Обнаружены серьезные уязвимости в маршрутизаторах IR615 LTE от поставщика промышленных решений IoT InHand Networks, имеющего широкую клиентскую сеть по всему миру, в число которых входят Siemens, GE Healthcare, Coca Cola, Philips Healthcare и другие крупные компании.
Баги были обнаружены почти год назад специалистами из OTORIO, занимающейся промышленной кибербезопасностью, в общей сложности - 13 уязвимостей. В том числе: критическая подделка межсайтовых запросов (CSRF), удаленное выполнение кода, внедрение команд и проблемы с политикой слабых паролей, а также ошибки, связанные с неправильной авторизацией и межсайтовыми сценариями (XSS). Все они могут подвергнуть многие организации удаленным атакам.
Злоумышленник может воспользоваться уязвимостью удаленного выполнения кода, чтобы получить первую точку опоры на устройстве InHand с помощью команд интерфейса командной строки и имплантировать первый бэкдор для закрепления. После чего он может начать сканирование внутренней сети организации, повысить свои привилегии и получить доступ к важным активам внутри сети жертвы.
По этому поводу волнения появились даже у CISA, ведь до настоящего времени несмотря на запросы ведомства производитель так и не выпустил исправлений, а в глобальной сети доступны тысячи потенциально уязвимых маршрутизаторов InHand. При том, что OTORIO уведомили CISA и InHand Networks еще в ноябре 2020 года.
Довольствоваться остается лишь общими мерами по снижению рисков эксплуатации, над которыми потрудились представители регулятора.
Баги были обнаружены почти год назад специалистами из OTORIO, занимающейся промышленной кибербезопасностью, в общей сложности - 13 уязвимостей. В том числе: критическая подделка межсайтовых запросов (CSRF), удаленное выполнение кода, внедрение команд и проблемы с политикой слабых паролей, а также ошибки, связанные с неправильной авторизацией и межсайтовыми сценариями (XSS). Все они могут подвергнуть многие организации удаленным атакам.
Злоумышленник может воспользоваться уязвимостью удаленного выполнения кода, чтобы получить первую точку опоры на устройстве InHand с помощью команд интерфейса командной строки и имплантировать первый бэкдор для закрепления. После чего он может начать сканирование внутренней сети организации, повысить свои привилегии и получить доступ к важным активам внутри сети жертвы.
По этому поводу волнения появились даже у CISA, ведь до настоящего времени несмотря на запросы ведомства производитель так и не выпустил исправлений, а в глобальной сети доступны тысячи потенциально уязвимых маршрутизаторов InHand. При том, что OTORIO уведомили CISA и InHand Networks еще в ноябре 2020 года.
Довольствоваться остается лишь общими мерами по снижению рисков эксплуатации, над которыми потрудились представители регулятора.
Ну, и ни дня без наших любимых ransomware.
Говорят, что в одну воронку снаряд дважды не попадает, также думали и представители крупнейшей медицинской компании Olympus, которым пришлось остановить всю свою работу в Северной и Южной Америке (США, Канада и Латинская Америка) после второй атаки вымогателей. Инцидент произошёл в воскресенье, 10 октября 2021 года.
Буквально ещё в сентябре компания испытала на себе все прелести вымогателей, однако им оперативно удалось восстановить свою IT в пострадавшем сегменте EMEA (Европа, Ближний Восток, Африка), о чем мы сообщали ранее, если вы помните.
Компания не раскрыла, были ли доступны или украдены данные клиентов или компании во время «потенциального инцидента с кибербезопасностью», но заявила, что предоставит новую информацию о атаке, как только она будет доступна.
Следуя стандартной пиар-практике, Olympus заявили, что не обнаружили доказательств потери данных в ходе предварительного расследования инцидента.
Несмотря на то, что Olympus не разглашает сведений о личности злоумышленников, заметки о выкупе прямо указывают на инициатора атаки - BlackMatter.
Что же сказать - в деле профессионалы, правда на стороне атакующих, чего не скажешь о пострадавших. Если в прошлый раз мы сомневались насчёт выкупа, то сейчас можно с уверенностью полагать, что хакерам, вероятно, все же есть на что рассчитывать.
