Раскрыт таинственный бэкдор UEFI Bootkit ESPecter.
Исследователи по кибербезопасности из ESET опубликовали детали ранее недокументированного буткита UEFI (Unified Extensible Firmware Interface), который использовался злоумышленниками под Windows еще в далеком 2012 году путем модификации легитимного двоичного файла Windows Boot Manager.
Как мы знаем, всегда верхом мастерства и заманчивой целью для злоумышленников являлась возможность закрепиться в целевой системе еще до загрузки операционной системы.
Представители словацкого инфосека прозвали новое вредоносное ПО ESPecter за его способность сохраняться в системном разделе EFI (ESP), а также обходить принудительное использование подписи драйверов Microsoft Windows для загрузки собственного неподписанного драйвера, который может использоваться для осуществления шпионских действий, например кражи информации, записи клавиатурных нажатий и мониторинга действий пользователя, периодически делая снимки экрана.
Удивительно, что механизм проникновения вредоносной программы пока неизвестен, несмотря на то, что корни ESPecter можно проследить как минимум до 2012 года, когда он возник как буткит для систем с устаревшими версиями BIOS. Причем авторы malware регулярно добавляют поддержку новых версий ОС Windows, практически не внося никаких изменений в модули вредоносного ПО.
По мнению специалистов, самое большое изменение произошло в 2020 году, когда авторы ESPecter, по-видимому, решили перенести свои вредоносные программы с устаревших систем BIOS на современные системы UEFI.
В системах, поддерживающих устаревший режим загрузки BIOS, ESPecter получал контроль, изменяя код основной загрузочной записи (MBR), расположенный в первом физическом секторе диска, для внедрения вредоносного драйвера ядра, осуществляющего загрузку дополнительных модулей и настройки кейлоггера перед стиранием собственных следов с машины.
Независимо от используемого варианта MBR или UEFI, развертывание драйвера приводит к внедрению вредоносных компонентов в определенные системные процессы для установления связи с удаленным сервером. Таким образом, злоумышленники без проблем способны захватить скомпрометированный компьютер и взять над ним полное управление и контроль, не говоря уже о загрузке и выполнении других вредоносных программ или команд, полученных с сервера.
С нетерпением ждем от антивирусной компании ESET (и не только), соответствующих рекомендаций и решений по безопасности, так как существующие механизмы безопасности, такие как UEFI Secure Boot не в силах противостоять таинственному бэкдору.
Исследователи по кибербезопасности из ESET опубликовали детали ранее недокументированного буткита UEFI (Unified Extensible Firmware Interface), который использовался злоумышленниками под Windows еще в далеком 2012 году путем модификации легитимного двоичного файла Windows Boot Manager.
Как мы знаем, всегда верхом мастерства и заманчивой целью для злоумышленников являлась возможность закрепиться в целевой системе еще до загрузки операционной системы.
Представители словацкого инфосека прозвали новое вредоносное ПО ESPecter за его способность сохраняться в системном разделе EFI (ESP), а также обходить принудительное использование подписи драйверов Microsoft Windows для загрузки собственного неподписанного драйвера, который может использоваться для осуществления шпионских действий, например кражи информации, записи клавиатурных нажатий и мониторинга действий пользователя, периодически делая снимки экрана.
Удивительно, что механизм проникновения вредоносной программы пока неизвестен, несмотря на то, что корни ESPecter можно проследить как минимум до 2012 года, когда он возник как буткит для систем с устаревшими версиями BIOS. Причем авторы malware регулярно добавляют поддержку новых версий ОС Windows, практически не внося никаких изменений в модули вредоносного ПО.
По мнению специалистов, самое большое изменение произошло в 2020 году, когда авторы ESPecter, по-видимому, решили перенести свои вредоносные программы с устаревших систем BIOS на современные системы UEFI.
В системах, поддерживающих устаревший режим загрузки BIOS, ESPecter получал контроль, изменяя код основной загрузочной записи (MBR), расположенный в первом физическом секторе диска, для внедрения вредоносного драйвера ядра, осуществляющего загрузку дополнительных модулей и настройки кейлоггера перед стиранием собственных следов с машины.
Независимо от используемого варианта MBR или UEFI, развертывание драйвера приводит к внедрению вредоносных компонентов в определенные системные процессы для установления связи с удаленным сервером. Таким образом, злоумышленники без проблем способны захватить скомпрометированный компьютер и взять над ним полное управление и контроль, не говоря уже о загрузке и выполнении других вредоносных программ или команд, полученных с сервера.
С нетерпением ждем от антивирусной компании ESET (и не только), соответствующих рекомендаций и решений по безопасности, так как существующие механизмы безопасности, такие как UEFI Secure Boot не в силах противостоять таинственному бэкдору.
С огромным уважением, но пока с небольшой долей скепсиса относимся к исследованию израильских представителей ифносека, которые без сомнений удивили результатами своих исследований.
Специалисты из Исследовательского центра кибербезопасности Университета Бен-Гуриона в Негеве разработали новый механизм кражи данных, получивший название LANtenna Attack, который использует кабели Ethernet в качестве «передающей антенны» для получения конфиденциальных данных из систем с воздушными зазорами.
LANTENNA - новый тип электромагнитной атаки, позволяющий злоумышленнику получить конфиденциальные данные из изолированных сетей посредством вредоносного кода на компьютерах жертвы собирая конфиденциальные данные, кодируя их с помощью радиоволн и передавая их через кабеля Ethernet, используемые в качестве антенн.
Ближайший принимающий радиоприемник (SDR) способен перехватывать сигналы по беспроводной сети, декодировать данные и отправлять их злоумышленнику, например, находящемуся в соседней комнате. В ходе испытания данные, которые получили с компьютера "жертвы", передавались по кабелю Ethernet и принимались на расстоянии 2 метров друг от друга.
Для реализации сценария атаки злоумышленникам необходимо физически скомпрометировать систему air.gapped, как вариант, используя инсайдера или путем обмана персонала, имеющего доступ к системе, для подключения зараженного USB-накопителя. Примечательно, что разработанный вредоносный код может работать в обычном процессе в пользовательском режиме, а также изнутри виртуальной машины.
Ожидать атаки в «дикой природе», вероятно, не стоит, однако дух все же захватывает.
Специалисты из Исследовательского центра кибербезопасности Университета Бен-Гуриона в Негеве разработали новый механизм кражи данных, получивший название LANtenna Attack, который использует кабели Ethernet в качестве «передающей антенны» для получения конфиденциальных данных из систем с воздушными зазорами.
LANTENNA - новый тип электромагнитной атаки, позволяющий злоумышленнику получить конфиденциальные данные из изолированных сетей посредством вредоносного кода на компьютерах жертвы собирая конфиденциальные данные, кодируя их с помощью радиоволн и передавая их через кабеля Ethernet, используемые в качестве антенн.
Ближайший принимающий радиоприемник (SDR) способен перехватывать сигналы по беспроводной сети, декодировать данные и отправлять их злоумышленнику, например, находящемуся в соседней комнате. В ходе испытания данные, которые получили с компьютера "жертвы", передавались по кабелю Ethernet и принимались на расстоянии 2 метров друг от друга.
