того, как был выпущен PoC для RCE (CVE-2021-21972), а в начале июня - серверов, которые оставались уязвимыми для CVE-2021-21985 после публикации кода эксплойта.

Статистика Shodan указывает на сейчас тысячи потенциально уязвимых для новой баги и доступных в сети серверов vCenter. VMware предупредили своих клиентов о попытках эксплуатации, особо подчеркнув важность исправления серверов уязвимых для CVE-2021-22005 как можно скорее.

И тут мы не можем не согласиться.

Обнаружена критическая ошибка функции автообнаружения Microsoft Exchange, которая приводит к утечке учетных данных домена и приложений Windows от пользователей со всего мира.

Специалист Guardicore Амит Серпер установил, что ошибка кроется в протоколе Microsoft Autodiscover, а именно в функции почтового сервера Exchange, которая позволяет почтовым клиентам автоматически обнаруживать почтовые серверы, предоставляя им учетные данные для получения конфигураций.

Протокол является важной частью почтовых серверов Exchange, поскольку он позволяет администраторам контролировать, что клиенты используют правильные параметры SMTP, IMAP, LDAP, WebDAV и другие. Но для получения этих автоматических настроек почтовые клиенты обычно проверяют связь с серией заранее определенных URL-адресов, полученных из домена электронного адреса пользователя. Соответственно, если зарегистрировать или скомпрометировать данные URL-адреса, то можно собирать учетные данные пользователей, что, собственно, Серпер и продемонстрировал.

Самое интересное, что все собранные учетные данные поступали через незашифрованные соединения базовой аутентификации HTTP. Исследователь также подробно описал способы сбора учетных данных из более безопасных форм аутентификации, таких как NTLM и Oauth.

За 4 месяца анализа на развернутых в Guardicore ханипотах исследователю удалось захватить 372 072 учетных данных домена Windows и 96 671 уникальную учетную запись из различных приложений, таких как Microsoft Outlook. Анализ захваченных учетных записей показал, что их большая часть относится к сферам производства питания, инвестиций, банкинга, электроэнергетики, недвижимости и логистики.

Проблема достаточно серьезная, так что публика с нетерпением ждет очередную порцию рекомендаций и обновлений от Microsoft. Но как показывает практика, был бы толк.

​​Claroty обнаружили 11 уязвимостей безопасности в системах управления сетью Nagios, которые позволяют удаленно выполнять код с наивысшими привилегиями, приводить к краже учетных данных и фишинговым атакам.

Nagios Core - это популярный инструмент для управления сетями с открытым исходным кодом, аналогичный SolarWinds Network Performance Monitor (NPM), который используется для мониторинга за ИТ-инфраструктурой на предмет выявления сбоев в работе критически важных компонентов. На базе Nagios Core функционирует Nagios XI - проприетарная веб-платформа, предоставляющая организациям контроль за ИТ-операциями и имеющая масштабируемый мониторинг с настраиваемым высокоуровневым обзором хостов, служб и сетевых устройств.

Основными являются две уязвимости удаленного выполнения кода (CVE-2021-37344, CVE-2021-37346) в Nagios XI Switch Wizard и Nagios XI WatchGuard Wizard, уязвимость SQL-инъекции (CVE-2021-37350) в Nagios XI и подделка запроса на стороне сервера (SSRF), влияющая на мастер Nagios XI Docker, а также RCE с пост-аутентификацией в инструменте автоматического обнаружения Nagios XI. В совокупности они дают возможность сбросить веб-оболочку или выполнить сценарии PHP, повышая привилегии до root, таким образом открывает доступ для произвольного выполнения команд.

Проблемы исправлены в обновлениях, выпущенных в августе: Nagios XI 5.8.5 и выше, Nagios XI Switch Wizard 2.5.7 и выше, Nagios XI Docker Wizard 1.13 и выше, а также Nagios XI WatchGuard 1.4.8 и выше.

Это уже далеко нет первый набор баг, в мае этого года Skylight Cyber уже находили 13 слабых мест в безопасности приложения для мониторинга сети, которые могут быть использованы злоумышленником для взлома инфраструктуры без вмешательства оператора.

Системы управления сетью требуют обширного доступа к компонентам сети и, безусловно, могут выходить за ее пределы через брандмауэр, чтобы обслуживать удаленные серверы и соединения. Все это делает такие сетевые концентраторы одной из главных мишеней для хакеров, ориентированных на цепочку поставок.

Достаточно вспомнить SolarWinds и Kaseya, обладающих, безусловно, куда большей и более интересной клиентской базой. Но это вовсе, не означает, что системы Nagios с таким «прекрасным» набором дыр не заинтересует теневой сегмент.

Владельцам камер и видеорегистраторов Hikvision рекомендуется накатить патч на свои девайсы, так как более 70 моделей подвержены критической уязвимости, которая позволяет хакерам удаленно управлять устройствами без какого-либо взаимодействия с пользователем.

Исследователь Watchful IP раскрыл в своем блоге сведения об уязвимости CVE-2021-36260, которая может быть использована для получения root-доступа и полного контроля над устройством. Самое эпичное, что злоумышленник также может использовать взломанные устройства для доступа к внутренним сетям. Со слов исследователя, для эксплуатации уязвимости требуется только доступ к порту сервера http(s) (обычно 80/443).