Говорят, что в одну воронку снаряд дважды не попадает, также думали и представители крупнейшей медицинской компании Olympus, которым пришлось остановить всю свою работу в Северной и Южной Америке (США, Канада и Латинская Америка) после второй атаки вымогателей. Инцидент произошёл в воскресенье, 10 октября 2021 года.
Буквально ещё в сентябре компания испытала на себе все прелести вымогателей, однако им оперативно удалось восстановить свою IT в пострадавшем сегменте EMEA (Европа, Ближний Восток, Африка), о чем мы сообщали ранее, если вы помните.
Компания не раскрыла, были ли доступны или украдены данные клиентов или компании во время «потенциального инцидента с кибербезопасностью», но заявила, что предоставит новую информацию о атаке, как только она будет доступна.
Следуя стандартной пиар-практике, Olympus заявили, что не обнаружили доказательств потери данных в ходе предварительного расследования инцидента.
Несмотря на то, что Olympus не разглашает сведений о личности злоумышленников, заметки о выкупе прямо указывают на инициатора атаки - BlackMatter.
Что же сказать - в деле профессионалы, правда на стороне атакующих, чего не скажешь о пострадавших. Если в прошлый раз мы сомневались насчёт выкупа, то сейчас можно с уверенностью полагать, что хакерам, вероятно, все же есть на что рассчитывать.
Telegram
SecAtor
Понеслось. Похоже, что помимо софта BlackMatter успешно переняли у DarkSide и технологию подбора жертв.
В тиски ransomware попала ведущая компания в области медицинских технологий Olympus. Компания насчитывает более 31 000 сотрудников по всему миру и имеет…
В тиски ransomware попала ведущая компания в области медицинских технологий Olympus. Компания насчитывает более 31 000 сотрудников по всему миру и имеет…
12 октября во всех регионах России и странах ближнего зарубежья (Казахстан, Белоруссия, Монголия, Таджикистан и др.) стартовал пятый, юбилейный Всероссийский экономический диктант. Но реализовать проверку экономической грамотности населения не получилось, ресурс https://diktant.org/ не работал.
Организаторы сослались на «хакерские атаки», в связи с чем проведение диктанта онлайн вызвало большие затруднения. Как нам кажется, вероятнее, банально не рассчитали мощности.
В этой связи онлайн мероприятие перенесено и состоится 13 октября с 5:00 до 22:00. Пока что проверить свои знания в области экономики, утрируя заявления организаторов, смогли хакеры, завалившие диктант в прямом смысле этого слова.
Организаторы сослались на «хакерские атаки», в связи с чем проведение диктанта онлайн вызвало большие затруднения. Как нам кажется, вероятнее, банально не рассчитали мощности.
В этой связи онлайн мероприятие перенесено и состоится 13 октября с 5:00 до 22:00. Пока что проверить свои знания в области экономики, утрируя заявления организаторов, смогли хакеры, завалившие диктант в прямом смысле этого слова.
Практически невозможно представить, если бы Сбер отключил бы в РФ все свои банкоматы и закрыл офисы. Но для жителей Эквадора такой сценарий стал реальностью. В прошедшие выходные, когда крупнейший частный банк страны Banco Pichincha подвергся кибератаке, вырубившей всю инфраструктуру, включая банком и системы дистанционного банковского обслуживания.
Сразу после инцидента сотрудникам финучреждения были направлены уведомления о том, что банковские приложения, электронная почта, цифровые каналы и сервисы самообслуживания, в том числе и мобильное приложение, не будут работать из-за технических проблем.
Демонстрировать спокойствие в такой ситуации Banco Pichincha смогли лишь не более двух дней, после чего признались об атаке и ее негативных последствиях, заявив об отсутствии финансовых потерь или каких-либо угроз безопасности сбережений клиентов.
На данный момент обстоятельства атаки публично не разглашаются. Но, как все уже успели догадаться, речь идет о ransomware со следами Cobalt Strike. Ранее кстати в феврале Banco Pichincha уже хакали ребята из Hotarus Corp, которым удалось похитить из сети данные.
Несмотря на то, что банкоматы финансистам все же удалось запустить и в скором времени, по всей видимости, будет восстановлена работа и других сервисов, на переговорный процесс это вряд ли как-то повлияет.
Сразу после инцидента сотрудникам финучреждения были направлены уведомления о том, что банковские приложения, электронная почта, цифровые каналы и сервисы самообслуживания, в том числе и мобильное приложение, не будут работать из-за технических проблем.