Для реализации сценария атаки злоумышленникам необходимо физически скомпрометировать систему air.gapped, как вариант, используя инсайдера или путем обмана персонала, имеющего доступ к системе, для подключения зараженного USB-накопителя. Примечательно, что разработанный вредоносный код может работать в обычном процессе в пользовательском режиме, а также изнутри виртуальной машины.
Ожидать атаки в «дикой природе», вероятно, не стоит, однако дух все же захватывает.
Мы периодически пишем про APT (Advanced Persistent Threat), под которыми в настоящее время понимаются высококвалифицированные хакерские группы, как правило работающие на то или иное государство.
Часто такие хакерские группы имеют одновременно несколько названий - например APT 27 aka Lucky Mouse aka Bronze Union aka Emissary Panda aka TG-3390 aka...
Или всем известные (мы надеемся, не зря же столько про них писали) киберхонгильдоны Lazarus aka Hidden Cobra aka Labyrinth Chollima aka APT-C-26 aka APT 38 aka...
Мы как-то давно ссылались на то, что в этих названиях сам чорт ногу сломит, но не объясняли почему так происходит. Так вот за нас это прекрасно сделали журналисты из SecurityWeek.
Поэтому если вам интересна тема APT - обязательно почитайте. Это действительно интересно.
Часто такие хакерские группы имеют одновременно несколько названий - например APT 27 aka Lucky Mouse aka Bronze Union aka Emissary Panda aka TG-3390 aka...
Или всем известные (мы надеемся, не зря же столько про них писали) киберхонгильдоны Lazarus aka Hidden Cobra aka Labyrinth Chollima aka APT-C-26 aka APT 38 aka...
Мы как-то давно ссылались на то, что в этих названиях сам чорт ногу сломит, но не объясняли почему так происходит. Так вот за нас это прекрасно сделали журналисты из SecurityWeek.
Поэтому если вам интересна тема APT - обязательно почитайте. Это действительно интересно.
SecurityWeek
What’s in a Threat Group Name? An Inside Look at the Intricacies of Nation-State Attribution
Understanding the naming conventions of various threat groups can help us better understand the overall threat landscape
Исследователи из Cybereason обнаружили новый RAT ShellClient, использовавшийся хакерами в операции, направленной на кибершпионаж в отношении аэрокосмических и телекоммуникационных предприятий.
Киберкампания, названная GhostShell, была обнаружена экспертами в июле 2021 года. В ходе расследования Cybereason выявили ранее не встречавшийся RAT (Remote Access Trojan) ShellClient, который находится в разработке с ноября 2018 года. Удалось найти пять различных версий трояна, с каждой новой малварь прирастала новыми функциями.
Интересен метод организации связи RAT с С2 - для управления используется хранилище Dropbox, которое сканируется вредоносом каждые 2 секунды.
Основные TTPs злоумышленника ранее не встречались, поэтому стоящую за атакой хакерскую группу исследователи атрибутировали как новую APT и назвали MalKamak. Сначала Cybereason посчитали, что автором GhostShell является российская APT Turla, однако, проведя проверку, от этой версии американцы отказались (а заодно у них, похоже, появились вопросы к объективности Symantec, хе-хе).
В дальнейшем исследователи нашли несколько отдаленных сходств с TTPs иранских хакерских групп Chafer aka APT 39 aka Remix Kitten и Agrius. И хотя таких совпадений приличное количество, среди них нет ни одного серьезного признака, который бы помог связать MalKamak с иранцами напрямую (про APT Chafer мы немного писали в прошлом году).
Этот факт, впрочем, как всегда абсолютно не смущает бодрых инфосек журналистов, которые, путая педали, побежали рассказывать всему миру про новых иранских хакеров.
И в завершении повествования отметим, что, по данным Cybereason, в числе целей кибершпионажа MalKamak есть и российские аэрокосмические и телекоммуникационные компании. Впрочем, кому это интересно...
Киберкампания, названная GhostShell, была обнаружена экспертами в июле 2021 года. В ходе расследования Cybereason выявили ранее не встречавшийся RAT (Remote Access Trojan) ShellClient, который находится в разработке с ноября 2018 года. Удалось найти пять различных версий трояна, с каждой новой малварь прирастала новыми функциями.
Интересен метод организации связи RAT с С2 - для управления используется хранилище Dropbox, которое сканируется вредоносом каждые 2 секунды.
Основные TTPs злоумышленника ранее не встречались, поэтому стоящую за атакой хакерскую группу исследователи атрибутировали как новую APT и назвали MalKamak. Сначала Cybereason посчитали, что автором GhostShell является российская APT Turla, однако, проведя проверку, от этой версии американцы отказались (а заодно у них, похоже, появились вопросы к объективности Symantec, хе-хе).
В дальнейшем исследователи нашли несколько отдаленных сходств с TTPs иранских хакерских групп Chafer aka APT 39 aka Remix Kitten и Agrius. И хотя таких совпадений приличное количество, среди них нет ни одного серьезного признака, который бы помог связать MalKamak с иранцами напрямую (про APT Chafer мы немного писали в прошлом году).
Этот факт, впрочем, как всегда абсолютно не смущает бодрых инфосек журналистов, которые, путая педали, побежали рассказывать всему миру про новых иранских хакеров.
И в завершении повествования отметим, что, по данным Cybereason, в числе целей кибершпионажа MalKamak есть и российские аэрокосмические и телекоммуникационные компании. Впрочем, кому это интересно...
Cybereason
Operation GhostShell: Novel RAT Targets Global Aerospace and Telecoms Firms
The highly-targeted attacks against aerospace and telecoms firms by new Iranian threat actor MalKamak includes newly discovered malware that evaded security tools since 2018 and abuses Dropbox services for command and control...
Простите, не смогли удержаться.
Вчера произошло раскрытие технических подробностей Authentication Bypass в IP-камерах известного производителя Dahua, которые активно продаются в том числе и в России.
Оказалось, что у этих камер просто dahua проблем с кибербезопасностью.
Вчера произошло раскрытие технических подробностей Authentication Bypass в IP-камерах известного производителя Dahua, которые активно продаются в том числе и в России.
Оказалось, что у этих камер просто dahua проблем с кибербезопасностью.
Packetstormsecurity
Dahua Authentication Bypass ≈ Packet Storm
Information Security Services, News, Files, Tools, Exploits, Advisories and Whitepapers
Японцы из DarkTracer подбили статистику по атакам ransomware за период с 01.05.19 г. по настоящее время (то есть почти за 2,5 года).
Всего они рассмотрели 3338 атакованных организаций в 105 странах мира. И хотя полную статистику они в паблик не дали, топ-40 стран, которые атакуются вымогателями, показали.
Угадайте какой страны нету в этом списке? Правильно, Украины.
России, впрочем, там тоже нет.
Всего они рассмотрели 3338 атакованных организаций в 105 странах мира. И хотя полную статистику они в паблик не дали, топ-40 стран, которые атакуются вымогателями, показали.
Угадайте какой страны нету в этом списке? Правильно, Украины.
России, впрочем, там тоже нет.
Во вторник мы писали, что вышла версия 2.4.50 Apache HTTP, в которой был устранен активно использовавшийся в дикой природе 0-day CVE-2021-41773.
