Forwarded from Social Engineering
🔘 Фишинг и AirTag.
• Напоминает "Дорожное яблоко" (этот метод использовался в твоем любимом сериале Mr.Robot | 1 сезон 6 серия 9m 18s). и используется в настоящее время. Еще 1 пример применения данного метода, можешь прочитать в нашей статье "true story... Social Engineering".
🧷 https://krebsonsecurity.com/2021/09/apple-airtag-bug-enables-good-samaritan-attack/
‼️ О других методах обмана, фишинге и методах социальной инженерии, ты можешь прочитать в статьях по хештегам #СИ и #Фишинг. Твой S.E. #Новость
🖖🏻 Приветствую тебя user_name.
• Вчера Брайан Кребс опубликовал в своем блоге интересную статью, касательно AirTag. Дело в том, что если AirTag находится в "режиме пропажи", то любой нашедший эту метку, может просканировать её с помощью мобильного телефона и получить номер телефона владельца. Однако этой функцией можно злоупотребить и владелец метки может указать вместо номера телефона любую информацию, в том числе и адрес фишинговой страницы.• Напоминает "Дорожное яблоко" (этот метод использовался в твоем любимом сериале Mr.Robot | 1 сезон 6 серия 9m 18s). и используется в настоящее время. Еще 1 пример применения данного метода, можешь прочитать в нашей статье "true story... Social Engineering".
🧷 https://krebsonsecurity.com/2021/09/apple-airtag-bug-enables-good-samaritan-attack/
‼️ О других методах обмана, фишинге и методах социальной инженерии, ты можешь прочитать в статьях по хештегам #СИ и #Фишинг. Твой S.E. #Новость
Сегодня ночью злоумышленники в рамках масштабной фишинговой кампании атаковали россиян от имени ФНС России.
Залогом успешности кампании, вероятно, должны были стать грамотно выбранные условия, поскольку под конец года россиянам начинают приходить счета по налогам, различные требования и прочие фискальные документы.
Что примечательно, адресная строка отправителя электронных писем умело камуфлировалась доменом nalog.ru, а в отправления содержат 20-метровые вредоносные вложения.
Прикол в том, что IOCи почти полностью совпадают со вскрытой в июне этого года украинскими спецслужбами фишинговой кампанией, направленной на органы власти и объекты критической инфраструктуры. Есть мнение, что это ответочка.
Залогом успешности кампании, вероятно, должны были стать грамотно выбранные условия, поскольку под конец года россиянам начинают приходить счета по налогам, различные требования и прочие фискальные документы.
Что примечательно, адресная строка отправителя электронных писем умело камуфлировалась доменом nalog.ru, а в отправления содержат 20-метровые вредоносные вложения.
Прикол в том, что IOCи почти полностью совпадают со вскрытой в июне этого года украинскими спецслужбами фишинговой кампанией, направленной на органы власти и объекты критической инфраструктуры. Есть мнение, что это ответочка.
Британские ученые доказали, ну и молодцы ...
Исследователи из Университета Бирмингема и Университета Суррея в Великобритании обнаружили, что в Apple Pay и картах Visa возможно осуществлять безлимитные транзакции с заблокированного iPhone. Метод сродни цифровой версии карманной кражи. Он работает по воздуху, даже если iPhone находится в сумке или вовсе в чьем-то кармане.
Изучая ретрансляционные атаки на бесконтактные платежи, исследователи обнаружили, что в обычных условиях для совершения платежа, пользователям iPhone необходимо авторизовать его, разблокировав телефон с помощью Face ID, Touch ID или пароля.
Однако в некоторых случаях, например, при оплате проезда в общественном транспорте, разблокировка устройства делала процесс оплаты неудобным и Apple Pay решила проблему с помощью функции Express Transit, которая позволяет совершать транзакцию без разблокировки устройства.
Функция Express Transit работает с определенными службами, такими как турникеты, со считывателями карт, которые отправляют нестандартную последовательность байтов в обход экрана блокировки Apple Pay. Эту функцию можно использовать для несанкционированной оплаты с заблокированного iPhone с помощью карты Visa и любого устройства чтения EMV.
Ребятам удалось сымитировать транзакцию с ограничением доступа к билетам, используя устройство Proxmark, действующее как устройство чтения карт, которое обменивалось данными с целевым iPhone, и телефоном Android с чипом NFC, который в свою очередь обменивался данными с платежным терминалом.
Этот метод представляет собой активную атаку «злоумышленник посередине», при которой Proxmark воспроизводит «магические байты» на iPhone, чтобы обмануть его, заставив поверить в то, что это транзакция с билетом, поэтому аутентификация пользователя для авторизации платежа не требуется.
Самое интересное, что уязвимость до сих пор не исправлена, а результаты исследования были отправлены в Apple и Visa еще в октябре 2020 года и в мае 2021 года соответственно, но ни одна из компаний не устранил проблему.
Вместо этого гиганты перекладывают ответственность друг на друга, поэтому уязвимость все еще присутствует и может быть использована злоумышленниками с помощью стандартного оборудования и ПО.
Исследователи из Университета Бирмингема и Университета Суррея в Великобритании обнаружили, что в Apple Pay и картах Visa возможно осуществлять безлимитные транзакции с заблокированного iPhone. Метод сродни цифровой версии карманной кражи. Он работает по воздуху, даже если iPhone находится в сумке или вовсе в чьем-то кармане.
Изучая ретрансляционные атаки на бесконтактные платежи, исследователи обнаружили, что в обычных условиях для совершения платежа, пользователям iPhone необходимо авторизовать его, разблокировав телефон с помощью Face ID, Touch ID или пароля.
Однако в некоторых случаях, например, при оплате проезда в общественном транспорте, разблокировка устройства делала процесс оплаты неудобным и Apple Pay решила проблему с помощью функции Express Transit, которая позволяет совершать транзакцию без разблокировки устройства.
Функция Express Transit работает с определенными службами, такими как турникеты, со считывателями карт, которые отправляют нестандартную последовательность байтов в обход экрана блокировки Apple Pay. Эту функцию можно использовать для несанкционированной оплаты с заблокированного iPhone с помощью карты Visa и любого устройства чтения EMV.
Ребятам удалось сымитировать транзакцию с ограничением доступа к билетам, используя устройство Proxmark, действующее как устройство чтения карт, которое обменивалось данными с целевым iPhone, и телефоном Android с чипом NFC, который в свою очередь обменивался данными с платежным терминалом.
Этот метод представляет собой активную атаку «злоумышленник посередине», при которой Proxmark воспроизводит «магические байты» на iPhone, чтобы обмануть его, заставив поверить в то, что это транзакция с билетом, поэтому аутентификация пользователя для авторизации платежа не требуется.
Самое интересное, что уязвимость до сих пор не исправлена, а результаты исследования были отправлены в Apple и Visa еще в октябре 2020 года и в мае 2021 года соответственно, но ни одна из компаний не устранил проблему.
Вместо этого гиганты перекладывают ответственность друг на друга, поэтому уязвимость все еще присутствует и может быть использована злоумышленниками с помощью стандартного оборудования и ПО.
Транспортный гигант Forward Air признал утечку данных после атаки с использованием ransomware, известной как Hades, которая произошла еще 15 декабря 2020 года. Как выяснилось позже, в реальности же, за атакой стояли Evil Corp, действующие таким образом из-под санкций.
