Пулеметной очередью Google исправляет критические уязвимости в своих браузерах. Доступны обновленные версии Chrome для Windows, Mac и Linux, которые устраняют в общей сложности четыре уязвимости.

Самая серьезная уязвимость, отслеживается как CVE-2021-37977 и связана с проблемой сборки мусора, которая может привести к выполнению произвольного кода в целевой системе. Об уязвимости сообщил анонимный исследователь, а щедрый Google поощрил неизвестного специалиста вознаграждением в 10 000 долларов.

Следующие две уязвимости CVE-2021-37978 и CVE-2021-37979 связанны с переполнением буфера в браузерном движке Blink и в механизме потоковой передачи данных WebRTC, соответственно. За эти баги Google, раздал исследователям Янкану из 360 ATA и Марчину Товальски из Cisco Talos по 7500 долларов.

Четвертая ошибка, исправленная в новом выпуске Chrome CVE-2021-37980 найдена в реализации режима песочницы (sandbox). За эту багу исследователь Ёнхви Джин получил бонус в размере 3000 долларов.

Подробные данные об ошибках в Google не раскрывают до тех пор, пока большинство пользователей не установит обновление безопасности. В связи с чем, поисковый гигант рекомендует обновиться как можно скорее. Со слов компании фактов использования в целевых атаках пока не выявлено, но для применения некоторых уязвимостей в сети уже появились соответствующие эксплойты.

АНБ предупреждает о новой атаке ALPACA TLS и рекомендует администраторам NSS, DoD и DIB следить за тем, чтобы использование шаблонных сертификатов в их организациях не создавало угроз для реализации этой атаки.

Вектор атаки ALPACA был обнаружен еще в июне этого года, и позволяет использовать веб-сервер, работающий по нескольким протоколам прикладного уровня, для ответа на зашифрованные запросы HTTPS через незашифрованные протоколы, такие как FTP, электронная почта (IMAP, POP3) и др. Для реализации атаки злоумышленнику также необходимо иметь возможность перехватывать трафик.

В результате успешной атаки ALPACA злоумышленник может извлечь файлы cookie сеанса и другие личные данные пользователя или выполнить произвольный JavaScript в контексте уязвимого веб-сервера, минуя TLS и безопасность веб-приложений.

Ключевым условием выступает применение жертвой подстановочных сертификатов. Подстановочный сертификат представляет собой цифровой сертификат TLS, полученный компанией из центров сертификации, который позволяют владельцу применять его в домене и на всех его субдоменах.

Традиционно компании используют сертификаты с подстановочными знаками для снижения затрат и оптимизации управления, применяя один и тот же сертификат на всех серверах и не заморачиваясь за каждый поддомен отдельно. Но если злоумышленник получает контроль над закрытым ключом, связанным с подстановочным сертификатом, он эффективно компрометирует всю компанию и получает доступ к защищенной информации.

Для защиты от новой атаки АНБ рекомендует включить согласование протокола уровня приложений (ALPN), которое является расширением TLS, которое не позволяет серверам отвечать на запросы через запрещенные протоколы (такие как FTP, IMAP или другие протоколы). Кроме того, АНБ призывает компании приготовиться в перспективе к развертыванию индивидуальных сертификатов, вместо постановочных.

Все прекрасно в сообщении АНБ, если бы оно не прозвучало спустя 4 месяца после раскрытия атаки, а в сети за этот не период не находилось бы более 120 тысяч уязвимых серверов. При том, что Google уже внедрил защиту ALPACA в веб-браузере Chrome в начале этого года.

Правозащитники продолжают «крестовый поход» на разработчиков шпионского софта. На этот раз под раздачу попала индийская компания Innefu Labs, которая согласно результатам расследования Amnesty International стояла за атаками на видных активистов из Того, а также ряда ключевых азиатских регионов.

Как выяснилось, IP-адрес, принадлежащий компании, неоднократно использовался для развёртывания полезной нагрузки шпионских программ под ОС Android.

Техподдержку и фактическое управление софтом вели хакеры Donot Team (APT-C-35), стоящие за известными атаками начиная с 2018 года в отношении правительственных структур в Юго-Восточной Азии.