Все обновились, все счастливы. Казалось бы...
Но Apache Software Foundation решили косплеить Microsoft и сначала выпустить патч, а потом довыпустить к нему DLC. Говорят, так сейчас модно.
Другими словами, обнаружилось, что 2.4.50 закрывает ошибку не до конца (новая дырка была поименована CVE-2021-42013) и поэтому была выпущена версия 2.4.51.
Короче, опять обновляйтесь.
Все обновились, все счастливы. Казалось бы...
Но Apache Software Foundation решили косплеить Microsoft и сначала выпустить патч, а потом довыпустить к нему DLC. Говорят, так сейчас модно.
Другими словами, обнаружилось, что 2.4.50 закрывает ошибку не до конца (новая дырка была поименована CVE-2021-42013) и поэтому была выпущена версия 2.4.51.
Короче, опять обновляйтесь.
httpd.apache.org
Apache HTTP Server 2.4 vulnerabilities - The Apache HTTP Server Project
Сегодня мы опять будем ванговать.
В этом есть два неприятных момента.
- во-первых, наши предсказания носят исключительно негативный характер;
- во-вторых, они иногда сбываются.
Мы в этой части прямо как Кассандра. Правда хоть кто-то, надеемся, к нам прислушивается.
Итак, вчерашнего дня Google TAG разослали в адрес более чем 14 тыс. пользователей Gmail предупреждения, что они стали целями фишинговой кампании со стороны прогосударственной хакерской группы. Позднее руководитель TAG Шейн Хантли написал в Twitter, что за массовым целевым фишингом стоит российская APT 28 aka Fancy Bear.
Сами Google никакого отчета по этому поводу не дали (ну или мы плохо искали), поэтому оставим ссылку на статью в Motherboard.
Соответственно, никаких TTPs нет, джентльмены верят друг другу на слово.
Вчера же другой техногигант Microsoft выдал статью под названием "Российские кибератаки представляют большой риск для правительств" по результатам своего отчета Microsoft Digital Defense Report.
Если кратко - за 58% наблюдаемых Microsoft за последний год кибератак со стороны прогосударственных хакерских групп ответственность возлагается на Россию. Половина целей российских хакеров - иностранные правительственные организации.
Кстати, если верить Microsoft (что само по себе после их "расследования" истории с SolarWinds является моветоном), во всем мире APT есть только у России, Ирана, Китая и Северной Кореи. И еще чуть-чуть у Вьетнама, Турции и Южной Кореи. Смешно, да.
Ладно, к чему мы все это. Появление подобных материалов в одно время подсказывает нам, что пошла новая волна накачки информационной повестки "страшные русские хакеры все сломали в мире давайте скорее введем санкции и отключим газ". Видимо, сотрудничество в области борьбы с киберпреступностью не задалось по объективным причинам (еще бы - ни той, ни другой стороне оно не в хрен не впилось).
Как обычно, будем посмотреть.
В этом есть два неприятных момента.
- во-первых, наши предсказания носят исключительно негативный характер;
- во-вторых, они иногда сбываются.
Мы в этой части прямо как Кассандра. Правда хоть кто-то, надеемся, к нам прислушивается.
Итак, вчерашнего дня Google TAG разослали в адрес более чем 14 тыс. пользователей Gmail предупреждения, что они стали целями фишинговой кампании со стороны прогосударственной хакерской группы. Позднее руководитель TAG Шейн Хантли написал в Twitter, что за массовым целевым фишингом стоит российская APT 28 aka Fancy Bear.
Сами Google никакого отчета по этому поводу не дали (ну или мы плохо искали), поэтому оставим ссылку на статью в Motherboard.
Соответственно, никаких TTPs нет, джентльмены верят друг другу на слово.
Вчера же другой техногигант Microsoft выдал статью под названием "Российские кибератаки представляют большой риск для правительств" по результатам своего отчета Microsoft Digital Defense Report.
Если кратко - за 58% наблюдаемых Microsoft за последний год кибератак со стороны прогосударственных хакерских групп ответственность возлагается на Россию. Половина целей российских хакеров - иностранные правительственные организации.
Кстати, если верить Microsoft (что само по себе после их "расследования" истории с SolarWinds является моветоном), во всем мире APT есть только у России, Ирана, Китая и Северной Кореи. И еще чуть-чуть у Вьетнама, Турции и Южной Кореи. Смешно, да.
Ладно, к чему мы все это. Появление подобных материалов в одно время подсказывает нам, что пошла новая волна накачки информационной повестки "страшные русские хакеры все сломали в мире давайте скорее введем санкции и отключим газ". Видимо, сотрудничество в области борьбы с киберпреступностью не задалось по объективным причинам (еще бы - ни той, ни другой стороне оно не в хрен не впилось).
Как обычно, будем посмотреть.
Forwarded from Эксплойт | Live
RIAA выиграла суд против двух сервисов для скачивания видео с YouTube
RIAA — ассоциация звукозаписывающих компаний.
Речь идёт о сервисах FLVTO.biz и 2conv.com. Сейчас RIAA требует от них компенсации в размере $82 млн.
Это связано с тем, что по мнению крупных лейблов, подобные сервисы представляют собой серьёзную угрозу пиратства в интернете.
Что будет с этими сервисами помимо оплаты штрафа и в чьи руки они перейдут — пока неизвестно.
RIAA — ассоциация звукозаписывающих компаний.
Речь идёт о сервисах FLVTO.biz и 2conv.com. Сейчас RIAA требует от них компенсации в размере $82 млн.
Это связано с тем, что по мнению крупных лейблов, подобные сервисы представляют собой серьёзную угрозу пиратства в интернете.
Что будет с этими сервисами помимо оплаты штрафа и в чьи руки они перейдут — пока неизвестно.
За 5 лет неизвестный хакер сумел создать крупнейший подпольный сервис SMS-рассылок, реализованный в формате ботнета из тысяч скомпрометированных маршрутизаторов TP-Link MR6400.
Раскрыли криминальную империю исследователи Роберт Нойман из Acronis и Гергели Эберхардта из Search-Lab, представив отчет многолетнего расследования на конференции по безопасности Virus Bulletin 2021.
Приблизительно с 2016 года уязвимые маршрутизаторы использовались для SMS-рассылки сообщений со ставками, проверочными кодами, подтверждением онлайн-платежей или пожертвований, а также для отправки загадочных сообщений, смысл которых исследователям еще предстоит разгадать.
Все началось с того, как Нойману в руки попал один из таких девайсов. Оказалось, что взломанный маршрутизатор с поддержкой 4G нагенерил огромные счета владельцу вставленной в устройство SIM-карты, с которой втайне было отправлено достаточно крупное число сообщений.
Хакерам удалось эффективно проэксплуатировать обнаруженную в 2015 году уязвимость и получить доступа к админке маршрутизаторов TP-Link с поддержкой 4G без предварительной аутентификации. Нойман смог даже воспроизвести эксплойт, который использовал эту дыру. Он обнаружил, что ошибка давала злоумышленнику доступ к таким функциям LTE маршрутизатора, как отправка SMS-сообщений, чтение входящих и исходящих SMS-диалогов, сбор информации о блокировке SIM-карты и изменение настроек LAN и времени.