Согласно подсчетам Комиссии по ценным бумагам и биржам США компания понесла убытки в размере 7,5 млн. долларов из-за необходимости компании временно отключить электронные интерфейсы обмена данными со своими клиентами.
Помимо того, что атака парализовала работу сети и привела к невозможности выпуска грузов для транспорта, в руки к злоумышленникам также попала и личная информация в отношении сотрудников компании: имена сотрудников, адреса, даты рождения, номера социального страхования, водительских прав, паспортов и банковских счетов.
Хакеры создали учетную запись Twitter, через которую намеревались сливать украденные данные пока не получат выкуп, однако этого не произошло.
Хотя Forward Air полагает, что нет никаких признаков неправомерного использования данных, они оплатили сотрудникам услуги myTrueIdentity.
Несмотря на это, мы все же полагаем, что в таких случаях можно считать все данные скомпрометированными и уже проданными под целевые фишинговые атаки или под прочий негатив.
Согласно подсчетам Комиссии по ценным бумагам и биржам США компания понесла убытки в размере 7,5 млн. долларов из-за необходимости компании временно отключить электронные интерфейсы обмена данными со своими клиентами.
Помимо того, что атака парализовала работу сети и привела к невозможности выпуска грузов для транспорта, в руки к злоумышленникам также попала и личная информация в отношении сотрудников компании: имена сотрудников, адреса, даты рождения, номера социального страхования, водительских прав, паспортов и банковских счетов.
Хакеры создали учетную запись Twitter, через которую намеревались сливать украденные данные пока не получат выкуп, однако этого не произошло.
Хотя Forward Air полагает, что нет никаких признаков неправомерного использования данных, они оплатили сотрудникам услуги myTrueIdentity.
Несмотря на это, мы все же полагаем, что в таких случаях можно считать все данные скомпрометированными и уже проданными под целевые фишинговые атаки или под прочий негатив.
FreightWaves
News Alert: Forward Air suffering significant IT outage
The communication from the company to its customers said freight now moving will make it to its destination.
Мы писали о том, как Microsoft Threat Intelligence Center обнаружили бэкдор FoggyWeb под сервера Active Directory (AD FS) и неведомым образом атрибутировали его принадлежность к Nobelium.
Этой же АРТ, по данным Kaspersky Security, принадлежит и вновь раскрытый бэкдор Tomiris. Новое вредоносное ПО было впервые обнаружено в июне в ходе расследования серии атак с перехватом DNS в нескольких правительственных зонах государств СНГ, первые образцы были задействованы в дикой природе еще в феврале 2021 года.
Жертвы инцидентов перенаправлялись на подконтрольные хакерам копии страниц веб-почты, которые перехватывали их учетные данные, а в некоторых случаях, предлагали пользователям установить обновление ПО, ссылка на который вела к исполняемому файлу-загрузчику Tomiris.
Tomiris - это бэкдор, написанный на Go, постоянно запрашивающий у C2 исполняемые файлы для загрузки и выполнения кода в системе жертвы. Перед инициированием каких-либо операций он не подает активности не менее девяти минут, чтобы попытаться обойти системы анализа на основе песочницы. Адрес C2 не встроен непосредственно в Tomiris: вместо этого он подключается к серверу сигнализации, который предоставляет URL-адрес и порт, к которому должен подключаться бэкдор.
Другой вариант ПО также собирает и извлекает документы из скомпрометированных систем, автоматически загружая последние файлы, соответствующие интересующим расширениям, включая .doc, .docx, .pdf, .rar и др.
Анализируя Tomiris, эксперты обнаружили определенное сходство с вредоносным ПО Sunshuttle (например, оба они разработаны на Go, постоянство через запланированные задачи, та же схема кодирования для связи C2, автоматические триггеры сна для уменьшения сетевого шума), что, с вероятностью, указывает на общее авторство или общие методы разработки.
Однако в Kaspersky признаются, что с достаточной уверенностью утверждать этого нельзя, допуская возможности «атаки под ложным флагом». Из-за громкого характера Sunshuttle другие субъекты угроз могли целенаправленно попытаться воспроизвести его дизайн, чтобы ввести аналитиков в заблуждение.
Вместе с тем, косвенным доказательством связи может быть и то, что другие машины в сети, зараженные Tomiris, были заражены бэкдором Kazuar. Но, с другой стороны, самый ранний из известных нам образцов Tomiris появился в феврале 2021, за месяц до того, как Sunshuttle был представлен миру, и вряд ли другие APT знали о существовании этого инструмента или попытались бы его имитировать до раскрытия.
Гораздо более вероятна (но пока не подтверждена) гипотеза того, что авторы Sunshuttle начали разработку Tomiris примерно в декабре 2020 года, когда была обнаружена операция SolarWinds, в качестве замены сгоревшего набора инструментов.
И, по нашему глубокому мнению, за атакой на SolarWinds скорее стояли именно китайские APT, которые получили исходники Exhcange еще в ходе кампании Sunburst, провели их исследование и обнаружили уязвимости, которые потом легли в основу ProxyLogon. А уже в дальнейшем использовали выявленные ошибки для новой масштабной кибератаки.
До сих пор вразумительных доказательств так никто и не представил, а тем временем имеем - что имеем.
Этой же АРТ, по данным Kaspersky Security, принадлежит и вновь раскрытый бэкдор Tomiris. Новое вредоносное ПО было впервые обнаружено в июне в ходе расследования серии атак с перехватом DNS в нескольких правительственных зонах государств СНГ, первые образцы были задействованы в дикой природе еще в феврале 2021 года.
Жертвы инцидентов перенаправлялись на подконтрольные хакерам копии страниц веб-почты, которые перехватывали их учетные данные, а в некоторых случаях, предлагали пользователям установить обновление ПО, ссылка на который вела к исполняемому файлу-загрузчику Tomiris.
Tomiris - это бэкдор, написанный на Go, постоянно запрашивающий у C2 исполняемые файлы для загрузки и выполнения кода в системе жертвы. Перед инициированием каких-либо операций он не подает активности не менее девяти минут, чтобы попытаться обойти системы анализа на основе песочницы. Адрес C2 не встроен непосредственно в Tomiris: вместо этого он подключается к серверу сигнализации, который предоставляет URL-адрес и порт, к которому должен подключаться бэкдор.
Другой вариант ПО также собирает и извлекает документы из скомпрометированных систем, автоматически загружая последние файлы, соответствующие интересующим расширениям, включая .doc, .docx, .pdf, .rar и др.
Анализируя Tomiris, эксперты обнаружили определенное сходство с вредоносным ПО Sunshuttle (например, оба они разработаны на Go, постоянство через запланированные задачи, та же схема кодирования для связи C2, автоматические триггеры сна для уменьшения сетевого шума), что, с вероятностью, указывает на общее авторство или общие методы разработки.
Однако в Kaspersky признаются, что с достаточной уверенностью утверждать этого нельзя, допуская возможности «атаки под ложным флагом». Из-за громкого характера Sunshuttle другие субъекты угроз могли целенаправленно попытаться воспроизвести его дизайн, чтобы ввести аналитиков в заблуждение.
Вместе с тем, косвенным доказательством связи может быть и то, что другие машины в сети, зараженные Tomiris, были заражены бэкдором Kazuar. Но, с другой стороны, самый ранний из известных нам образцов Tomiris появился в феврале 2021, за месяц до того, как Sunshuttle был представлен миру, и вряд ли другие APT знали о существовании этого инструмента или попытались бы его имитировать до раскрытия.