Разбирая кейс в Того, исследователи задетектили шпионское ПО, закамуфлированное под мессенджер под названием ChatLite, который пользователю предлагалось установить в ходе переписки в WhatsApp. Помимо этого, злоумышленники рассылали фишинговые отправления с вложением вредоносного файла MS Word.

ChatLite представлял собой специально разработанное приложение для Android, которое позволяло злоумышленнику собирать конфиденциальные данные с устройства и подгружать дополнительные вредоносные инструменты.

При этом образец шпионского ПО, как обнаружили Amnesty, имел схожие элементы кода с Kashmir_Voice_v4.8.apk и SafeShareV67.apk, применявшихся в ходе операций Donot Team.

В реальности, к такому успеху Amnesty привел не гений спецов, а косяк разрабов из Innefu Labs, позволивший обнаружить и внимательно изучить тестовой сервер хакеров в США, где хранились скриншоты и данные кейлогинга со скомпрометированных  Android-устройств. Соснифить удалось и IP-адрес Innefu Labs, даже несмотря на то, что  он был спрятан за VPN.

Индийские разработчики разводят руками и не сознаются, ссылаясь на то, что засвеченный IP ещё ничего не доказывает.

Amnesty допускают, что Innefu не знает, как ее клиенты используют ПО, требуя провести независимый внешний аудит, который навряд ли состоится. Но несмотря на это, правозащитникам и их американским кураторам вновь удалось навести тень на поставщиков шпионских технологий.

Apple выпустили экстренное обновление iOS 15.0.2 и iPadOS 15.0.2.

На этот раз закрыли 0-day CVE-2021-30883, эксплуатация которой позволяет осуществлять выполнение кода с правами ядра на атакованном устройстве.

Также Apple заявили, что ошибка активно используется в дикой природе, подробностей, как обычно, нет. Судя по всему, CVE эксплуатируется как часть боевого эксплойт-кита.

Идем дальше. Несмотря на то, что Apple не предоставили технических подробностей уязвимости, инфосек исследователь Saar Amar оперативно провел реверс патча, создал PoC CVE-2021-30883 и успешно протестил его на iOS с 14.7.1 по 15.0.1.

Итого.
1. Необходимо в очередной раз срочно обновиться.
2. Если нам не изменяет склероз, это уже двенадцатый 0-day, закрытый Apple в своей мобильной операционке с начала года. iOS стремительно превращается в Android.

Microsoft Threat Intelligence Center (MSTIC) и Microsoft Digital Security Unit (DSU) выследили и обнаружили новый кластер вредоносной активности связанной с Ираном АРТ, которая получила наименование DEV-0343.

Новая хакерская группа с конца июля взламывает учетные записи Office 365, принадлежащих клиентам из числа ориентированных на США, ЕС и Израиль компаний в сфере оборонных технологий, в том числе разрабатывающим радары военного уровня, беспилотные авиатехнологии, спутниковые системы и системы связи.

Кроме того, хакерам интересны изыскания в области географических информационных систем (ГИС), пространственной аналитики, прежде всего, касающиеся Персидского залива, а также деятельности морских и грузовых транспортных компаний на Ближнем Востоке. В данном ключе активность группы укладывается к концепцию разрабатываемой Ираном спутниковой программы.

Атаки реализуются методом распыления паролей, когда хакеры каждый раз пытаются аутентифицироваться в системе, применяя один и тот же пароль к разным именам пользователей.

Атрибутировать иранских негодяев Microsoft смогли на основе сопоставления вредоносной деятельности с национальными интересами Ирана, а также совпадения ТТР группировки с иными известными кампаниями, в том числе были выявлены «обширные» пересечения секторных и географических целей других связанных с Ираном АРТ.

DEV-0343 стремятся скомпрометировать любые конечные точки Autodiscover и ActiveSync Exchange с помощью своей техники, отрабатывая фактически все активные учетные записи целевой системы перебором каждой из них до 1000 раз. При этом хакеры используют в атаках в среднем от 150 до 1500 уникальных IP-адресов прокси в Tor, позволяет им эффективно преодолевать автоматические средства защиты после нескольких неудачных попыток входа в систему. С момента начала кампании им удалось успешно заполучить таким образом около 20 целей.