Таким образом, злоумышленник захватил маршрутизаторы, организовал их в простой в управлении ботнет, а затем начал предлагать услуги по отправке дешевых SMS-сообщений. Клиенты, как стало известно, нашлись быстро, что позволило предприимчивым хакерам обзавестись довольно широкой клиентской базой.
Личность автора успешного стартапа установить не представилось возможным. И несмотря на то, что бага была исправлена в более поздних версиях прошивок, в настоящее время непропатченных девайсов остается достаточно много. Пик экономической выгоды в данной схеме был пройден в 2018 году, после чего ботнет стал терять активы, чему, прежде всего, способствовали принудительные блокировки услуг SMS на уровне оператора. Но это не помешало и не мешает хакеру монетизировать функцию SMS.
А вы все твердите, что SMS уже никто не пользуется. Еще как.
Раскрыли криминальную империю исследователи Роберт Нойман из Acronis и Гергели Эберхардта из Search-Lab, представив отчет многолетнего расследования на конференции по безопасности Virus Bulletin 2021.
Приблизительно с 2016 года уязвимые маршрутизаторы использовались для SMS-рассылки сообщений со ставками, проверочными кодами, подтверждением онлайн-платежей или пожертвований, а также для отправки загадочных сообщений, смысл которых исследователям еще предстоит разгадать.
Все началось с того, как Нойману в руки попал один из таких девайсов. Оказалось, что взломанный маршрутизатор с поддержкой 4G нагенерил огромные счета владельцу вставленной в устройство SIM-карты, с которой втайне было отправлено достаточно крупное число сообщений.
Хакерам удалось эффективно проэксплуатировать обнаруженную в 2015 году уязвимость и получить доступа к админке маршрутизаторов TP-Link с поддержкой 4G без предварительной аутентификации. Нойман смог даже воспроизвести эксплойт, который использовал эту дыру. Он обнаружил, что ошибка давала злоумышленнику доступ к таким функциям LTE маршрутизатора, как отправка SMS-сообщений, чтение входящих и исходящих SMS-диалогов, сбор информации о блокировке SIM-карты и изменение настроек LAN и времени.
Таким образом, злоумышленник захватил маршрутизаторы, организовал их в простой в управлении ботнет, а затем начал предлагать услуги по отправке дешевых SMS-сообщений. Клиенты, как стало известно, нашлись быстро, что позволило предприимчивым хакерам обзавестись довольно широкой клиентской базой.
Личность автора успешного стартапа установить не представилось возможным. И несмотря на то, что бага была исправлена в более поздних версиях прошивок, в настоящее время непропатченных девайсов остается достаточно много. Пик экономической выгоды в данной схеме был пройден в 2018 году, после чего ботнет стал терять активы, чему, прежде всего, способствовали принудительные блокировки услуг SMS на уровне оператора. Но это не помешало и не мешает хакеру монетизировать функцию SMS.
А вы все твердите, что SMS уже никто не пользуется. Еще как.
packetstorm.news
Packet Storm
Information Security Services, News, Files, Tools, Exploits, Advisories, and Whitepapers
Мы только на прошлой неделе написали, что российские и украинские компании, как правило, не становятся целями для атак ransomware.
А Касперские нас прочитали и решили опровергнуть (шутка, отчет они выдали приблизительно в то же время, что и мы свой пост). И как они говорят - отечественный бизнес вполне себе атакуют вымогатели. Только мелкие. Труба пониже, дым пожиже.
Объясним почему у двух столько авторитетных источников как мы и Лаборатория Касперского случилось расхождение в мнениях.
Во-первых, Касперы говорят не про РФ, а про СНГ. И на карте, приведенной в отчете видно, что Россия на фоне остальных выглядит вполне себе безопасно (безопаснее, разве что, Грузия, но что там воровать вымогателям - творческое наследие Данелии и чашушули? переведите три хинкали на наш криптокошелек?). А Украины на карте СНГ вообще не содержится.
Во-вторых, типичное российское вымогательство выглядит по сравнению с западным как столкновение Ан-2 с украинской хрущевкой из известного анекдота ("Яка краiна - такi й теракти") рядом с 9/11.
Атака на крупную корпоративную западную сеть - первичная компрометация, разведка, кража конфиденциальной информации, если получится - удаление бэкапов, развертывание самого шифровальщика, дальнейшие переговоры и получение выкупа через развитую инфраструктуру.
Атака на российскую компанию - ломанули, всем пофиг, попробуем свистнуть деньги, не получается, но всем пофиг, ну давайте закинем шифровальщика, все равно всем пофиг.
Примерно так выглядит картина российской киберпреступности в России.
А Касперские нас прочитали и решили опровергнуть (шутка, отчет они выдали приблизительно в то же время, что и мы свой пост). И как они говорят - отечественный бизнес вполне себе атакуют вымогатели. Только мелкие. Труба пониже, дым пожиже.
Объясним почему у двух столько авторитетных источников как мы и Лаборатория Касперского случилось расхождение в мнениях.
Во-первых, Касперы говорят не про РФ, а про СНГ. И на карте, приведенной в отчете видно, что Россия на фоне остальных выглядит вполне себе безопасно (безопаснее, разве что, Грузия, но что там воровать вымогателям - творческое наследие Данелии и чашушули? переведите три хинкали на наш криптокошелек?). А Украины на карте СНГ вообще не содержится.
Во-вторых, типичное российское вымогательство выглядит по сравнению с западным как столкновение Ан-2 с украинской хрущевкой из известного анекдота ("Яка краiна - такi й теракти") рядом с 9/11.
Атака на крупную корпоративную западную сеть - первичная компрометация, разведка, кража конфиденциальной информации, если получится - удаление бэкапов, развертывание самого шифровальщика, дальнейшие переговоры и получение выкупа через развитую инфраструктуру.
Атака на российскую компанию - ломанули, всем пофиг, попробуем свистнуть деньги, не получается, но всем пофиг, ну давайте закинем шифровальщика, все равно всем пофиг.
Примерно так выглядит картина российской киберпреступности в России.
Securelist
Roundup of ransomware in the CIS
Statistics on ransomware attacks in the CIS and technical denoscriptions of Trojans, including BigBobRoss/TheDMR, Crysis/Dharma, Phobos/Eking, Cryakl/CryLock, CryptConsole, Fonix/XINOF, Limbozar/VoidCrypt, Thanos/Hakbit and XMRLocker.
Пулеметной очередью Google исправляет критические уязвимости в своих браузерах. Доступны обновленные версии Chrome для Windows, Mac и Linux, которые устраняют в общей сложности четыре уязвимости.
Самая серьезная уязвимость, отслеживается как CVE-2021-37977 и связана с проблемой сборки мусора, которая может привести к выполнению произвольного кода в целевой системе. Об уязвимости сообщил анонимный исследователь, а щедрый Google поощрил неизвестного специалиста вознаграждением в 10 000 долларов.
Следующие две уязвимости CVE-2021-37978 и CVE-2021-37979 связанны с переполнением буфера в браузерном движке Blink и в механизме потоковой передачи данных WebRTC, соответственно. За эти баги Google, раздал исследователям Янкану из 360 ATA и Марчину Товальски из Cisco Talos по 7500 долларов.