Гораздо более вероятна (но пока не подтверждена) гипотеза того, что авторы Sunshuttle начали разработку Tomiris примерно в декабре 2020 года, когда была обнаружена операция SolarWinds, в качестве замены сгоревшего набора инструментов.
И, по нашему глубокому мнению, за атакой на SolarWinds скорее стояли именно китайские APT, которые получили исходники Exhcange еще в ходе кампании Sunburst, провели их исследование и обнаружили уязвимости, которые потом легли в основу ProxyLogon. А уже в дальнейшем использовали выявленные ошибки для новой масштабной кибератаки.
До сих пор вразумительных доказательств так никто и не представил, а тем временем имеем - что имеем.
Securelist
Tomiris backdoor and its connection to Sunshuttle and Kazuar
We discovered a campaign delivering the Tomiris backdoor that shows a number of similarities with the Sunshuttle malware distributed by DarkHalo APT and target overlaps with Kazuar.
Google, похоже, решили догнать Microsoft в части какчества своего кода и коликчества выявленных в своих продуктах 0-day уязвимостей, активно используемых в дикой природе.
Пяти дней не прошло с предыдущего обновления Chrome, которым была устранена подобная ошибка, как появился новый патч, который закрывает уже два 0-day. И оба, что характерно, используются хакерами.
Технических подробностей Google, как обычно, не дают, однако, судя по представленному скудному описанию, CVE-2021-37976 касается утечки информации в ядре и имеет среднюю степень критичности. Вторая же ошибка, CVE-2021-37975, является критичной и относится к UAF-уязвимостям (Use After Free). Такие дырки обычно приводят к удаленному выполнению кода со стороны злоумышленника. По-пацански выражаясь - атас.
До кучи закрыли еще и критичную уязвимость CVE-2021-37974, которая тоже вроде как 0-day и UAF, но не наблюдается в дикой природе.
Таким образом, Google с начала года закрыли, если нам не изменяет склероз, четырнадцать 0-day в Chrome. Впечатляющий результат.
Всем, кто использует Chrome, срочно обновляться.
- Дырков эксплуатируете?
- Нет, только делаем.
- Красивое!
Пяти дней не прошло с предыдущего обновления Chrome, которым была устранена подобная ошибка, как появился новый патч, который закрывает уже два 0-day. И оба, что характерно, используются хакерами.
Технических подробностей Google, как обычно, не дают, однако, судя по представленному скудному описанию, CVE-2021-37976 касается утечки информации в ядре и имеет среднюю степень критичности. Вторая же ошибка, CVE-2021-37975, является критичной и относится к UAF-уязвимостям (Use After Free). Такие дырки обычно приводят к удаленному выполнению кода со стороны злоумышленника. По-пацански выражаясь - атас.
До кучи закрыли еще и критичную уязвимость CVE-2021-37974, которая тоже вроде как 0-day и UAF, но не наблюдается в дикой природе.
Таким образом, Google с начала года закрыли, если нам не изменяет склероз, четырнадцать 0-day в Chrome. Впечатляющий результат.
Всем, кто использует Chrome, срочно обновляться.
- Дырков эксплуатируете?
- Нет, только делаем.
- Красивое!
Chrome Releases
Stable Channel Update for Desktop
The Stable channel has been updated to 94.0.4606.71 for Windows, Mac and Linux which will roll out over the coming days/weeks. Extended stab...
Forwarded from Эксплойт | Live
Google решил лишить пользователей возможности отключать рекламу в браузере.
Речь о переходе IT-гиганта на Manifest v3 - это платформа расширений для Chrome.
Новинка вынуждает разрабов использовать новый интерфейс, а он в свою очередь не дает устанавливать пользователям те расширения, которые не нравятся Google. В их число включены блокировщики рекламы.
После перехода на Manifest v3 браузер ограничит число фильтров в блокировщиках и это может сказаться на их эффективности. По словам разрабов таких расширений, как uBlock Origin, uMatrix и NoScript, тех фильтров, которые разрешает использовать интерфейс, не хватит на сборку даже простейшего работоспособного софта.
В настоящее время значительная доля выручки Google – доход от рекламы. За второй квартал поступления в этом сегменте составили $50,4 млрд, $35 млрд из них пришлись на Google-поиск. Выходит, что этого "довольствия" мало, и можно поступиться желанием и удобством пользователей, для еще большей выгоды одной из самых богатых компаний мира.
Речь о переходе IT-гиганта на Manifest v3 - это платформа расширений для Chrome.
Новинка вынуждает разрабов использовать новый интерфейс, а он в свою очередь не дает устанавливать пользователям те расширения, которые не нравятся Google. В их число включены блокировщики рекламы.
После перехода на Manifest v3 браузер ограничит число фильтров в блокировщиках и это может сказаться на их эффективности. По словам разрабов таких расширений, как uBlock Origin, uMatrix и NoScript, тех фильтров, которые разрешает использовать интерфейс, не хватит на сборку даже простейшего работоспособного софта.
В настоящее время значительная доля выручки Google – доход от рекламы. За второй квартал поступления в этом сегменте составили $50,4 млрд, $35 млрд из них пришлись на Google-поиск. Выходит, что этого "довольствия" мало, и можно поступиться желанием и удобством пользователей, для еще большей выгоды одной из самых богатых компаний мира.
Китайская APT GhostEmperor внедряет новый руткит Demodex для Windows 10.
С таким слоганом выступили на конференции по безопасности SAS 2021 специалисты из компании Kaspersky Lab опубликовав подробности о новой китайской хакерской группе, работа которых нацелена на правительственные учреждения и телекоммуникационные компании Юго-Восточной Азии. По мнению экспертов, группа осуществляет свою деятельность как минимум с июля 2020 года и использует очень сложные инструменты для получения и сохранения долгосрочного доступа к системам своих жертвам. Новый руткит может работать даже в последних версиях операционной системы Windows 10.
Точкой входа для GhostEmperor использовались известные уязвимости в серверном программном обеспечении Apache, Oracle и Microsoft Exchange с целью проникновения в сеть и преодоления периметра, а затем применялся набор различных скриптов и инструментов для развертывания бэкдоров в более чувствительных участках сети жертвы. Например, GhostEmperor устанавливала Cheat Engine (читерская геймерская программка) для обхода функции безопасности Windows PatchGuard и установки руткита в ОС Windows.
Примечательно, что Demodex чрезвычайно продвинутый руткит и позволяет сохранить доступ к устройству даже после переустановки ОС. Не менее интересно, что вредоносное ПО хакерской группировки имело широкий набор необычных и сложных методов защиты от криминалистического исследования и анализа вредоносного ПО. Еще один хитрый трюк, заключался в изменении связи между зараженными хостами и его серверами управления, путем переупаковки данных в поддельные мультимедийные форматы (RIFF, JPEG или PNG).
Представители Лаборатории по ряду причин целей злоумышленников не раскрыли, но оговорились, что подавляющее большинство атак было сосредоточено на телекоммуникационных компаниях и государственных организациях из Юго-Восточной Азии, таких как Малайзия, Таиланд, Вьетнам, Индонезия. Кроме того, согласно отчету, специалистами фиксировались инциденты в других геополитических областях, включая такие страны, как Египет, Эфиопия и Афганистан.