Демонстрировать спокойствие в такой ситуации Banco Pichincha смогли лишь не более двух дней, после чего признались об атаке и ее негативных последствиях, заявив об отсутствии финансовых потерь или каких-либо угроз безопасности сбережений клиентов.
На данный момент обстоятельства атаки публично не разглашаются. Но, как все уже успели догадаться, речь идет о ransomware со следами Cobalt Strike. Ранее кстати в феврале Banco Pichincha уже хакали ребята из Hotarus Corp, которым удалось похитить из сети данные.
Несмотря на то, что банкоматы финансистам все же удалось запустить и в скором времени, по всей видимости, будет восстановлена работа и других сервисов, на переговорный процесс это вряд ли как-то повлияет.
Twitter
Rubén Cordero
@BancoPichincha Me ROBARON por tercera ocasión!! ATM Banco Pichincha ubicado Colón e/Sucre y Olmedo Machala El Oro Ecuador No me entrega el cajero el dinero, sin embargo me debito de mi cuenta bancaria.
Mayday! Mayday! из Редмонда, штата Вашингтон.
Подъехал вагон и маленькая тележка обновлений от Microsoft с исправлениями как минимум 71 ошибки безопасности в продуктах и компонентах Windows. Но вишенкой на торте стало срочное предупреждение о выявленных фактах кибершпионажа с использованием 0-day уязвимостей:
- CVE-2021-40449 (CVSS: 7,8) - уязвимость Win32k, связанная с повышением привилегий.
- CVE-2021-41335 (CVSS: 7,8) - уязвимость ядра Windows, связанная с повышением привилегий.
- CVE-2021-40469 (CVSS: 7,2) - уязвимость Windows DNS Server, связанная с удаленным выполнением кода.
- CVE-2021-41338 (CVSS: 5,5) - Уязвимость, связанная с обходом функций безопасности в правилах брандмауэра Windows AppContainer.
Производитель программного обеспечения, подтвердил эксплуатацию CVE-2021-40449 в цепочке эксплойтов, которая была обнаружена соотечественниками из Kaspersky. Исследователи прямо не заверили и сообщили, что все указывает на то, что, уязвимость использовалась APT IronHusky из Поднебесной, нацеленной на ИТ-компании, дипломатические учреждения, а также военные и оборонные предприятия. В техническом описании говорится, что цепочки заражения приводят к развертыванию трояна для удаленного доступа, способного собирать и фильтровать системную информацию из скомпрометированных хостов, прежде чем обращаться к своему серверу C2 за дальнейшими инструкциями.
Две из 71 задокументированной уязвимости имеют наивысший рейтинг серьезности по версии Microsoft. Другие наиболее опасные ошибки включают уязвимости удаленного выполнения кода, влияющие на Microsoft Exchange Server (CVE-2021-26427), Windows Hyper-V (CVE-2021-38672 и CVE-2021-40461), SharePoint Server (CVE-2021-40487 и CVE- 2021-41344) и Microsoft Word (CVE-2021-40486), а также ошибка раскрытия информации в Rich Text Edit Control (CVE-2021-40454).
А CVE-2021-26427 с рейтингом CVSS 9,0 прям настолько вошла хакерам, что засуетились даже ребята из Агентства национальной безопасности США (NSA), особо отмечая тренд нацеливания хакеров на уязвимые сервера Exchange для входа в периметр своих жертв.
Microsoft и передовой инфосек истеблишмент призывают немедленно установить обновления дабы избежать возможных негативных последствий. Ну, а мы, в свою очередь, подождём вестей от тех, кто не успел этого сделать вовремя.
Подъехал вагон и маленькая тележка обновлений от Microsoft с исправлениями как минимум 71 ошибки безопасности в продуктах и компонентах Windows. Но вишенкой на торте стало срочное предупреждение о выявленных фактах кибершпионажа с использованием 0-day уязвимостей:
- CVE-2021-40449 (CVSS: 7,8) - уязвимость Win32k, связанная с повышением привилегий.
- CVE-2021-41335 (CVSS: 7,8) - уязвимость ядра Windows, связанная с повышением привилегий.
- CVE-2021-40469 (CVSS: 7,2) - уязвимость Windows DNS Server, связанная с удаленным выполнением кода.