Четвертая ошибка, исправленная в новом выпуске Chrome CVE-2021-37980 найдена в реализации режима песочницы (sandbox). За эту багу исследователь Ёнхви Джин получил бонус в размере 3000 долларов.
Подробные данные об ошибках в Google не раскрывают до тех пор, пока большинство пользователей не установит обновление безопасности. В связи с чем, поисковый гигант рекомендует обновиться как можно скорее. Со слов компании фактов использования в целевых атаках пока не выявлено, но для применения некоторых уязвимостей в сети уже появились соответствующие эксплойты.
Самая серьезная уязвимость, отслеживается как CVE-2021-37977 и связана с проблемой сборки мусора, которая может привести к выполнению произвольного кода в целевой системе. Об уязвимости сообщил анонимный исследователь, а щедрый Google поощрил неизвестного специалиста вознаграждением в 10 000 долларов.
Следующие две уязвимости CVE-2021-37978 и CVE-2021-37979 связанны с переполнением буфера в браузерном движке Blink и в механизме потоковой передачи данных WebRTC, соответственно. За эти баги Google, раздал исследователям Янкану из 360 ATA и Марчину Товальски из Cisco Talos по 7500 долларов.
Четвертая ошибка, исправленная в новом выпуске Chrome CVE-2021-37980 найдена в реализации режима песочницы (sandbox). За эту багу исследователь Ёнхви Джин получил бонус в размере 3000 долларов.
Подробные данные об ошибках в Google не раскрывают до тех пор, пока большинство пользователей не установит обновление безопасности. В связи с чем, поисковый гигант рекомендует обновиться как можно скорее. Со слов компании фактов использования в целевых атаках пока не выявлено, но для применения некоторых уязвимостей в сети уже появились соответствующие эксплойты.
Chrome Releases
Stable Channel Update for Desktop
The Stable channel has been updated to 94.0.4606.81 for Windows, Mac and Linux which will roll out over the coming days/weeks. Extended stab...
АНБ предупреждает о новой атаке ALPACA TLS и рекомендует администраторам NSS, DoD и DIB следить за тем, чтобы использование шаблонных сертификатов в их организациях не создавало угроз для реализации этой атаки.
Вектор атаки ALPACA был обнаружен еще в июне этого года, и позволяет использовать веб-сервер, работающий по нескольким протоколам прикладного уровня, для ответа на зашифрованные запросы HTTPS через незашифрованные протоколы, такие как FTP, электронная почта (IMAP, POP3) и др. Для реализации атаки злоумышленнику также необходимо иметь возможность перехватывать трафик.
В результате успешной атаки ALPACA злоумышленник может извлечь файлы cookie сеанса и другие личные данные пользователя или выполнить произвольный JavaScript в контексте уязвимого веб-сервера, минуя TLS и безопасность веб-приложений.
Ключевым условием выступает применение жертвой подстановочных сертификатов. Подстановочный сертификат представляет собой цифровой сертификат TLS, полученный компанией из центров сертификации, который позволяют владельцу применять его в домене и на всех его субдоменах.
Традиционно компании используют сертификаты с подстановочными знаками для снижения затрат и оптимизации управления, применяя один и тот же сертификат на всех серверах и не заморачиваясь за каждый поддомен отдельно. Но если злоумышленник получает контроль над закрытым ключом, связанным с подстановочным сертификатом, он эффективно компрометирует всю компанию и получает доступ к защищенной информации.
Для защиты от новой атаки АНБ рекомендует включить согласование протокола уровня приложений (ALPN), которое является расширением TLS, которое не позволяет серверам отвечать на запросы через запрещенные протоколы (такие как FTP, IMAP или другие протоколы). Кроме того, АНБ призывает компании приготовиться в перспективе к развертыванию индивидуальных сертификатов, вместо постановочных.
Все прекрасно в сообщении АНБ, если бы оно не прозвучало спустя 4 месяца после раскрытия атаки, а в сети за этот не период не находилось бы более 120 тысяч уязвимых серверов. При том, что Google уже внедрил защиту ALPACA в веб-браузере Chrome в начале этого года.
Вектор атаки ALPACA был обнаружен еще в июне этого года, и позволяет использовать веб-сервер, работающий по нескольким протоколам прикладного уровня, для ответа на зашифрованные запросы HTTPS через незашифрованные протоколы, такие как FTP, электронная почта (IMAP, POP3) и др. Для реализации атаки злоумышленнику также необходимо иметь возможность перехватывать трафик.
В результате успешной атаки ALPACA злоумышленник может извлечь файлы cookie сеанса и другие личные данные пользователя или выполнить произвольный JavaScript в контексте уязвимого веб-сервера, минуя TLS и безопасность веб-приложений.
Ключевым условием выступает применение жертвой подстановочных сертификатов. Подстановочный сертификат представляет собой цифровой сертификат TLS, полученный компанией из центров сертификации, который позволяют владельцу применять его в домене и на всех его субдоменах.
Традиционно компании используют сертификаты с подстановочными знаками для снижения затрат и оптимизации управления, применяя один и тот же сертификат на всех серверах и не заморачиваясь за каждый поддомен отдельно. Но если злоумышленник получает контроль над закрытым ключом, связанным с подстановочным сертификатом, он эффективно компрометирует всю компанию и получает доступ к защищенной информации.
Для защиты от новой атаки АНБ рекомендует включить согласование протокола уровня приложений (ALPN), которое является расширением TLS, которое не позволяет серверам отвечать на запросы через запрещенные протоколы (такие как FTP, IMAP или другие протоколы). Кроме того, АНБ призывает компании приготовиться в перспективе к развертыванию индивидуальных сертификатов, вместо постановочных.
Все прекрасно в сообщении АНБ, если бы оно не прозвучало спустя 4 месяца после раскрытия атаки, а в сети за этот не период не находилось бы более 120 тысяч уязвимых серверов. При том, что Google уже внедрил защиту ALPACA в веб-браузере Chrome в начале этого года.
National Security Agency/Central Security Service
Avoid Dangers of Wildcard TLS Certificates, the ALPACA Technique
NSA released the Cybersecurity Information Sheet, “Avoid Dangers of Wildcard TLS Certificates and the ALPACA Technique” today, warning network administrators about the risks of using poorly scoped
Forwarded from SecurityLab.ru
Суд снял с Cloudflare ответственность за контрафактный контент в ее CDN
Компания Cloudflare не должна нести ответственность ни за какие нарушения авторских прав, происходящие на сайтах в ее сети доставки контента (CDN).
Проблемы начались в 2018 году, когда продавцы свадебных и вечерних платьев из Сан-Франциско Mon Cheri Bridals и Maggie Sottero Designs столкнулись с online-мошенниками, копирующими их модели и продающими копии нарядов в интернете.
В итоге продавцы нашли крайнего и обвинили Cloudflare в предоставлении мошенникам технической поддержки. "Cloudflare вносит вклад, а значит, обеспечивает возможность этим контрафактным сайтам успешно обманывать потребителей и нарушать авторские права истцов и других производителей одежды", - говорилось в судебном иске против Cloudflare. Однако федеральный судья Северного округа Калифорнии Винс Чхабрия (Vince Chhabria) не согласился с мнением истцов и отклонил их жалобу.