С таким слоганом выступили на конференции по безопасности SAS 2021 специалисты из компании Kaspersky Lab опубликовав подробности о новой китайской хакерской группе, работа которых нацелена на правительственные учреждения и телекоммуникационные компании Юго-Восточной Азии. По мнению экспертов, группа осуществляет свою деятельность как минимум с июля 2020 года и использует очень сложные инструменты для получения и сохранения долгосрочного доступа к системам своих жертвам. Новый руткит может работать даже в последних версиях операционной системы Windows 10.
Точкой входа для GhostEmperor использовались известные уязвимости в серверном программном обеспечении Apache, Oracle и Microsoft Exchange с целью проникновения в сеть и преодоления периметра, а затем применялся набор различных скриптов и инструментов для развертывания бэкдоров в более чувствительных участках сети жертвы. Например, GhostEmperor устанавливала Cheat Engine (читерская геймерская программка) для обхода функции безопасности Windows PatchGuard и установки руткита в ОС Windows.
Примечательно, что Demodex чрезвычайно продвинутый руткит и позволяет сохранить доступ к устройству даже после переустановки ОС. Не менее интересно, что вредоносное ПО хакерской группировки имело широкий набор необычных и сложных методов защиты от криминалистического исследования и анализа вредоносного ПО. Еще один хитрый трюк, заключался в изменении связи между зараженными хостами и его серверами управления, путем переупаковки данных в поддельные мультимедийные форматы (RIFF, JPEG или PNG).
Представители Лаборатории по ряду причин целей злоумышленников не раскрыли, но оговорились, что подавляющее большинство атак было сосредоточено на телекоммуникационных компаниях и государственных организациях из Юго-Восточной Азии, таких как Малайзия, Таиланд, Вьетнам, Индонезия. Кроме того, согласно отчету, специалистами фиксировались инциденты в других геополитических областях, включая такие страны, как Египет, Эфиопия и Афганистан.
Securelist
GhostEmperor: From ProxyLogon to kernel mode
With a long-standing operation, high profile victims, advanced toolset and no affinity to a known threat actor, we decided to dub the threat GhostEmperor.
Счет на 7 миллионов долларов выкатили Conti компании JVCKenwood после атаки с использованием ransomware.
JVCKenwood - всемерно известный японский производитель электроники со штатом в 17 тысяч сотрудников и выручкой более 2,45 миллиарда долларов. Компания производит автомобильное, медицинское и радиооборудование, а также портативные электростанции.
22 сентября сервера в европейских офисах компании были взломаны, в результате инцидента похищено 1,7 ТБ данных.
JVCKENWOOD признали инцидент и сделали соответствующие заявления, согласно которым утечки данных о клиентах не подтверждены, ведется расследование.
Однако в переговорном чате банда вымогателей утверждает, что украла 1,5 ТБ файлов, и требует 7 миллионов долларов, чтобы не публиковать данные и предоставить дешифратор файлов. В качестве доказательства кражи данных злоумышленники предоставили PDF-файл отсканированного паспорта сотрудника JVCKenwood.
Представитель JVCKenwood больше не выходил на связь с хакерами, показав, что компания не намерена платить выкуп. Ну ну, слышали мы такое.
JVCKenwood - всемерно известный японский производитель электроники со штатом в 17 тысяч сотрудников и выручкой более 2,45 миллиарда долларов. Компания производит автомобильное, медицинское и радиооборудование, а также портативные электростанции.
22 сентября сервера в европейских офисах компании были взломаны, в результате инцидента похищено 1,7 ТБ данных.
JVCKENWOOD признали инцидент и сделали соответствующие заявления, согласно которым утечки данных о клиентах не подтверждены, ведется расследование.
Однако в переговорном чате банда вымогателей утверждает, что украла 1,5 ТБ файлов, и требует 7 миллионов долларов, чтобы не публиковать данные и предоставить дешифратор файлов. В качестве доказательства кражи данных злоумышленники предоставили PDF-файл отсканированного паспорта сотрудника JVCKenwood.
Представитель JVCKenwood больше не выходил на связь с хакерами, показав, что компания не намерена платить выкуп. Ну ну, слышали мы такое.
QNAP продолжает ударными темпами латать дыры, закрывая уязвимости, которые позволяют злоумышленникам удаленно внедрять и выполнять вредоносный код и команды на уязвимых устройствах NAS.
Тайваньский производитель сетевых хранилищ NAS вновь выпустил обновления безопасности и исправил 3 уязвимости безопасности межсайтового скриптинга (XSS) с высокой степенью серьезности (CVE-2021-34354, CVE-2021-34356 и CVE-2021-34355), влияющие на устройства, на которых установлено программное обеспечение Photo Station без исправлений (выпуски до 5.4.10, 5.7.13 или 6.0.18).
Сохраненные XSS-атаки позволяют злоумышленникам удаленно внедрять вредоносный код, постоянно сохраняя его на целевых серверах после успешной эксплуатации.
QNAP также исправил сохраненную уязвимость XSS в Image2PDF, влияющую на устройства, работающие под управлением версий ПО, выпущеннего до Image2PDF 2.1.5.
Компания как мы ранее сообщали также устранила ошибку CVE-2021-34352, влияющую на некоторые устройства QNAP с истекшим сроком службы (EOL), на которых запущено ПО для IP-видеонаблюдения QVR, которое помогает злоумышленникам запускать произвольные команды. Три других недостатка в QVR также были исправлены в понедельник.
Все три приложения в непропатченных версиях уже подвергались атакам. В сентябре 2020 года QNAP фиксировала атаки ransomware на открытых устройствах хранения NAS. Устройства QNAP были атакованы AgeLocker, нацеленной на старые версии Photo Station, а также подвергались атакам программ-вымогателей eCh0raix, эксплуатировавших недостатки в приложении Photo Station, начиная с июня 2020 года.
Учитывая это, рекомендуем как можно скорее обновить QVR, Photo Station и Image2PDF до последних доступных версий.
Тайваньский производитель сетевых хранилищ NAS вновь выпустил обновления безопасности и исправил 3 уязвимости безопасности межсайтового скриптинга (XSS) с высокой степенью серьезности (CVE-2021-34354, CVE-2021-34356 и CVE-2021-34355), влияющие на устройства, на которых установлено программное обеспечение Photo Station без исправлений (выпуски до 5.4.10, 5.7.13 или 6.0.18).
Сохраненные XSS-атаки позволяют злоумышленникам удаленно внедрять вредоносный код, постоянно сохраняя его на целевых серверах после успешной эксплуатации.
QNAP также исправил сохраненную уязвимость XSS в Image2PDF, влияющую на устройства, работающие под управлением версий ПО, выпущеннего до Image2PDF 2.1.5.
Компания как мы ранее сообщали также устранила ошибку CVE-2021-34352, влияющую на некоторые устройства QNAP с истекшим сроком службы (EOL), на которых запущено ПО для IP-видеонаблюдения QVR, которое помогает злоумышленникам запускать произвольные команды. Три других недостатка в QVR также были исправлены в понедельник.
Все три приложения в непропатченных версиях уже подвергались атакам. В сентябре 2020 года QNAP фиксировала атаки ransomware на открытых устройствах хранения NAS. Устройства QNAP были атакованы AgeLocker, нацеленной на старые версии Photo Station, а также подвергались атакам программ-вымогателей eCh0raix, эксплуатировавших недостатки в приложении Photo Station, начиная с июня 2020 года.