- CVE-2021-41338 (CVSS: 5,5) - Уязвимость, связанная с обходом функций безопасности в правилах брандмауэра Windows AppContainer.
Производитель программного обеспечения, подтвердил эксплуатацию CVE-2021-40449 в цепочке эксплойтов, которая была обнаружена соотечественниками из Kaspersky. Исследователи прямо не заверили и сообщили, что все указывает на то, что, уязвимость использовалась APT IronHusky из Поднебесной, нацеленной на ИТ-компании, дипломатические учреждения, а также военные и оборонные предприятия. В техническом описании говорится, что цепочки заражения приводят к развертыванию трояна для удаленного доступа, способного собирать и фильтровать системную информацию из скомпрометированных хостов, прежде чем обращаться к своему серверу C2 за дальнейшими инструкциями.
Две из 71 задокументированной уязвимости имеют наивысший рейтинг серьезности по версии Microsoft. Другие наиболее опасные ошибки включают уязвимости удаленного выполнения кода, влияющие на Microsoft Exchange Server (CVE-2021-26427), Windows Hyper-V (CVE-2021-38672 и CVE-2021-40461), SharePoint Server (CVE-2021-40487 и CVE- 2021-41344) и Microsoft Word (CVE-2021-40486), а также ошибка раскрытия информации в Rich Text Edit Control (CVE-2021-40454).
А CVE-2021-26427 с рейтингом CVSS 9,0 прям настолько вошла хакерам, что засуетились даже ребята из Агентства национальной безопасности США (NSA), особо отмечая тренд нацеливания хакеров на уязвимые сервера Exchange для входа в периметр своих жертв.
Microsoft и передовой инфосек истеблишмент призывают немедленно установить обновления дабы избежать возможных негативных последствий. Ну, а мы, в свою очередь, подождём вестей от тех, кто не успел этого сделать вовремя.
Всех скептиков теории тотальной слежки хотим немного расстроить, большой брат есть и он действительно следит, причем конкретно за вами, и будет делать и дальше.
Группа университетских спецов из Великобритании обнаружила в ходе специального исследования целый букет проблем, связанных с конфиденциальностью в смартфонах Android. Опыты ставились на Samsung, Xiaomi, Realme и Huawei, а также на LineageOS и /e/OS.
Результаты оказались весьма неутешительными: даже при выключенных опциях и установленных ограничениях адаптированные производителями под свои девайсы системы Android передают значительный объем информации разработчику ОС, а также авторам предустановленного ПО, в том числе Google, Microsoft, LinkedIn, Facebook и др. Причем Google среди них лидирует по сбору телеметрии.
Отключить разрешения или отказаться от этого шпионского произвола невозможно. Примечательно, что устанавливаемое производителями девайсов стороннее ПО, даже если оно вами не используется - все равно собирает в фоновом режиме инфу, а удалить его невозможно. При этом часть встроенных системных приложений, таких как miui.analytics (Xiaomi), Heytap (Realme) и Hicloud (Huawei) еще и криво работают, позволяя декодировать зашифрованные данные в ходе атаки MitM.
В случае сброса пользователем рекламного идентификатора для своей учетной записи Google на Android, система сбора данных автоматически свяжет новый идентификатор с тем же устройством и добавить его в предыдущую историю мониторинга. Деанонимизация и привязка пользователя происходит с использованием различных методов, таких как просмотр SIM-карты, IMEI, истории данных о местоположении, IP-адреса, сетевого SSID и их множественных комбинаций.
Современный бизнес мобильных ОС основан на промышленном сборе личных данных, и «конфиденциальность» в нем не предусмотрена даже в качестве опции. Просто оцените таблицу с результатами тестов для понимания того, куда и в каком объеме текут ваши пользовательские данные и вся телеметрия. Впечатляет!
Группа университетских спецов из Великобритании обнаружила в ходе специального исследования целый букет проблем, связанных с конфиденциальностью в смартфонах Android. Опыты ставились на Samsung, Xiaomi, Realme и Huawei, а также на LineageOS и /e/OS.
Результаты оказались весьма неутешительными: даже при выключенных опциях и установленных ограничениях адаптированные производителями под свои девайсы системы Android передают значительный объем информации разработчику ОС, а также авторам предустановленного ПО, в том числе Google, Microsoft, LinkedIn, Facebook и др. Причем Google среди них лидирует по сбору телеметрии.