Подробнее: https://www.securitylab.ru/news/525445.php
Компания Cloudflare не должна нести ответственность ни за какие нарушения авторских прав, происходящие на сайтах в ее сети доставки контента (CDN).
Проблемы начались в 2018 году, когда продавцы свадебных и вечерних платьев из Сан-Франциско Mon Cheri Bridals и Maggie Sottero Designs столкнулись с online-мошенниками, копирующими их модели и продающими копии нарядов в интернете.
В итоге продавцы нашли крайнего и обвинили Cloudflare в предоставлении мошенникам технической поддержки. "Cloudflare вносит вклад, а значит, обеспечивает возможность этим контрафактным сайтам успешно обманывать потребителей и нарушать авторские права истцов и других производителей одежды", - говорилось в судебном иске против Cloudflare. Однако федеральный судья Северного округа Калифорнии Винс Чхабрия (Vince Chhabria) не согласился с мнением истцов и отклонил их жалобу.
Подробнее: https://www.securitylab.ru/news/525445.php
SecurityLab.ru
Суд снял с Cloudflare ответственность за контрафактный контент в ее CDN
Продавцы одежды в США подали в суд на Cloudflare за оказание техпомощи сайтам с поддельным товаром.
Правозащитники продолжают «крестовый поход» на разработчиков шпионского софта. На этот раз под раздачу попала индийская компания Innefu Labs, которая согласно результатам расследования Amnesty International стояла за атаками на видных активистов из Того, а также ряда ключевых азиатских регионов.
Как выяснилось, IP-адрес, принадлежащий компании, неоднократно использовался для развёртывания полезной нагрузки шпионских программ под ОС Android.
Техподдержку и фактическое управление софтом вели хакеры Donot Team (APT-C-35), стоящие за известными атаками начиная с 2018 года в отношении правительственных структур в Юго-Восточной Азии.
Разбирая кейс в Того, исследователи задетектили шпионское ПО, закамуфлированное под мессенджер под названием ChatLite, который пользователю предлагалось установить в ходе переписки в WhatsApp. Помимо этого, злоумышленники рассылали фишинговые отправления с вложением вредоносного файла MS Word.
ChatLite представлял собой специально разработанное приложение для Android, которое позволяло злоумышленнику собирать конфиденциальные данные с устройства и подгружать дополнительные вредоносные инструменты.
При этом образец шпионского ПО, как обнаружили Amnesty, имел схожие элементы кода с Kashmir_Voice_v4.8.apk и SafeShareV67.apk, применявшихся в ходе операций Donot Team.
В реальности, к такому успеху Amnesty привел не гений спецов, а косяк разрабов из Innefu Labs, позволивший обнаружить и внимательно изучить тестовой сервер хакеров в США, где хранились скриншоты и данные кейлогинга со скомпрометированных Android-устройств. Соснифить удалось и IP-адрес Innefu Labs, даже несмотря на то, что он был спрятан за VPN.
Индийские разработчики разводят руками и не сознаются, ссылаясь на то, что засвеченный IP ещё ничего не доказывает.
Amnesty допускают, что Innefu не знает, как ее клиенты используют ПО, требуя провести независимый внешний аудит, который навряд ли состоится. Но несмотря на это, правозащитникам и их американским кураторам вновь удалось навести тень на поставщиков шпионских технологий.
Как выяснилось, IP-адрес, принадлежащий компании, неоднократно использовался для развёртывания полезной нагрузки шпионских программ под ОС Android.
Техподдержку и фактическое управление софтом вели хакеры Donot Team (APT-C-35), стоящие за известными атаками начиная с 2018 года в отношении правительственных структур в Юго-Восточной Азии.
Разбирая кейс в Того, исследователи задетектили шпионское ПО, закамуфлированное под мессенджер под названием ChatLite, который пользователю предлагалось установить в ходе переписки в WhatsApp. Помимо этого, злоумышленники рассылали фишинговые отправления с вложением вредоносного файла MS Word.
ChatLite представлял собой специально разработанное приложение для Android, которое позволяло злоумышленнику собирать конфиденциальные данные с устройства и подгружать дополнительные вредоносные инструменты.
При этом образец шпионского ПО, как обнаружили Amnesty, имел схожие элементы кода с Kashmir_Voice_v4.8.apk и SafeShareV67.apk, применявшихся в ходе операций Donot Team.
В реальности, к такому успеху Amnesty привел не гений спецов, а косяк разрабов из Innefu Labs, позволивший обнаружить и внимательно изучить тестовой сервер хакеров в США, где хранились скриншоты и данные кейлогинга со скомпрометированных Android-устройств. Соснифить удалось и IP-адрес Innefu Labs, даже несмотря на то, что он был спрятан за VPN.
Индийские разработчики разводят руками и не сознаются, ссылаясь на то, что засвеченный IP ещё ничего не доказывает.
Amnesty допускают, что Innefu не знает, как ее клиенты используют ПО, требуя провести независимый внешний аудит, который навряд ли состоится. Но несмотря на это, правозащитникам и их американским кураторам вновь удалось навести тень на поставщиков шпионских технологий.
Amnesty International
Togo: Prominent activist targeted with Indian-made spyware linked to notorious hacker group
New research reveals activists in Togo risk being targeted by shadowy cyber-mercenaries who use covert digital attacks to steal victims’ private information
Apple выпустили экстренное обновление iOS 15.0.2 и iPadOS 15.0.2.
На этот раз закрыли 0-day CVE-2021-30883, эксплуатация которой позволяет осуществлять выполнение кода с правами ядра на атакованном устройстве.
Также Apple заявили, что ошибка активно используется в дикой природе, подробностей, как обычно, нет. Судя по всему, CVE эксплуатируется как часть боевого эксплойт-кита.
Идем дальше. Несмотря на то, что Apple не предоставили технических подробностей уязвимости, инфосек исследователь Saar Amar оперативно провел реверс патча, создал PoC CVE-2021-30883 и успешно протестил его на iOS с 14.7.1 по 15.0.1.
Итого.
1. Необходимо в очередной раз срочно обновиться.
2. Если нам не изменяет склероз, это уже двенадцатый 0-day, закрытый Apple в своей мобильной операционке с начала года. iOS стремительно превращается в Android.
На этот раз закрыли 0-day CVE-2021-30883, эксплуатация которой позволяет осуществлять выполнение кода с правами ядра на атакованном устройстве.
Также Apple заявили, что ошибка активно используется в дикой природе, подробностей, как обычно, нет. Судя по всему, CVE эксплуатируется как часть боевого эксплойт-кита.
Идем дальше. Несмотря на то, что Apple не предоставили технических подробностей уязвимости, инфосек исследователь Saar Amar оперативно провел реверс патча, создал PoC CVE-2021-30883 и успешно протестил его на iOS с 14.7.1 по 15.0.1.
Итого.
1. Необходимо в очередной раз срочно обновиться.
2. Если нам не изменяет склероз, это уже двенадцатый 0-day, закрытый Apple в своей мобильной операционке с начала года. iOS стремительно превращается в Android.