Согласно отчету Microsoft, использование MFA для доступа к учетным записям Office 365 позволило большей части потенциальных жертв DEV-0343 избежать проникновений в свои системы. В целом, исследователи MSTIC и DSU представили соответствующие рекомендации и маркеры, позволяющие обнаружить связанную с DEV-0343 вредоносную активность. Абстрагируясь от конкретных инцидентов, изложенные меры могут быть полезны в практике обеспечения ИБ и для прочих компаний.

Обнаружены серьезные уязвимости в маршрутизаторах IR615 LTE от поставщика промышленных решений IoT InHand Networks, имеющего широкую клиентскую сеть по всему миру, в число которых входят Siemens, GE Healthcare, Coca Cola, Philips Healthcare и другие крупные компании.

Баги были обнаружены почти год назад специалистами из OTORIO, занимающейся промышленной кибербезопасностью, в общей сложности - 13 уязвимостей. В том числе: критическая подделка межсайтовых запросов (CSRF), удаленное выполнение кода, внедрение команд и проблемы с политикой слабых паролей, а также ошибки, связанные с неправильной авторизацией и межсайтовыми сценариями (XSS). Все они могут подвергнуть многие организации удаленным атакам.

Злоумышленник может воспользоваться уязвимостью удаленного выполнения кода, чтобы получить первую точку опоры на устройстве InHand с помощью команд интерфейса командной строки и имплантировать первый бэкдор для закрепления. После чего он может начать сканирование внутренней сети организации, повысить свои привилегии и получить доступ к важным активам внутри сети жертвы.

По этому поводу волнения появились даже у CISA, ведь до настоящего времени несмотря на запросы ведомства производитель так и не выпустил исправлений, а в глобальной сети доступны тысячи потенциально уязвимых маршрутизаторов InHand. При том, что OTORIO уведомили CISA и InHand Networks еще в ноябре 2020 года.

Довольствоваться остается лишь общими мерами по снижению рисков эксплуатации, над которыми потрудились представители регулятора.

Ну, и ни дня без наших любимых ransomware. 

Говорят, что в одну воронку снаряд дважды не попадает, также думали и представители крупнейшей медицинской компании Olympus, которым пришлось остановить всю свою работу в Северной и Южной Америке (США, Канада и Латинская Америка) после второй атаки вымогателей. Инцидент произошёл в воскресенье, 10 октября 2021 года.

Буквально ещё в сентябре компания испытала на себе все прелести вымогателей, однако им оперативно удалось восстановить свою IT в пострадавшем сегменте EMEA (Европа, Ближний Восток, Африка), о чем мы сообщали ранее, если вы помните.

Компания не раскрыла, были ли доступны или украдены данные клиентов или компании во время «потенциального инцидента с кибербезопасностью», но заявила, что предоставит новую информацию о атаке, как только она будет доступна.

Следуя стандартной пиар-практике, Olympus заявили, что не обнаружили доказательств потери данных в ходе предварительного  расследования инцидента.

Несмотря на то, что Olympus не разглашает сведений о личности злоумышленников, заметки о выкупе прямо указывают на инициатора атаки - BlackMatter.

Что же сказать - в деле профессионалы, правда на стороне атакующих, чего не скажешь о пострадавших. Если в прошлый раз мы сомневались насчёт выкупа, то сейчас можно с уверенностью полагать, что хакерам, вероятно, все же есть на что рассчитывать.

​​12 октября во всех регионах России и странах ближнего зарубежья (Казахстан, Белоруссия, Монголия, Таджикистан и др.) стартовал пятый, юбилейный Всероссийский экономический диктант. Но реализовать проверку экономической грамотности населения не получилось, ресурс https://diktant.org/ не работал.

Организаторы сослались на «хакерские атаки», в связи с чем проведение диктанта онлайн вызвало большие затруднения. Как нам кажется, вероятнее, банально не рассчитали мощности.

В этой связи онлайн мероприятие перенесено и состоится 13 октября с 5:00 до 22:00. Пока что проверить свои знания в области экономики, утрируя заявления организаторов, смогли хакеры, завалившие диктант в прямом смысле этого слова.

Практически невозможно представить, если бы Сбер отключил бы в РФ все свои банкоматы и закрыл офисы. Но для жителей Эквадора такой сценарий стал реальностью. В прошедшие выходные, когда крупнейший частный банк страны Banco Pichincha подвергся кибератаке, вырубившей всю инфраструктуру, включая банком и системы дистанционного банковского обслуживания.