Отключить разрешения или отказаться от этого шпионского произвола невозможно. Примечательно, что устанавливаемое производителями девайсов стороннее ПО, даже если оно вами не используется - все равно собирает в фоновом режиме инфу, а удалить его невозможно. При этом часть встроенных системных приложений, таких как miui.analytics (Xiaomi), Heytap (Realme) и Hicloud (Huawei) еще и криво работают, позволяя декодировать зашифрованные данные в ходе атаки MitM.
В случае сброса пользователем рекламного идентификатора для своей учетной записи Google на Android, система сбора данных автоматически свяжет новый идентификатор с тем же устройством и добавить его в предыдущую историю мониторинга. Деанонимизация и привязка пользователя происходит с использованием различных методов, таких как просмотр SIM-карты, IMEI, истории данных о местоположении, IP-адреса, сетевого SSID и их множественных комбинаций.
Современный бизнес мобильных ОС основан на промышленном сборе личных данных, и «конфиденциальность» в нем не предусмотрена даже в качестве опции. Просто оцените таблицу с результатами тестов для понимания того, куда и в каком объеме текут ваши пользовательские данные и вся телеметрия. Впечатляет!
Стремление к совершенству в попытках внедрить в нашу жизнь технологии на основе Blockchain, порой могут дорого обойтись ее владельцам и пользователям.
Буквально на днях исправлена критическая бага на крупнейшем маркетплейсе OpenSea - торговой площадке, где можно продавать и покупать NFT (невзаимозаменяемые токены) и другие активы. Для справки обороты транзакций только за август 2021 года составили более 3,4 миллиарда долларов США.
Критическая уязвимость, могла быть использована злоумышленниками для кражи криптовалюты путем отправки специально созданного токена, позволяющего реализовать новый вектор атаки для последующей эксплуатации.
Фишка в том, что в OpenSea любой может продавать уникальные цифровые активы NFT, например фотографии, видео, аудио и другие предметы, которые можно обменивать на блокчейне, используя технологию в качестве сертификата подлинности. А платформа в свою очередь позволяет загружать активы в виде файлов размером до 40 Мб с любым из следующих расширений: JPG, PNG, GIF, SVG, MP4, WEBM, MP3, WAV, OGG, GLB, GLTF.
Зная об этом, эксперты из Check Point загрузили на OpenSea изображение SVG, содержащее вредоносный код JavaScript. При нажатии на него, чтобы открыть в новой вкладке, обнаружилось, что файл выполняется в поддомене storage.opensea.io. Тогда исследователи добавили iFrame к изображению для загрузки HTML-кода, который будет внедрять запрос window.ethereum, необходимый для установления связи с Ethereum-кошельком жертвы.
Причиной расследования послужили публичные сообщения об украденных кошельках с криптой, а также бесплатными NFT, которые якобы раздавали пользователям. Вскоре исследователям удалось связаться с жертвой мошенников, которая сообщила, что ее криптовалютный кошелек был взломан, а незадолго до этого она взаимодействовала с одной из площадок щедро раздающих халявные токены.
Сама площадка благо не пострадала, но пару мамонтов в погоне за бесплатным сыром все же удалось развести.
Буквально на днях исправлена критическая бага на крупнейшем маркетплейсе OpenSea - торговой площадке, где можно продавать и покупать NFT (невзаимозаменяемые токены) и другие активы. Для справки обороты транзакций только за август 2021 года составили более 3,4 миллиарда долларов США.
Критическая уязвимость, могла быть использована злоумышленниками для кражи криптовалюты путем отправки специально созданного токена, позволяющего реализовать новый вектор атаки для последующей эксплуатации.
Фишка в том, что в OpenSea любой может продавать уникальные цифровые активы NFT, например фотографии, видео, аудио и другие предметы, которые можно обменивать на блокчейне, используя технологию в качестве сертификата подлинности. А платформа в свою очередь позволяет загружать активы в виде файлов размером до 40 Мб с любым из следующих расширений: JPG, PNG, GIF, SVG, MP4, WEBM, MP3, WAV, OGG, GLB, GLTF.