Apple Support
About the security content of iOS 15.0.2 and iPadOS 15.0.2
This document describes the security content of iOS 15.0.2 and iPadOS 15.0.2.
Microsoft Threat Intelligence Center (MSTIC) и Microsoft Digital Security Unit (DSU) выследили и обнаружили новый кластер вредоносной активности связанной с Ираном АРТ, которая получила наименование DEV-0343.
Новая хакерская группа с конца июля взламывает учетные записи Office 365, принадлежащих клиентам из числа ориентированных на США, ЕС и Израиль компаний в сфере оборонных технологий, в том числе разрабатывающим радары военного уровня, беспилотные авиатехнологии, спутниковые системы и системы связи.
Кроме того, хакерам интересны изыскания в области географических информационных систем (ГИС), пространственной аналитики, прежде всего, касающиеся Персидского залива, а также деятельности морских и грузовых транспортных компаний на Ближнем Востоке. В данном ключе активность группы укладывается к концепцию разрабатываемой Ираном спутниковой программы.
Атаки реализуются методом распыления паролей, когда хакеры каждый раз пытаются аутентифицироваться в системе, применяя один и тот же пароль к разным именам пользователей.
Атрибутировать иранских негодяев Microsoft смогли на основе сопоставления вредоносной деятельности с национальными интересами Ирана, а также совпадения ТТР группировки с иными известными кампаниями, в том числе были выявлены «обширные» пересечения секторных и географических целей других связанных с Ираном АРТ.
DEV-0343 стремятся скомпрометировать любые конечные точки Autodiscover и ActiveSync Exchange с помощью своей техники, отрабатывая фактически все активные учетные записи целевой системы перебором каждой из них до 1000 раз. При этом хакеры используют в атаках в среднем от 150 до 1500 уникальных IP-адресов прокси в Tor, позволяет им эффективно преодолевать автоматические средства защиты после нескольких неудачных попыток входа в систему. С момента начала кампании им удалось успешно заполучить таким образом около 20 целей.
Согласно отчету Microsoft, использование MFA для доступа к учетным записям Office 365 позволило большей части потенциальных жертв DEV-0343 избежать проникновений в свои системы. В целом, исследователи MSTIC и DSU представили соответствующие рекомендации и маркеры, позволяющие обнаружить связанную с DEV-0343 вредоносную активность. Абстрагируясь от конкретных инцидентов, изложенные меры могут быть полезны в практике обеспечения ИБ и для прочих компаний.
Новая хакерская группа с конца июля взламывает учетные записи Office 365, принадлежащих клиентам из числа ориентированных на США, ЕС и Израиль компаний в сфере оборонных технологий, в том числе разрабатывающим радары военного уровня, беспилотные авиатехнологии, спутниковые системы и системы связи.
Кроме того, хакерам интересны изыскания в области географических информационных систем (ГИС), пространственной аналитики, прежде всего, касающиеся Персидского залива, а также деятельности морских и грузовых транспортных компаний на Ближнем Востоке. В данном ключе активность группы укладывается к концепцию разрабатываемой Ираном спутниковой программы.
Атаки реализуются методом распыления паролей, когда хакеры каждый раз пытаются аутентифицироваться в системе, применяя один и тот же пароль к разным именам пользователей.
Атрибутировать иранских негодяев Microsoft смогли на основе сопоставления вредоносной деятельности с национальными интересами Ирана, а также совпадения ТТР группировки с иными известными кампаниями, в том числе были выявлены «обширные» пересечения секторных и географических целей других связанных с Ираном АРТ.
DEV-0343 стремятся скомпрометировать любые конечные точки Autodiscover и ActiveSync Exchange с помощью своей техники, отрабатывая фактически все активные учетные записи целевой системы перебором каждой из них до 1000 раз. При этом хакеры используют в атаках в среднем от 150 до 1500 уникальных IP-адресов прокси в Tor, позволяет им эффективно преодолевать автоматические средства защиты после нескольких неудачных попыток входа в систему. С момента начала кампании им удалось успешно заполучить таким образом около 20 целей.
Согласно отчету Microsoft, использование MFA для доступа к учетным записям Office 365 позволило большей части потенциальных жертв DEV-0343 избежать проникновений в свои системы. В целом, исследователи MSTIC и DSU представили соответствующие рекомендации и маркеры, позволяющие обнаружить связанную с DEV-0343 вредоносную активность. Абстрагируясь от конкретных инцидентов, изложенные меры могут быть полезны в практике обеспечения ИБ и для прочих компаний.
Microsoft News
Iran-linked DEV-0343 targeting defense, GIS, and maritime sectors
MSTIC has observed DEV-0343 conducting extensive password spraying against more than 250 Office 365 tenants, with a focus on United States and Israeli defense technology companies, Persian Gulf ports of entry, or global maritime transportation companies with…
Обнаружены серьезные уязвимости в маршрутизаторах IR615 LTE от поставщика промышленных решений IoT InHand Networks, имеющего широкую клиентскую сеть по всему миру, в число которых входят Siemens, GE Healthcare, Coca Cola, Philips Healthcare и другие крупные компании.
Баги были обнаружены почти год назад специалистами из OTORIO, занимающейся промышленной кибербезопасностью, в общей сложности - 13 уязвимостей. В том числе: критическая подделка межсайтовых запросов (CSRF), удаленное выполнение кода, внедрение команд и проблемы с политикой слабых паролей, а также ошибки, связанные с неправильной авторизацией и межсайтовыми сценариями (XSS). Все они могут подвергнуть многие организации удаленным атакам.
Злоумышленник может воспользоваться уязвимостью удаленного выполнения кода, чтобы получить первую точку опоры на устройстве InHand с помощью команд интерфейса командной строки и имплантировать первый бэкдор для закрепления. После чего он может начать сканирование внутренней сети организации, повысить свои привилегии и получить доступ к важным активам внутри сети жертвы.
По этому поводу волнения появились даже у CISA, ведь до настоящего времени несмотря на запросы ведомства производитель так и не выпустил исправлений, а в глобальной сети доступны тысячи потенциально уязвимых маршрутизаторов InHand. При том, что OTORIO уведомили CISA и InHand Networks еще в ноябре 2020 года.
Довольствоваться остается лишь общими мерами по снижению рисков эксплуатации, над которыми потрудились представители регулятора.
Баги были обнаружены почти год назад специалистами из OTORIO, занимающейся промышленной кибербезопасностью, в общей сложности - 13 уязвимостей. В том числе: критическая подделка межсайтовых запросов (CSRF), удаленное выполнение кода, внедрение команд и проблемы с политикой слабых паролей, а также ошибки, связанные с неправильной авторизацией и межсайтовыми сценариями (XSS). Все они могут подвергнуть многие организации удаленным атакам.
Злоумышленник может воспользоваться уязвимостью удаленного выполнения кода, чтобы получить первую точку опоры на устройстве InHand с помощью команд интерфейса командной строки и имплантировать первый бэкдор для закрепления. После чего он может начать сканирование внутренней сети организации, повысить свои привилегии и получить доступ к важным активам внутри сети жертвы.