Учитывая это, рекомендуем как можно скорее обновить QVR, Photo Station и Image2PDF до последних доступных версий.
owasp.org
Cross Site Scripting (XSS) | OWASP Foundation
Cross Site Scripting (XSS) on the main website for The OWASP Foundation. OWASP is a nonprofit foundation that works to improve the security of software.
В деле Kaseya и REvil открываются новые обстоятельства. Конгресс США вызывал на ковер директора ФБР с требованием объяснить задержку с передачей универсального ключа дешифрования жертвам атаки, а также в целом прояснить стратегию ведомства по реагированию и отражению атак ransomware.
Как оказалось, ровно на 3 недели ФБР откладывали передачу технологии пострадавшим от REvil компаниям, в числе которых были и крупные предприятия, школы и больницы, и что стоило бюджету миллионов долларов, по мнению конгрессменов.
На прошлой неделе директор ФБР Кристофер А. Рэй дал показания перед Конгрессом, заявив, что ведомство удерживало расшифровку почти 3 недели, потому что оно планировало операцию по уничтожению российской банды вымогателей REvil.
Однако до того, как ФБР смогло до конца реализовать свой план, REvil прекратили работу, отключив инфраструктуру в середине июля. Рэй отметил перед конгрессом, что задержка была прямым результатом координации ФБР с другими агентствами и зарубежными союзниками, воздерживаясь от предоставления дополнительной информации из-за продолжающегося расследования.
Руководитель ФБР при этом также подчеркнул, что мобилизуются ресурсы не только по стране, но и по всему миру в операции против вымогателей.
Другой причиной задержки в оказании помощи жертвам Kaseya стала временная пауза на тестирование и проверку ключа дешифрования, а также создание дешифратора. Но тут он слукавил, ведь универсальный ключ, предоставленный ФБР, был быстро использован Emsisoft, который протестировал его и разработал дешифратор в течение 10 минут.
Выводы делайте сами.
Как оказалось, ровно на 3 недели ФБР откладывали передачу технологии пострадавшим от REvil компаниям, в числе которых были и крупные предприятия, школы и больницы, и что стоило бюджету миллионов долларов, по мнению конгрессменов.
На прошлой неделе директор ФБР Кристофер А. Рэй дал показания перед Конгрессом, заявив, что ведомство удерживало расшифровку почти 3 недели, потому что оно планировало операцию по уничтожению российской банды вымогателей REvil.
Однако до того, как ФБР смогло до конца реализовать свой план, REvil прекратили работу, отключив инфраструктуру в середине июля. Рэй отметил перед конгрессом, что задержка была прямым результатом координации ФБР с другими агентствами и зарубежными союзниками, воздерживаясь от предоставления дополнительной информации из-за продолжающегося расследования.
Руководитель ФБР при этом также подчеркнул, что мобилизуются ресурсы не только по стране, но и по всему миру в операции против вымогателей.
Другой причиной задержки в оказании помощи жертвам Kaseya стала временная пауза на тестирование и проверку ключа дешифрования, а также создание дешифратора. Но тут он слукавил, ведь универсальный ключ, предоставленный ФБР, был быстро использован Emsisoft, который протестировал его и разработал дешифратор в течение 10 минут.
Выводы делайте сами.
House Committee on Oversight and Reform
Oversight Committee Seeks Answers on FBI’s Handling of Widespread Ransomware Attack
Washington, D.C. (September 29, 2021)— Today, Oversight and Reform Committee Chairwoman Carolyn B. Maloney and Ranking Member James Comer, sent a letter to the Federal Bureau of Investigation (FBI) Director Christopher Wray requesting a briefing on the FBI’s…
Forwarded from infosecurity
😈 Обход обнаружения в CLR: пример атаки и способы ее выявления.
Способы выявления аномальной активности в CLR и новые техники выполнения кода на удаленном хосте.
В данной статье мы продемонстрируем технику ухода от обнаружения с использованием очистки памяти CLR, а также приведем практические советы для аналитиков SOC по выявлению таких атак.
🧷 https://securelist.ru/detection-evasion-in-clr-and-tips-on-how-to-detect-such-attacks/103633/
Способы выявления аномальной активности в CLR и новые техники выполнения кода на удаленном хосте.
В данной статье мы продемонстрируем технику ухода от обнаружения с использованием очистки памяти CLR, а также приведем практические советы для аналитиков SOC по выявлению таких атак.
🧷 https://securelist.ru/detection-evasion-in-clr-and-tips-on-how-to-detect-such-attacks/103633/
securelist.ru
Очистка памяти CLR и способы обнаружения таких атак
В данной статье мы продемонстрируем технику ухода от обнаружения с использованием очистки памяти CLR, а также приведем практические советы для аналитиков SOC по выявлению таких атак.
Conti пригрозили своим «клиентам» дополнительными санкциями в случае слива переговоров и деталей сделки по выкупу журналистам или расследователям.
Причем вымогатели обещают реагировать даже если, уникальный URL-адрес так называемого платежного сайта станет известен журналистам через утечки с порталов сканирования вредоносных программ, таких как, например, VirusTotal, ведь двоичный файл ransomware содержит соответствующие ссылки для доступа к страницам переговоров.
Поэтому в последнее время новостные агентства в сфере кибербезопасности активно сотрудничают с ними, получая доступ к этим секретным чатам и публикуя придавая огласке инциденты, которые скрывались даже самими жертвами.
Conti крайне возмущены разглашением деталей и скринов переговоров JVCKenwood, о которой мы сообщали совсем недавно. В связи с этим, хакеры решили прекратить контакт и опубликовать данные, украденные во время атаки на компанию. Как сообщили Conti, на этой неделе они снова замечали скриншоты из своих переговорных чатов, циркулирующие в социальных сетях, и поэтому хакеры определили новые правила для будущих жертв.
Они заявили, что готовы пожертвовать 10 миллионами ожидаемого выкупа, если обнаружат контакты пострадавшего с журналистами или расследователями, опубликовав все похищенные у компании данные. При этом если это произойдет после того, как выкуп уже оплачен жертвой, которая разгласила переговоры, хакеры сольют чужие файлы в качестве возмездия.
Успех любит тишину, а в условиях активизации борьбы с ransomware - для вымогателей это становится возможностью выживания. Вслед за правительственными структурами, крутить гайки будут и сами хакеры, двигаясь в сторону все большей конспирации своих атак.
Мы помним, как LockBit, Darkside или BlackMatter, пообещали не атаковать критически важную инфраструктуру, Ragnar_Locker также угрожали жертвам слить их данные, если они обратятся в правоохранительные органы. Grief и DoppelPaymer обещали стирать сервера жертв, в случае если они будут использовать профессиональных переговорщиков.
Но на самом деле, мы точно знаем, что эти правила ничего не значат для самих преступников, готовых их нарушать ради наживы.
Причем вымогатели обещают реагировать даже если, уникальный URL-адрес так называемого платежного сайта станет известен журналистам через утечки с порталов сканирования вредоносных программ, таких как, например, VirusTotal, ведь двоичный файл ransomware содержит соответствующие ссылки для доступа к страницам переговоров.
Поэтому в последнее время новостные агентства в сфере кибербезопасности активно сотрудничают с ними, получая доступ к этим секретным чатам и публикуя придавая огласке инциденты, которые скрывались даже самими жертвами.