Зная об этом, эксперты из Check Point загрузили на OpenSea изображение SVG, содержащее вредоносный код JavaScript. При нажатии на него, чтобы открыть в новой вкладке, обнаружилось, что файл выполняется в поддомене storage.opensea.io. Тогда исследователи добавили iFrame к изображению для загрузки HTML-кода, который будет внедрять запрос window.ethereum, необходимый для установления связи с Ethereum-кошельком жертвы.
Причиной расследования послужили публичные сообщения об украденных кошельках с криптой, а также бесплатными NFT, которые якобы раздавали пользователям. Вскоре исследователям удалось связаться с жертвой мошенников, которая сообщила, что ее криптовалютный кошелек был взломан, а незадолго до этого она взаимодействовала с одной из площадок щедро раздающих халявные токены.
Сама площадка благо не пострадала, но пару мамонтов в погоне за бесплатным сыром все же удалось развести.
YouTube
Check Point Prevents Theft of Crypto Wallets on OpenSea, the World’s Largest NFT Marketplace
After seeing reports of stolen crypto wallets triggered by free airdropped NFTs, Check Point Research (CPR) investigated OpenSea, the world’s largest NFT marketplace. The investigation led to the discovery of critical security vulnerabilities on OpenSea’s…
Forwarded from Social Engineering
👾 ARGUS. Python Keylogger.
• Один из первых в мире кейлоггеров появился в годы холодной войны, советские разведчики шпионили за американскими дипломатами с помощью жучка, спрятанного в печатных машинках IBM Selectric. Устройства находились внутри 16 пишущих машинок, используемых с 1976 по 1984 в посольстве США в Москве и Ленинграде.
• Принцип работы жучка заключался в движении пишущей головки: для набора текста ей нужно было поворачиваться в определенном направлении, уникальном для каждого символа на клавиатуре. Механизм улавливал энергию магнитного поля от движения каретки и преобразовывал ее в цифровой сигнал. Каждый полученный сигнал хранился на жучке в виде четырехбитного символа. Устройство сохраняла до восьми таких символов, после чего передавало их советским шпионам.
• 12 октября 2015 года эту историю рассказал член совета директоров Международной ассоциации криптологических исследований Брюс Шнайер.
• Сегодня ты узнаешь об интересном кейлоггере, с богатым функционалом, написанным на Python, который совместим с Win и MacOS.
📌 Основные возможности:
• Умеет делать скриншоты и записывать нажатие клавиш.
• Сохраняет дамп истории Chrome и файлов cookie.
• Имеет возможность мониторинга системной информации.
• Определяет местоположение.
• Отправляет журналы в Gmail.
• Позволяет скрыть окно и добавить в автозагрузку в Windows.
• Имеет возможность определять публичный и частный IP-адрес.
• Легко настраивается.
• Умеет делать снимки веб-камеры.
🧷 https://github.com/ALDON94/argus
• Обязательно обрати внимание на дополнительный материал:
• Python Backdoor.
• O•MG keylogger cable.
• AirDrive Keylogger Pro.
• Скрытый кейлоггинг. Обзор KeyLogger PRO.
• Устанавливаем и запускаем кейлоггер на Linux.
‼️ Другую информацию по теме ты можешь найти по хештегам #Keylogger #Tools #СИ #Взлом и #Hack. Твой S.E.
• Один из первых в мире кейлоггеров появился в годы холодной войны, советские разведчики шпионили за американскими дипломатами с помощью жучка, спрятанного в печатных машинках IBM Selectric. Устройства находились внутри 16 пишущих машинок, используемых с 1976 по 1984 в посольстве США в Москве и Ленинграде.
• Принцип работы жучка заключался в движении пишущей головки: для набора текста ей нужно было поворачиваться в определенном направлении, уникальном для каждого символа на клавиатуре. Механизм улавливал энергию магнитного поля от движения каретки и преобразовывал ее в цифровой сигнал. Каждый полученный сигнал хранился на жучке в виде четырехбитного символа. Устройство сохраняла до восьми таких символов, после чего передавало их советским шпионам.
• 12 октября 2015 года эту историю рассказал член совета директоров Международной ассоциации криптологических исследований Брюс Шнайер.
🖖🏻 Приветствую тебя user_name.