Сразу после инцидента сотрудникам финучреждения были направлены уведомления о том, что банковские приложения, электронная почта, цифровые каналы и сервисы самообслуживания, в том числе и мобильное приложение, не будут работать из-за технических проблем.

Демонстрировать спокойствие в такой ситуации Banco Pichincha смогли лишь не более двух дней, после чего признались об атаке и ее негативных последствиях, заявив об отсутствии финансовых потерь или каких-либо угроз безопасности сбережений клиентов.

На данный момент обстоятельства атаки публично не разглашаются. Но, как все уже успели догадаться, речь идет о ransomware со следами Cobalt Strike. Ранее кстати в феврале Banco Pichincha уже хакали ребята из Hotarus Corp, которым удалось похитить из сети данные.

Несмотря на то, что банкоматы финансистам все же удалось запустить и в скором времени, по всей видимости, будет восстановлена работа и других сервисов, на переговорный процесс это вряд ли как-то повлияет.

Mayday! Mayday! из Редмонда, штата Вашингтон.

Подъехал вагон и маленькая тележка обновлений от Microsoft с исправлениями как минимум 71 ошибки безопасности в продуктах и компонентах Windows. Но вишенкой на торте стало срочное предупреждение о выявленных фактах кибершпионажа с использованием 0-day уязвимостей:

- CVE-2021-40449 (CVSS: 7,8) - уязвимость Win32k, связанная с повышением привилегий.
- CVE-2021-41335 (CVSS: 7,8) - уязвимость ядра Windows, связанная с повышением привилегий.
- CVE-2021-40469 (CVSS: 7,2) - уязвимость Windows DNS Server, связанная с удаленным выполнением кода.
- CVE-2021-41338 (CVSS: 5,5) - Уязвимость, связанная с обходом функций безопасности в правилах брандмауэра Windows AppContainer.

Производитель программного обеспечения, подтвердил эксплуатацию CVE-2021-40449 в цепочке эксплойтов, которая была обнаружена соотечественниками из Kaspersky. Исследователи прямо не заверили и сообщили, что все указывает на то, что, уязвимость использовалась APT IronHusky из Поднебесной, нацеленной на ИТ-компании, дипломатические учреждения, а также военные и оборонные предприятия. В техническом описании говорится, что цепочки заражения приводят к развертыванию трояна для удаленного доступа, способного собирать и фильтровать системную информацию из скомпрометированных хостов, прежде чем обращаться к своему серверу C2 за дальнейшими инструкциями.

Две из 71 задокументированной уязвимости имеют наивысший рейтинг серьезности по версии Microsoft. Другие наиболее опасные ошибки включают уязвимости удаленного выполнения кода, влияющие на Microsoft Exchange Server (CVE-2021-26427), Windows Hyper-V (CVE-2021-38672 и CVE-2021-40461), SharePoint Server (CVE-2021-40487 и CVE- 2021-41344) и Microsoft Word (CVE-2021-40486), а также ошибка раскрытия информации в Rich Text Edit Control (CVE-2021-40454).

А CVE-2021-26427 с рейтингом CVSS 9,0 прям настолько вошла хакерам, что засуетились даже ребята из Агентства национальной безопасности США (NSA), особо отмечая тренд нацеливания хакеров на уязвимые сервера Exchange для входа в периметр своих жертв.

Microsoft и передовой инфосек истеблишмент призывают немедленно установить обновления дабы избежать возможных негативных последствий. Ну, а мы, в свою очередь, подождём вестей от тех, кто не успел этого сделать вовремя.

​​Всех скептиков теории тотальной слежки хотим немного расстроить, большой брат есть и он действительно следит, причем конкретно за вами, и будет делать и дальше.

Группа университетских спецов из Великобритании обнаружила в ходе специального исследования целый букет проблем, связанных с конфиденциальностью в смартфонах Android. Опыты ставились на Samsung, Xiaomi, Realme и Huawei, а также на LineageOS и /e/OS.

Результаты оказались весьма неутешительными: даже при выключенных опциях и установленных ограничениях адаптированные производителями под свои девайсы системы Android передают значительный объем информации разработчику ОС, а также авторам предустановленного ПО, в том числе Google, Microsoft, LinkedIn, Facebook и др. Причем Google среди них лидирует по сбору телеметрии.