Conti крайне возмущены разглашением деталей и скринов переговоров JVCKenwood, о которой мы сообщали совсем недавно. В связи с этим, хакеры решили прекратить контакт и опубликовать данные, украденные во время атаки на компанию. Как сообщили Conti, на этой неделе они снова замечали скриншоты из своих переговорных чатов, циркулирующие в социальных сетях, и поэтому хакеры определили новые правила для будущих жертв.
Они заявили, что готовы пожертвовать 10 миллионами ожидаемого выкупа, если обнаружат контакты пострадавшего с журналистами или расследователями, опубликовав все похищенные у компании данные. При этом если это произойдет после того, как выкуп уже оплачен жертвой, которая разгласила переговоры, хакеры сольют чужие файлы в качестве возмездия.
Успех любит тишину, а в условиях активизации борьбы с ransomware - для вымогателей это становится возможностью выживания. Вслед за правительственными структурами, крутить гайки будут и сами хакеры, двигаясь в сторону все большей конспирации своих атак.
Мы помним, как LockBit, Darkside или BlackMatter, пообещали не атаковать критически важную инфраструктуру, Ragnar_Locker также угрожали жертвам слить их данные, если они обратятся в правоохранительные органы. Grief и DoppelPaymer обещали стирать сервера жертв, в случае если они будут использовать профессиональных переговорщиков.
Но на самом деле, мы точно знаем, что эти правила ничего не значат для самих преступников, готовых их нарушать ради наживы.
Несмотря на все меры противодействия, «золотая лихорадка» ransomware в самом разгаре, по статистике только в первой половине 2021 года количество атак вымогателей увеличилось более чем на 90%, а 69% всех атак на предприятия - это ransomware.
При этом средняя утечка данных обходится жертвам в 4,24 миллиона долларов за инцидент, что является самым высоким показателем за 17 лет. Только за 2020 год количество платежей выкупа превысило более 400 млн. долларов, что в 4 раза превышает показатели 2019.
Но 2021 год рискует стать пиковым по числу инцидентов в этой области: новая группа вымогателей предлагает услугу RaaS в более упрощенном варианте.
Как правило, крупные картели вымогателей, такие как REvil или Conti взимают со своих партнеров комиссию в размере 30% за выкуп. Картели поставляют вредоносное ПО, а злоумышленники проводят атаки. Новая группа Ranion в даркнете предлагает за предоплату свое вредоносное ПО без дополнительных сборов за обслуживание, что потенциально упрощает кибервымогательство, ведь преступникам не требуется возвращать поставщику вредоносного ПО треть суммы выкупа.
Ranion использует шифрование AES 256 и практически не поддается обнаружению средствами защиты. Различные пакеты ВПО Ranion предлагаются к реализации по цене от 150 до 1900 долларов. При этом более дорогие предложения гарантируют полностью необнаруживаемый (FUD) статус.
Предполагается, что клиентам предоставляется уникальная заглушка, что делает каждый файл вредоносного ПО уникальным и, следовательно, трудным для обнаружения. Заглушка является исполняемым файлом и упаковщиком криптографии. Ranion также позволяет диверсифицировать время заражения и начала запуска шифратора.
Кроме того, Ranion предлагают своим клиентам услуги поддержки в режиме реального времени.
Безусловно, Ranion не способен потеснить или составить весомую конкуренцию крупным игрокам ransomware, но окучить жертв меньшего бюджета - в самый раз.
При этом средняя утечка данных обходится жертвам в 4,24 миллиона долларов за инцидент, что является самым высоким показателем за 17 лет. Только за 2020 год количество платежей выкупа превысило более 400 млн. долларов, что в 4 раза превышает показатели 2019.
Но 2021 год рискует стать пиковым по числу инцидентов в этой области: новая группа вымогателей предлагает услугу RaaS в более упрощенном варианте.
Как правило, крупные картели вымогателей, такие как REvil или Conti взимают со своих партнеров комиссию в размере 30% за выкуп. Картели поставляют вредоносное ПО, а злоумышленники проводят атаки. Новая группа Ranion в даркнете предлагает за предоплату свое вредоносное ПО без дополнительных сборов за обслуживание, что потенциально упрощает кибервымогательство, ведь преступникам не требуется возвращать поставщику вредоносного ПО треть суммы выкупа.
Ranion использует шифрование AES 256 и практически не поддается обнаружению средствами защиты. Различные пакеты ВПО Ranion предлагаются к реализации по цене от 150 до 1900 долларов. При этом более дорогие предложения гарантируют полностью необнаруживаемый (FUD) статус.
Предполагается, что клиентам предоставляется уникальная заглушка, что делает каждый файл вредоносного ПО уникальным и, следовательно, трудным для обнаружения. Заглушка является исполняемым файлом и упаковщиком криптографии. Ranion также позволяет диверсифицировать время заражения и начала запуска шифратора.
Кроме того, Ranion предлагают своим клиентам услуги поддержки в режиме реального времени.
Безусловно, Ranion не способен потеснить или составить весомую конкуренцию крупным игрокам ransomware, но окучить жертв меньшего бюджета - в самый раз.
Тем временем, LockBit 2.0 ударили по израильской аэрокосмической и оборонной компании EMIT Aviation Consulting Ltd, у которой теперь осталось 3 дня чтобы договориться с хакерами о выкупе, иначе их ждет серьезная утечка.
В последнее время группа проявляет мощную активность с июля 2021 года: в список недавних жертв входят Riviana, Wormington & Bollinger, Anasia Group, Vlastuin Group, SCIS Air Security, Peabody Properties, DATA SPEED SRL, Day Lewis, Buffington Law Firm и десятки других крупных компаний по всему миру.
Нынешняя жертва - EMIT Aviation Consulting Ltd была основана в 1986 году, занимается проектированием и сборкой самолетов, тактических и субтактических систем БПЛА, а также интегрированных мобильных систем разведки.
Пока что вымогатели еще не предоставили никаких пруфов в качестве доказательства кражи сведений. Поэтому еще и неясно, как и когда злоумышленники проникли в сеть компании.
Наблюдаем, будет интересно.
В последнее время группа проявляет мощную активность с июля 2021 года: в список недавних жертв входят Riviana, Wormington & Bollinger, Anasia Group, Vlastuin Group, SCIS Air Security, Peabody Properties, DATA SPEED SRL, Day Lewis, Buffington Law Firm и десятки других крупных компаний по всему миру.
Нынешняя жертва - EMIT Aviation Consulting Ltd была основана в 1986 году, занимается проектированием и сборкой самолетов, тактических и субтактических систем БПЛА, а также интегрированных мобильных систем разведки.
Пока что вымогатели еще не предоставили никаких пруфов в качестве доказательства кражи сведений. Поэтому еще и неясно, как и когда злоумышленники проникли в сеть компании.
Наблюдаем, будет интересно.
Амбициозные планы раскрыл президент США Джо Байден, который намерен до конца октября объединить 30 стран для борьбы с бандами вымогателей, атаки которых организации по всему миру.
Все это стало продолжением июльских заявлений семерки, обвиняющих Россию в укрывательстве киберпреступников.
Байден также отметил, что под предлогом ransomware в реальности будут налажены контакты по вопросам противодействия более широкому фронту киберугроз, в том числе для противодействия незаконному использованию криптовалюты, а также будут установлены новые правила политики в киберпространстве и соответственно новые санкции.