Как известно, производитель Hikvision крайне популярен в РФ, размещая устройства в коммерческих организациях и на объектах критической инфраструктуры, что потенциально подвергает их серьезному риску.

Китайская компания отметила, что эксплуатация возможна, если злоумышленник имеет сетевой доступ к устройству или если устройство подключено к Интернету. Проблема затрагивает как старые, так и новые камеры и сетевые видеорегистраторы Hikvision.

На сайте производителя представлен полный список уязвимых продуктов, а также пропатченные версии прошивок устройств, что определенно пригодится владельцам Hikvision из числа наших читателей.

​🔖 Актуальный список CTF и Bug Bounty площадок.

🖖🏻 Приветствую тебя user_name.

• Чтобы стать пентестером мирового уровня, тебе необходимо освоить наступательные концепции безопасности, использовать проверенную методологию и постоянно тренироваться. Для тренировок существуют различные площадки, благодаря которым, ты можешь получить практический опыт в различных направлениях.

🚩 CTF:

• https://hack.me/
• http://hax.tor.hu/
• http://pwnable.tw/
• http://reversing.kr/
• http://ctflearn.com/
• https://365.csaw.io/
• https://picoctf.com/
• https://w3challs.com/
• https://hackthebox.eu/
• https://ctf.hackucf.org/
• https://cryptopals.com/
• https://tryhackme.com/
• https://exploit.education/
• http://freehackquest.com/
• https://www.root-me.org/
• https://www.vulnhub.com/
• https://ctf.hacker101.com/
• http://ctf.komodosec.com/
• https://attackdefense.com/
• https://cmdchallenge.com/
• https://immersivelabs.com/
• http://www.hackthissite.org/
• http://ctf.infosecinstitute.com/
• https://www.hacking-lab.com/
• https://captf.com/practice-ctf/
• https://www.hacksplaining.com/
• https://junior.stillhackinganyway.nl/
• https://academy.hackaflag.com.br/

👾 Идем дальше. Программы Bug Bounty позволяют хакеру легально заработать, а владельцам сервисов — своевременно получить информацию о найденных уязвимостях. Если ты давно тренируешься на CTF площадках, то обрати внимания на список Bug Bounty платформ. Этот список я нашел в канале @qa_security, за что ребятам большое спасибо.

• https://firebounty.com/
• https://hackenproof.com
• https://www.synack.com/
• https://www.intigriti.com/
• https://www.hackerone.com/
• https://www.bugcrowd.com/
• https://www.yeswehack.com/
• https://internetbugbounty.org/
• https://www.vulnerability-lab.com/
• https://bughunter.withgoogle.com/
• https://www.facebook.com/whitehat
• https://google-gruyere.appspot.com/
• https://www.microsoft.com/en-us/msrc/bounty

‼️ Дополнительную информацию ты можешь найти по хештегу #Подборка. Твой S.E.

​​Фабиан Восар из Emsisoft раскрыл коварную криптографическую схему REvil, согласно которой в своем вредоносном ПО админы запилили криптобэкдор.

Применялся главный закрытый ключ, который являлся отмычкой REvil для операций своих аффилированных партнеров, позволяя оператору расшифровать любую их жертву. Как раз именно такой ключ попал в руки Bitdefender, о чем мы совсем недавно рассказывали и что полностью подтверждает нашу версию о поимке спецслужбами по наводке США одного из членов банды.

REvil достаточно умело использовали схему. Согласно исследованиям Advanced Intel, минимум с 2020 года на хакерских площадках появились сообщения о том, что операторы RaaS вели переговоры с жертвами в секретных чатах без ведома аффилированных лиц, получая плюсом к причитающимся 30% выкупа и долю партнера, выполнившего всю грязную работу по взлому и шифрованию (обычно доля составляла 70-80%).

Оказалось, что администраторы REvil попросту заводили второй чат, идентичный тому, который используется их партнером для переговоров с жертвой о выкупе. Когда переговоры доходили до критической точки, в чате с аффилированным лицом REvil изображали из себя жертву, прекращающую переговоры и желающую платить выкуп, продолжая реальные переговоры уже самостоятельно в основном чате.

Наличие такого козыря в рукаве давало операторам ransomware полный контроль над расшифровкой любой системы, заблокированной их вредоносным ПО, и в реальности является общей практикой, наблюдаемой в других, более новых группах программ-вымогателей. В частности, после ребрендинга, BlackMatter прямо об этом рассказывали, давая понять, что они оставляют за собой право в любой момент без объяснения причин замкнуть переговорный процесс на себя.

В то же время, по данным Advanced Intelligence, в последних образцах REvil главный ключ, который позволял бы операторам расшифровать зараженную их ПО систему, отсутствует.

С одной стороны, оно и верно: зачем кодерам, в моменте решившим заработать на репутации бренда, брать на себя ответственность за возможные инциденты, когда более выгодно продавать код, сняв в себя риски оказаться на месте задержанного Unknown.

С другой стороны, новых REvil все же следует опасаться, ведь возрождение легендарного бренда может быть ловушкой, нацеленной на обнаружение и разработку акторов первичного доступа, тестировщиков и других подельников банды вымогателей.