Отключить разрешения или отказаться от этого шпионского произвола невозможно. Примечательно, что устанавливаемое производителями девайсов стороннее ПО, даже если оно вами не используется - все равно собирает в фоновом режиме инфу, а удалить его невозможно. При этом часть встроенных системных приложений, таких как miui.analytics (Xiaomi), Heytap (Realme) и Hicloud (Huawei) еще и криво работают, позволяя декодировать зашифрованные данные в ходе атаки MitM.

В случае сброса пользователем рекламного идентификатора для своей учетной записи Google на Android, система сбора данных автоматически свяжет новый идентификатор с тем же устройством и добавить его в предыдущую историю мониторинга. Деанонимизация и привязка пользователя происходит с использованием различных методов, таких как просмотр SIM-карты, IMEI, истории данных о местоположении, IP-адреса, сетевого SSID и их множественных комбинаций.

Современный бизнес мобильных ОС основан на промышленном сборе личных данных, и «конфиденциальность» в нем не предусмотрена даже в качестве опции. Просто оцените таблицу с результатами тестов для понимания того, куда и в каком объеме текут ваши пользовательские данные и вся телеметрия. Впечатляет!

Стремление к совершенству в попытках внедрить в нашу жизнь технологии на основе Blockchain, порой могут дорого обойтись ее владельцам и пользователям.

Буквально на днях исправлена критическая бага на крупнейшем маркетплейсе OpenSea - торговой площадке, где можно продавать и покупать NFT (невзаимозаменяемые токены) и другие активы. Для справки обороты транзакций только за август 2021 года составили более 3,4 миллиарда долларов США.

Критическая уязвимость, могла быть использована злоумышленниками для кражи криптовалюты путем отправки специально созданного токена, позволяющего реализовать новый вектор атаки для последующей эксплуатации.

Фишка в том, что в OpenSea любой может продавать уникальные цифровые активы NFT, например фотографии, видео, аудио и другие предметы, которые можно обменивать на блокчейне, используя технологию в качестве сертификата подлинности. А платформа в свою очередь позволяет загружать активы в виде файлов размером до 40 Мб с любым из следующих расширений: JPG, PNG, GIF, SVG, MP4, WEBM, MP3, WAV, OGG, GLB, GLTF.

Зная об этом, эксперты из Check Point загрузили на OpenSea изображение SVG, содержащее вредоносный код JavaScript. При нажатии на него, чтобы открыть в новой вкладке, обнаружилось, что файл выполняется в поддомене storage.opensea.io. Тогда исследователи добавили iFrame к изображению для загрузки HTML-кода, который будет внедрять запрос window.ethereum, необходимый для установления связи с Ethereum-кошельком жертвы.

Причиной расследования послужили публичные сообщения об украденных кошельках с криптой, а также бесплатными NFT, которые якобы раздавали пользователям. Вскоре исследователям удалось связаться с жертвой мошенников, которая сообщила, что ее криптовалютный кошелек был взломан, а незадолго до этого она взаимодействовала с одной из площадок щедро раздающих халявные токены.

Сама площадка благо не пострадала, но пару мамонтов в погоне за бесплатным сыром все же удалось развести.

​👾 ARGUS. Python Keylogger.

• Один из первых в мире кейлоггеров появился в годы холодной войны, советские разведчики шпионили за американскими дипломатами с помощью жучка, спрятанного в печатных машинках IBM Selectric. Устройства находились внутри 16 пишущих машинок, используемых с 1976 по 1984 в посольстве США в Москве и Ленинграде.

• Принцип работы жучка заключался в движении пишущей головки: для набора текста ей нужно было поворачиваться в определенном направлении, уникальном для каждого символа на клавиатуре. Механизм улавливал энергию магнитного поля от движения каретки и преобразовывал ее в цифровой сигнал. Каждый полученный сигнал хранился на жучке в виде четырехбитного символа. Устройство сохраняла до восьми таких символов, после чего передавало их советским шпионам.

• 12 октября 2015 года эту историю рассказал член совета директоров Международной ассоциации криптологических исследований Брюс Шнайер.

🖖🏻 Приветствую тебя user_name.