Безусловно, под США лягут традиционные союзники по НАТО и прочие G-партнеры. Но вот интересно, а Россию и КНР позовут? Или снова будут показывать пальцем и стоять в сторонке.
Все это стало продолжением июльских заявлений семерки, обвиняющих Россию в укрывательстве киберпреступников.
Байден также отметил, что под предлогом ransomware в реальности будут налажены контакты по вопросам противодействия более широкому фронту киберугроз, в том числе для противодействия незаконному использованию криптовалюты, а также будут установлены новые правила политики в киберпространстве и соответственно новые санкции.
Безусловно, под США лягут традиционные союзники по НАТО и прочие G-партнеры. Но вот интересно, а Россию и КНР позовут? Или снова будут показывать пальцем и стоять в сторонке.
The White House
Statement by President Joe Biden on Cybersecurity Awareness Month
Cyber threats can affect every American, every business regardless of size, and every community. That’s why my administration is marshalling a
Forwarded from SecurityLab.ru
В США летающие микрочипы следят за людьми и вирусами, подельники REvil потребовали вернуть свою долю, троян GriftHorse заразил 10 млн Android-гаджетов, а новый робот Amazon оказался настоящим кошмаром с точки зрения ИБ. А также традиционные конкурсы с крутыми призами! Смотрите 34-й выпуск наших новостей:
https://www.youtube.com/watch?v=TzC3yRqtoJg
https://www.youtube.com/watch?v=TzC3yRqtoJg
YouTube
Обнаружен новый Android-троян, инженеры создали летающие микрочипы. Security-новости #34 | 12+
💰📊👉 Новости об инвестициях в кибербезопасность предоставлены каналом It’s positive investing - https://news.1rj.ru/str/positive_investing
0:00 Здравствуйте с вами Александр Антипов, ваш бессменный ведущий самых жарких новостей по информационной безопасности
0:51…
0:00 Здравствуйте с вами Александр Антипов, ваш бессменный ведущий самых жарких новостей по информационной безопасности
0:51…
Начнем этот день с новостей про наши любимые инфосек компании.
Как вы уже догадались, речь пойдет о FireEye, на полшишечки официально принадлежащей ЦРУ, McAfee и RSA Security, которая была уличена в 2014 году во встраивании в свои криптопродукты бэкдоров от АНБ.
Мощности всех теперь объединены инвестиционным гигантом Symphony Technology Group (STG), сумевшего за последний год выкупить за 4 миллиарда долларов McAfee Enterprise, за 1,2 миллиарда долларов - продукты FireEye (без киберразведки в виде Mandiat). Годом ранее консорциум выкупил RSA Security за 2 миллиарда долларов.
Сочетание продуктов McAfee Enterprise и FireEye, по мнению STG, немедленно создаст поставщика услуг по кибербезопасности с 40 тыс. клиентов, 5 тыс. сотрудников и годовым доходом в размере почти 2 млрд. долларов.
Инфосек гигната возглавит Брайан Пальм из FireEye. Как распределятся портфели спецслужб в новом консорциуме пока не ясно, но задачи по линии спецслужб никто не отменял.
Как вы уже догадались, речь пойдет о FireEye, на полшишечки официально принадлежащей ЦРУ, McAfee и RSA Security, которая была уличена в 2014 году во встраивании в свои криптопродукты бэкдоров от АНБ.
Мощности всех теперь объединены инвестиционным гигантом Symphony Technology Group (STG), сумевшего за последний год выкупить за 4 миллиарда долларов McAfee Enterprise, за 1,2 миллиарда долларов - продукты FireEye (без киберразведки в виде Mandiat). Годом ранее консорциум выкупил RSA Security за 2 миллиарда долларов.
Сочетание продуктов McAfee Enterprise и FireEye, по мнению STG, немедленно создаст поставщика услуг по кибербезопасности с 40 тыс. клиентов, 5 тыс. сотрудников и годовым доходом в размере почти 2 млрд. долларов.
Инфосек гигната возглавит Брайан Пальм из FireEye. Как распределятся портфели спецслужб в новом консорциуме пока не ясно, но задачи по линии спецслужб никто не отменял.
Спешим развеять все конспирологические теории в отношении крупнейшего сбоя работы Интернет-сервисов, который, прежде всего, затронул все продукты Facebook, в том числе и всю внутрикорпоративную инфраструктуру компании.
После тщательного анализа ситуации стало известно, что первоначальной причиной начавшегося сбоя стали ошибки при изменении конфигурации магистральных маршрутизаторов, которые отвечают за BGP-сессии и их анонсы, а также за всю автономную систему Facebook, координируя сетевой трафик между ключевыми ЦОДами и вовне. После этого были деактивированы NS-сервера компании и пропали соответствующие DNS-записи.
Из-за того, что засбоили внутренние каналы коммуникации инженерного блока Facebook утратилась оперативность работы служб. Дошло до того, что инженерам приходилось физически штурмовать ЦОДы, поскольку СКУДы также были выведены из строя и не пропускали персонал.
В свою очередь, это нарушение сетевого трафика оказало каскадное влияние на всю сеть (пользователи жаловались на проблемы в работе Telegram, Twitter, Youtube, Google и др.). Подавшиеся панике юзеры массово начали рефрешить запросы к сервисам Facebook (включая Instagram и WhatsApp), что негативным образом сказалось на функционировании DNS-резолверов, благодаря которым замедлилась работа и других связанных с ними Интернет-сегментов.
Пока не понятно, кто был инициатором изменений конфигурации маршрутизаторов и почему они были сделаны, с этим сейчас разбираются соответствующие службы Facebook. Но из-за инцидента рухнули акции компании, а ее главный бенефициар Цукерберг потерял более 6 млрд. долларов.
PS: Анонсированная на хайпе крупнейшая в истории Facebook утечка с данными на 1,5 млрд. пользователей этой социальной сети, согласно расследованию наших уважаемых коллег из @dataleak, является не более чем разводом. До настоящего времени самой крупной подтвержденной утечкой пользователей Facebook остаётся база данных с 533 млн. записей.
После тщательного анализа ситуации стало известно, что первоначальной причиной начавшегося сбоя стали ошибки при изменении конфигурации магистральных маршрутизаторов, которые отвечают за BGP-сессии и их анонсы, а также за всю автономную систему Facebook, координируя сетевой трафик между ключевыми ЦОДами и вовне. После этого были деактивированы NS-сервера компании и пропали соответствующие DNS-записи.
Из-за того, что засбоили внутренние каналы коммуникации инженерного блока Facebook утратилась оперативность работы служб. Дошло до того, что инженерам приходилось физически штурмовать ЦОДы, поскольку СКУДы также были выведены из строя и не пропускали персонал.
В свою очередь, это нарушение сетевого трафика оказало каскадное влияние на всю сеть (пользователи жаловались на проблемы в работе Telegram, Twitter, Youtube, Google и др.). Подавшиеся панике юзеры массово начали рефрешить запросы к сервисам Facebook (включая Instagram и WhatsApp), что негативным образом сказалось на функционировании DNS-резолверов, благодаря которым замедлилась работа и других связанных с ними Интернет-сегментов.
Пока не понятно, кто был инициатором изменений конфигурации маршрутизаторов и почему они были сделаны, с этим сейчас разбираются соответствующие службы Facebook. Но из-за инцидента рухнули акции компании, а ее главный бенефициар Цукерберг потерял более 6 млрд. долларов.