По этому поводу волнения появились даже у CISA, ведь до настоящего времени несмотря на запросы ведомства производитель так и не выпустил исправлений, а в глобальной сети доступны тысячи потенциально уязвимых маршрутизаторов InHand. При том, что OTORIO уведомили CISA и InHand Networks еще в ноябре 2020 года.
Довольствоваться остается лишь общими мерами по снижению рисков эксплуатации, над которыми потрудились представители регулятора.
Ну, и ни дня без наших любимых ransomware.
Говорят, что в одну воронку снаряд дважды не попадает, также думали и представители крупнейшей медицинской компании Olympus, которым пришлось остановить всю свою работу в Северной и Южной Америке (США, Канада и Латинская Америка) после второй атаки вымогателей. Инцидент произошёл в воскресенье, 10 октября 2021 года.
Буквально ещё в сентябре компания испытала на себе все прелести вымогателей, однако им оперативно удалось восстановить свою IT в пострадавшем сегменте EMEA (Европа, Ближний Восток, Африка), о чем мы сообщали ранее, если вы помните.
Компания не раскрыла, были ли доступны или украдены данные клиентов или компании во время «потенциального инцидента с кибербезопасностью», но заявила, что предоставит новую информацию о атаке, как только она будет доступна.
Следуя стандартной пиар-практике, Olympus заявили, что не обнаружили доказательств потери данных в ходе предварительного расследования инцидента.
Несмотря на то, что Olympus не разглашает сведений о личности злоумышленников, заметки о выкупе прямо указывают на инициатора атаки - BlackMatter.
Что же сказать - в деле профессионалы, правда на стороне атакующих, чего не скажешь о пострадавших. Если в прошлый раз мы сомневались насчёт выкупа, то сейчас можно с уверенностью полагать, что хакерам, вероятно, все же есть на что рассчитывать.
Говорят, что в одну воронку снаряд дважды не попадает, также думали и представители крупнейшей медицинской компании Olympus, которым пришлось остановить всю свою работу в Северной и Южной Америке (США, Канада и Латинская Америка) после второй атаки вымогателей. Инцидент произошёл в воскресенье, 10 октября 2021 года.
Буквально ещё в сентябре компания испытала на себе все прелести вымогателей, однако им оперативно удалось восстановить свою IT в пострадавшем сегменте EMEA (Европа, Ближний Восток, Африка), о чем мы сообщали ранее, если вы помните.
Компания не раскрыла, были ли доступны или украдены данные клиентов или компании во время «потенциального инцидента с кибербезопасностью», но заявила, что предоставит новую информацию о атаке, как только она будет доступна.
Следуя стандартной пиар-практике, Olympus заявили, что не обнаружили доказательств потери данных в ходе предварительного расследования инцидента.
Несмотря на то, что Olympus не разглашает сведений о личности злоумышленников, заметки о выкупе прямо указывают на инициатора атаки - BlackMatter.
Что же сказать - в деле профессионалы, правда на стороне атакующих, чего не скажешь о пострадавших. Если в прошлый раз мы сомневались насчёт выкупа, то сейчас можно с уверенностью полагать, что хакерам, вероятно, все же есть на что рассчитывать.
Telegram
SecAtor
Понеслось. Похоже, что помимо софта BlackMatter успешно переняли у DarkSide и технологию подбора жертв.
В тиски ransomware попала ведущая компания в области медицинских технологий Olympus. Компания насчитывает более 31 000 сотрудников по всему миру и имеет…
В тиски ransomware попала ведущая компания в области медицинских технологий Olympus. Компания насчитывает более 31 000 сотрудников по всему миру и имеет…
12 октября во всех регионах России и странах ближнего зарубежья (Казахстан, Белоруссия, Монголия, Таджикистан и др.) стартовал пятый, юбилейный Всероссийский экономический диктант. Но реализовать проверку экономической грамотности населения не получилось, ресурс https://diktant.org/ не работал.
Организаторы сослались на «хакерские атаки», в связи с чем проведение диктанта онлайн вызвало большие затруднения. Как нам кажется, вероятнее, банально не рассчитали мощности.
В этой связи онлайн мероприятие перенесено и состоится 13 октября с 5:00 до 22:00. Пока что проверить свои знания в области экономики, утрируя заявления организаторов, смогли хакеры, завалившие диктант в прямом смысле этого слова.
Организаторы сослались на «хакерские атаки», в связи с чем проведение диктанта онлайн вызвало большие затруднения. Как нам кажется, вероятнее, банально не рассчитали мощности.
В этой связи онлайн мероприятие перенесено и состоится 13 октября с 5:00 до 22:00. Пока что проверить свои знания в области экономики, утрируя заявления организаторов, смогли хакеры, завалившие диктант в прямом смысле этого слова.
Практически невозможно представить, если бы Сбер отключил бы в РФ все свои банкоматы и закрыл офисы. Но для жителей Эквадора такой сценарий стал реальностью. В прошедшие выходные, когда крупнейший частный банк страны Banco Pichincha подвергся кибератаке, вырубившей всю инфраструктуру, включая банком и системы дистанционного банковского обслуживания.
Сразу после инцидента сотрудникам финучреждения были направлены уведомления о том, что банковские приложения, электронная почта, цифровые каналы и сервисы самообслуживания, в том числе и мобильное приложение, не будут работать из-за технических проблем.
Демонстрировать спокойствие в такой ситуации Banco Pichincha смогли лишь не более двух дней, после чего признались об атаке и ее негативных последствиях, заявив об отсутствии финансовых потерь или каких-либо угроз безопасности сбережений клиентов.
На данный момент обстоятельства атаки публично не разглашаются. Но, как все уже успели догадаться, речь идет о ransomware со следами Cobalt Strike. Ранее кстати в феврале Banco Pichincha уже хакали ребята из Hotarus Corp, которым удалось похитить из сети данные.
Несмотря на то, что банкоматы финансистам все же удалось запустить и в скором времени, по всей видимости, будет восстановлена работа и других сервисов, на переговорный процесс это вряд ли как-то повлияет.
Сразу после инцидента сотрудникам финучреждения были направлены уведомления о том, что банковские приложения, электронная почта, цифровые каналы и сервисы самообслуживания, в том числе и мобильное приложение, не будут работать из-за технических проблем.
Демонстрировать спокойствие в такой ситуации Banco Pichincha смогли лишь не более двух дней, после чего признались об атаке и ее негативных последствиях, заявив об отсутствии финансовых потерь или каких-либо угроз безопасности сбережений клиентов.
На данный момент обстоятельства атаки публично не разглашаются. Но, как все уже успели догадаться, речь идет о ransomware со следами Cobalt Strike. Ранее кстати в феврале Banco Pichincha уже хакали ребята из Hotarus Corp, которым удалось похитить из сети данные.
Несмотря на то, что банкоматы финансистам все же удалось запустить и в скором времени, по всей видимости, будет восстановлена работа и других сервисов, на переговорный процесс это вряд ли как-то повлияет.
Twitter
Rubén Cordero
@BancoPichincha Me ROBARON por tercera ocasión!! ATM Banco Pichincha ubicado Colón e/Sucre y Olmedo Machala El Oro Ecuador No me entrega el cajero el dinero, sin embargo me debito de mi cuenta bancaria.