• Само слово «кейлоггер» — это устоявшееся, но некорректное название. Первые утилиты этого класса действительно записывали в лог только нажатия клавиш и вели себя почти как обычные программы. По мере развития они научились скрывать свою активность все лучше и собирать гораздо больше данных о действиях за компьютером, на котором были запущены.

• Сегодня ты узнаешь об интересном кейлоггере, с богатым функционалом, написанным на Python, который совместим с Win и MacOS.

📌 Основные возможности:

• Умеет делать скриншоты и записывать нажатие клавиш.
• Сохраняет дамп истории Chrome и файлов cookie.
• Имеет возможность мониторинга системной информации.
• Определяет местоположение.
• Отправляет журналы в Gmail.
• Позволяет скрыть окно и добавить в автозагрузку в Windows.
• Имеет возможность определять публичный и частный IP-адрес.
• Легко настраивается.
• Умеет делать снимки веб-камеры.

🧷 https://github.com/ALDON94/argus

• Обязательно обрати внимание на дополнительный материал:

• Python Backdoor.
• O•MG keylogger cable.
• AirDrive Keylogger Pro.
• Скрытый кейлоггинг. Обзор KeyLogger PRO.
• Устанавливаем и запускаем кейлоггер на Linux.

‼️ Другую информацию по теме ты можешь найти по хештегам #Keylogger #Tools #СИ #Взлом и #Hack. Твой S.E.

👆👆👆
весь арсенал, о котором должен знать каждый специалист по информационной безопасности, вне зависимости от цвета шляпы. Всё только самое вкусное и важное по Социальной Инженерии лежит в одном месте: https://news.1rj.ru/str/Social_engineering. А в комплексе с OSINT открывает весьма большие перспективы.

Что и следовало ожидать.

Администрация Байдена все же приступила к созданию коалиции по борьбе с киберпреступность из 30 стран, угадайте кого не позвали. Впрочем, мы уже писали об этом.

Все правильно, более того в адрес России прозвучали новые претензии в пособничестве бандам вымогателей, а КНР обвинили в недавних атаках на сервера Microsoft Exchange.

Как отметили американские правоохранители, несмотря на начавшееся взаимодействие и первые положительные результаты после переговоров на высоком уровне, атаки против инфраструктуры США не только продолжились, но и участились.

Инициированная интеграция получила наименование Инициатива по борьбе с программами-вымогателями и проходит в формате двухдневного онлайн-форума под руководством Белого дома.

Ожидается, что проект станет основой для выстраивания сотрудничества правоохранительных органов и дипломатических связей по борьбе с ransomeware.

За два дня пройдёт шесть сессий и четыре панельных дискуссий. При этом представители Индией выступят модераторами по теме устойчивости, Австралии - по противодействию акторам угроз, Соединенного Королевства - по виртуальной валюте и Германии - по международному сотрудничеству. Повестка и возможные решения - не разглашаются.

Все это вовсе не похоже на инициативу по борьбе с киберупреступностью, а больше напоминает политические инсинуации. Этим и объясняются многие пробелы и казусы в атрибуциях, которые допускают западные инфосек компании последнее время.

Но, полагаем, что по существу решить вопросы в таком формате у западных партнёров вряд ли не получится.

По второму кругу пустили тайваньского компьютерного гиганта Acer хакеры, реализовавшие, согласно сообщению жертвы, «изолированноую атаку» на системы послепродажного обслуживания в Индии.

Напомним, Acer - тайваньская транснациональная компания, шестой в мире производитель компьютерных технологий со штатом в 7000 сотрудников в 40 странах мира и ежегодной прибылью более 9 миллиардов долларов.

В марте Acer потрошили REvil, потребовав выкуп в размере 50 миллионов долларов. На этот раз злоумышленники украли и выложили на RAID более 60 ГБ файлов и баз данных с серверов Acer.

По предварительной оценке, украденные файлы включают в себя сведения о клиентах, корпоративных и финансовых показателях, а также учетные данные розничных торговых представительств и дистрибьюторов Acer в Индии. В качестве пруфов хакеры слили видео с демонстрацией более 10 000 записей клиентов и 3 000 торговых точек.

Печальная тенденция.

Грядет серьезная расправа в стиле "Меча Гедеона" ибо под ударом банды шифровальщиков оказался израильский медицинский центр Хиллеля Яффе в Хадере.