PS: Анонсированная на хайпе крупнейшая в истории Facebook утечка с данными на 1,5 млрд. пользователей этой социальной сети, согласно расследованию наших уважаемых коллег из @dataleak, является не более чем разводом. До настоящего времени самой крупной подтвержденной утечкой пользователей Facebook остаётся база данных с 533 млн. записей.
Twitter
Kevin Beaumont
Facebook Engineering blog is out. Core network failure from config change. engineering.fb.com/2021/10/04/net…
Любопытная новость из этих ваших палестин.
Сразу скажем, что журналисты Motherboard, похоже, не до конца в теме, поэтому передадим суть так, как поняли ее мы (а мы тоже не до конца в теме, если что).
Американская компания Syniverse, которая является, судя по всему, крупнейшим в мире провайдером SS7 (он же ОКС-7) и обслуживает 95 из 100 ведущих операторов сотовой связи в мире (а всего клиентов-операторов - около 300), в течение 5 лет (!) была скомпрометирована со стороны неизвестных хакеров.
Как сообщила компания 27 сентября в отчете в адрес SEC (американская Комиссия по ценным бумагам), в мае 2021 года было обнаружено вторжение в сеть, по результатам расследования которого выяснилось, что злоумышленники преспокойно сидели себе там аж с мая 2016 года.
Сами Syniverse темнят, несомненно пытаясь преуменьшить масштаб киберинцидента, так что ситуация до конца не ясна, но предположить потенциальные последствия от взлома несложно. Вот они.
Дело в том, что SS7 - это, фактически система управления всей телефонной связью, а заодно еще с ее помощью передаются SMS. Таким образом, скомпрометировав Syniverse хакеры могли получить доступ ко всем передающимся через компанию данным посредством SS7. А это - текст и реквизиты SMS-сообщений (включая 2FA), данные о конкретном вызове, включающие номера абонентов (MSISDN), физический номер SIM-карты (IMSI), данные базовой станции, в зоне действия которой находится абонент и многое другое.
То есть фактически хакеры взломали биллинги и SMS-центры 95 из 100 крупнейших операторов сотовой связи в мире. Какие тут пробивщики в даркнете, о чем вы...
Сразу скажем, что журналисты Motherboard, похоже, не до конца в теме, поэтому передадим суть так, как поняли ее мы (а мы тоже не до конца в теме, если что).
Американская компания Syniverse, которая является, судя по всему, крупнейшим в мире провайдером SS7 (он же ОКС-7) и обслуживает 95 из 100 ведущих операторов сотовой связи в мире (а всего клиентов-операторов - около 300), в течение 5 лет (!) была скомпрометирована со стороны неизвестных хакеров.
Как сообщила компания 27 сентября в отчете в адрес SEC (американская Комиссия по ценным бумагам), в мае 2021 года было обнаружено вторжение в сеть, по результатам расследования которого выяснилось, что злоумышленники преспокойно сидели себе там аж с мая 2016 года.
Сами Syniverse темнят, несомненно пытаясь преуменьшить масштаб киберинцидента, так что ситуация до конца не ясна, но предположить потенциальные последствия от взлома несложно. Вот они.
Дело в том, что SS7 - это, фактически система управления всей телефонной связью, а заодно еще с ее помощью передаются SMS. Таким образом, скомпрометировав Syniverse хакеры могли получить доступ ко всем передающимся через компанию данным посредством SS7. А это - текст и реквизиты SMS-сообщений (включая 2FA), данные о конкретном вызове, включающие номера абонентов (MSISDN), физический номер SIM-карты (IMSI), данные базовой станции, в зоне действия которой находится абонент и многое другое.
То есть фактически хакеры взломали биллинги и SMS-центры 95 из 100 крупнейших операторов сотовой связи в мире. Какие тут пробивщики в даркнете, о чем вы...
VICE
Company That Routes Billions of Text Messages Quietly Says It Was Hacked
Syniverse handles billions of text messages a year, and hackers had unauthorized access to its system for years.
28 сентября в результате спланированной международной операции ФБР, Европола, Интерпола, французской жандармерии при поддержке украинских полицейских в Киеве были арестованы 2 хакера, одним из которых оказался 25-летний программист, принимавший участие в громких атаках ransomware.
Принадлежность подозреваемого к какой-либо конкретной банде вымогателей умалчивается Европолом по «оперативным причинам».
Согласно представленным спецслужбами данным, задержанным вминаются начавшиеся с апреля 2020 года атаки на более чем 100 компаний в Северной Америке и Европе с общим ущербом на сумму более 150 млн. долларов. При этом выкуп этой группы составлял от 5 до 70 миллионов евро. Хакеры украли конфиденциальную информацию у жертв, прежде чем зашифровать их файлы.
В ходе обыска полицейские изъяли компьютеры, используемые для доступа к удаленным серверам, с которых была развернута ransomware, 375000 долларов наличными и 1,3 миллиона долларов в криптовалюте. Кроме того, под арест взяты 2 люксовых автомобиля.
Вторым задержанным оказался сообщник, который помогал хакеру выводить деньги, полученные в качестве выкупа.
На видео задержания становится понятно, что во время обыска силовикам удалось разблокировать девайсы и ПК, в том числе на базе iOS, и это дает все основания считать вполне реальным идентификацию и поимку других участников хакерской группы. Теперь это дело времени и техники, но учитывая тренд - больше даже в оформлении бумаг.
Ранее на территории Украины также проводилась операция, в результате которой завершилась история банды вымогателей Clop. На этот раз, по мнению экспертов, в руки, можно сказать американских правоохранителей, все же попались REvil. Теперь немного проясняется судьба Unknown, да и перспективы всей группы.
Принадлежность подозреваемого к какой-либо конкретной банде вымогателей умалчивается Европолом по «оперативным причинам».
Согласно представленным спецслужбами данным, задержанным вминаются начавшиеся с апреля 2020 года атаки на более чем 100 компаний в Северной Америке и Европе с общим ущербом на сумму более 150 млн. долларов. При этом выкуп этой группы составлял от 5 до 70 миллионов евро. Хакеры украли конфиденциальную информацию у жертв, прежде чем зашифровать их файлы.
В ходе обыска полицейские изъяли компьютеры, используемые для доступа к удаленным серверам, с которых была развернута ransomware, 375000 долларов наличными и 1,3 миллиона долларов в криптовалюте. Кроме того, под арест взяты 2 люксовых автомобиля.
Вторым задержанным оказался сообщник, который помогал хакеру выводить деньги, полученные в качестве выкупа.
На видео задержания становится понятно, что во время обыска силовикам удалось разблокировать девайсы и ПК, в том числе на базе iOS, и это дает все основания считать вполне реальным идентификацию и поимку других участников хакерской группы. Теперь это дело времени и техники, но учитывая тренд - больше даже в оформлении бумаг.
Ранее на территории Украины также проводилась операция, в результате которой завершилась история банды вымогателей Clop. На этот раз, по мнению экспертов, в руки, можно сказать американских правоохранителей, все же попались REvil. Теперь немного проясняется судьба Unknown, да и перспективы всей группы.
Twitter
GarWarner
In European style, the operators are not named, nor was their malware family. But they were active since April 2020 and made ransom demands as high as $70 Million.