По словам официальных лиц, израильская больница в среду подверглась атаке с использованием ransomware, а киберуправление назвало это первой атакой на медицинские учреждения в стране.

В результате инцидента персоналу больницы в срочном порядке пришлось использовать альтернативные системы для лечения пациентов и записывать информацию вручную. Сейчас больница работает в обычном режиме, за исключением плановых, неотложных операций. Все критическое оборудование работает должным образом, в том числе сканеры КТ и МРТ. Соседний медицинский центр Ланиадо в Нетании принимает неотложных пациентов из пострадавшей больницы.

Об инциденте сообщили в Национальное управление кибербезопасности и теперь над его расследованием работают лучшие специалисты. В качестве превентивной меры об инциденте проинформираны другие больницы.

По предварительным данным, нападение было совершено новой группой хакеров, которая также ответственна за нападение на больницу в США. Главный специалист по информационной безопасности Cato Networks Амит Спитцер, заявил, что инцидент «вызывает вопросы о судьбе личной медицинской информации многих пациентов в больнице». Кроме того, среди представителей израильского инфосека преобладает предположение, что нападение было совершено без цели получения выкупа, как враждебная спланированная операуция.

Поэтому внимательно наблюдаем за развитием событий. Как мы знаем, ребята со Святой земли не оставляют такие дела без ответа.

Ну неужели? WhatsApp запускает сквозное шифрование резервных копий чатов для iOS и Android.

Речь идет об уже существующей функции резервирования, которая реализована путем создания резервных копий переписки в онлайн-хранилищах: в iOS - на iCloud, для Android предусмотрено хранение на Google Диске. В случае переустановки приложения - пользователь всегда может развернуть бэкап на новом устройстве.

Несмотря на защиту сквозным шифрованием (e2ee) диалогов в WhatsApp, до настоящего времени в случае проведения целевой атаки MiTM или компрометации SIM-карты, злоумышленник потенциально мог воспользоваться функцией облачного хранения ваших копий и накатить чаты в контролируемый девайс.

Начиная с сегодняшнего дня Facebook, внедряет в WhatsApp новую функцию, позволяющую выполнять сквозное шифрование резервных копий чатов независимо от того, где они хранятся. Пользователи приложения смогут устанавливать пароль для зашифрованной резервной копии, который потребуется ввести перед загрузкой в iCloud или Google Drive. Альтернативной опцией станет также применение 64-значного ключа для шифрования бэкапов. Услуга внедряется не сразу, а постепенно будет открываться для пользователей последний версий менеджера.

Facebook настаивает, что ни WhatsApp, ни поставщик платформы для облачного хранения не смогут знакомиться с содержимым резервных копий или получить доступ к ключу для расшифровки. Никто, кроме… вас самих, вашей совести и вашего куратора из спецслужб.

Монументально потрудились специалисты службы сканирования Google VirusTotal, выпустив отчет по результатам анализа 80 миллионов образцов ransomware, представленных из 140 стран.

В 2020 году и в первой половине 2021 года исследователями выявлено не менее 130 семейств активных программ-вымогателей. При этом многие из крупных вредоносных кампаний вымогателей были актуальны в короткой перспективе, но примерно 100 штаммов программ-вымогателей сохраняют свою активность на постоянной основе.

Проанализированные образцы были сгруппированы по 30 000 кластеров вредоносных программ, на долю GandCrab приходилось 6 000, за ним следовали Cerber с почти 5 000 кластеров и Congur с примерно 2 500 кластерами. Таким образом, согласно анализу GandCrab является самым активным семейством программ-вымогателей, поражающих системы Windows с начала 2020 года. GandCrab также остается лидером даже по количеству различных образцов, отправленных в VirusTotal, составляя 78,5% из них.

Бабук, появившийся в начале 2021 года и использовавшийся при нападении на Департамент столичной полиции Вашингтона занял второе место с 7,61% представленных образцов. Cerber (с 3,11% выборок), Matsnu (2,63%) и WannaCry (2,41%) замыкают пятерку лидеров. Далее следуют: Congur (1,52%), Locky (1,29%), Teslacrypt (1,12%), Rkor (1,11%) и Reveon (0,70%).

Анализ VirusTotal также показал, что злоумышленники используют ряд подходов, в том числе хорошо известные вредоносные программы для бот-сетей и другие трояны удаленного доступа (RAT) в качестве средств доставки своих программ-вымогателей. В большинстве случаев они задействуют свежие или новые образцы программ-вымогателей для своих кампаний. Злоумышленники также прибегают к эксплойтам для повышения привилегий и распространения своего вредоносного ПО во внутренних сетях.

Emotet, Zbot, Dridex, Gozi и Danabot были основными вредоносными артефактами, используемыми для распространения программ-вымогателей.

Большинство программ-вымогателей по-прежнему нацелены на системы Windows, поскольку примерно 95% образцов представляют собой исполняемые файлы для Windows или библиотеки динамической компоновки (DLL). На долю программ-вымогателей под Android приходилось 2% образцов. Google также обнаружил примерно 1 миллион образцов вымогателей EvilQuest, нацеленных на машины с macOS. Около 5% проанализированных образцов были связаны с эксплойтами, связанными с повышением привилегий Windows, раскрытием информации SMB и удаленным выполнением.

наиболее пострадавшим от ransomware оказался Израиль, количество представленных образцов увеличилось на 600%. За ним следуют: Южная Корея, Вьетнам, Китай, Сингапур, Индия, Казахстан, Филиппины, Иран и Великобритания.

​​Пожалуй, закончим неделю на прекрасной ноте: эксперты Positive Technologies проанализировали наиболее известные за последние 10 лет семейства руткитов - программ, позволяющих скрыть в системе присутствие ВПО или следы пребывания злоумышленников.

Руткиты, особенно работающие в режиме ядра, очень сложны в разработке, поэтому их используют либо высококвалифицированные APT, которые обладают нужными навыками, либо группы, чьи финансовые возможности позволяют купить руткиты на теневом рынке. Это могут быть как финансово мотивированные преступники, которые похищают крупные суммы денег, так и группировки, добывающие информацию и совершающие разрушительные действия в инфраструктуре жертвы в интересах заказчиков.

Неудивительно, что инциденты с обнаружением руткитов, как правило, отсылают к громким атакам с резонансными последствиями, поскольку зачастую они являются частью многофункционального вредоносного ПО, которое перехватывает сетевой трафик, шпионит за пользователями, похищает сведения для аутентификации или использует ресурсы жертв для проведения DDoS-атак. Все помним, легендарный Stuxnet, задействовавшийся по теме ядерной программы Ирана.

Согласно полученным данным, в 44% случаев злоумышленники использовали руткиты в атаках на госучреждения. Чуть реже (38% случаев) эти вредоносы применялись для атак на исследовательские институты.

В топ-5 наиболее атакуемых посредством руткитов отраслей по итогам исследования также вошли телеком (25%), промышленность (19%) и финансовые организации (19%). Помимо этого, более половины руткитов (56%) используются хакерами в атаках на частных лиц. Главным образом, это таргетированные атаки в рамках кампаний по кибершпионажу в отношении высокопоставленных чиновников, дипломатов и сотрудников целевых организаций.

В 77% случаев руткиты использовались злоумышленниками для шпионажа, примерно в трети случаев (31%) для извлечения финансовой выгоды, и лишь в 15% атак эксперты отметили мотив эксплуатации инфраструктуры компании-жертвы для проведения последующих атак.

В даркнете представлены, в основном, руткитов пользовательского уровня под массовку. Стоимость руткита варьируется от 45 до 100 000 долларов США и зависит от условий и дополнительных функций (чаще всего запрашивают получение удаленного доступа и сокрытие файлов, процессов и сетевой активности). В некоторых случаях разработчики предлагают доработку руткита под нужды заказчика и оказывают сервисное сопровождение.

Большая часть предлагаемого товара заточена под Windows (почти 67% всех предложений). Это коррелирует с результатами исследования: доля таких образцов в выборке вредоносов, изученных Positive Technologies, также превалирует, составляя 69%.

По оценкам исследователей, разработки malware таких типов будут только расти и усложняться. Ожидается, что руткиты продолжат работать, прежде всего, в интересах APT для сокрытия сложных целевых атак под различные тактические (шпионаж) или стратегические (деструктивное воздействие на инфраструктуру) задачи.

Можно много чего еще рассказать интересного из отчета, но лучше Positive Technologies, определенно, никто точно не сделает, так что к прочтению настоятельно рекомендуем.