• Само слово «кейлоггер» — это устоявшееся, но некорректное название. Первые утилиты этого класса действительно записывали в лог только нажатия клавиш и вели себя почти как обычные программы. По мере развития они научились скрывать свою активность все лучше и собирать гораздо больше данных о действиях за компьютером, на котором были запущены.• Сегодня ты узнаешь об интересном кейлоггере, с богатым функционалом, написанным на Python, который совместим с Win и MacOS.
📌 Основные возможности:
• Умеет делать скриншоты и записывать нажатие клавиш.
• Сохраняет дамп истории Chrome и файлов cookie.
• Имеет возможность мониторинга системной информации.
• Определяет местоположение.
• Отправляет журналы в Gmail.
• Позволяет скрыть окно и добавить в автозагрузку в Windows.
• Имеет возможность определять публичный и частный IP-адрес.
• Легко настраивается.
• Умеет делать снимки веб-камеры.
🧷 https://github.com/ALDON94/argus
• Обязательно обрати внимание на дополнительный материал:
• Python Backdoor.
• O•MG keylogger cable.
• AirDrive Keylogger Pro.
• Скрытый кейлоггинг. Обзор KeyLogger PRO.
• Устанавливаем и запускаем кейлоггер на Linux.
‼️ Другую информацию по теме ты можешь найти по хештегам #Keylogger #Tools #СИ #Взлом и #Hack. Твой S.E.
👆👆👆
весь арсенал, о котором должен знать каждый специалист по информационной безопасности, вне зависимости от цвета шляпы. Всё только самое вкусное и важное по Социальной Инженерии лежит в одном месте: https://news.1rj.ru/str/Social_engineering. А в комплексе с OSINT открывает весьма большие перспективы.
весь арсенал, о котором должен знать каждый специалист по информационной безопасности, вне зависимости от цвета шляпы. Всё только самое вкусное и важное по Социальной Инженерии лежит в одном месте: https://news.1rj.ru/str/Social_engineering. А в комплексе с OSINT открывает весьма большие перспективы.
Telegram
Social Engineering
Делаем уникальные знания доступными.
Вакансии - @infosec_work
Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot
Сотрудничество — @SEAdm1n
РКН: https://vk.cc/cN3VwI
Вакансии - @infosec_work
Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot
Сотрудничество — @SEAdm1n
РКН: https://vk.cc/cN3VwI
Что и следовало ожидать.
Администрация Байдена все же приступила к созданию коалиции по борьбе с киберпреступность из 30 стран, угадайте кого не позвали. Впрочем, мы уже писали об этом.
Все правильно, более того в адрес России прозвучали новые претензии в пособничестве бандам вымогателей, а КНР обвинили в недавних атаках на сервера Microsoft Exchange.
Как отметили американские правоохранители, несмотря на начавшееся взаимодействие и первые положительные результаты после переговоров на высоком уровне, атаки против инфраструктуры США не только продолжились, но и участились.
Инициированная интеграция получила наименование Инициатива по борьбе с программами-вымогателями и проходит в формате двухдневного онлайн-форума под руководством Белого дома.
Ожидается, что проект станет основой для выстраивания сотрудничества правоохранительных органов и дипломатических связей по борьбе с ransomeware.
За два дня пройдёт шесть сессий и четыре панельных дискуссий. При этом представители Индией выступят модераторами по теме устойчивости, Австралии - по противодействию акторам угроз, Соединенного Королевства - по виртуальной валюте и Германии - по международному сотрудничеству. Повестка и возможные решения - не разглашаются.
Все это вовсе не похоже на инициативу по борьбе с киберупреступностью, а больше напоминает политические инсинуации. Этим и объясняются многие пробелы и казусы в атрибуциях, которые допускают западные инфосек компании последнее время.
Но, полагаем, что по существу решить вопросы в таком формате у западных партнёров вряд ли не получится.
Администрация Байдена все же приступила к созданию коалиции по борьбе с киберпреступность из 30 стран, угадайте кого не позвали. Впрочем, мы уже писали об этом.
Все правильно, более того в адрес России прозвучали новые претензии в пособничестве бандам вымогателей, а КНР обвинили в недавних атаках на сервера Microsoft Exchange.
Как отметили американские правоохранители, несмотря на начавшееся взаимодействие и первые положительные результаты после переговоров на высоком уровне, атаки против инфраструктуры США не только продолжились, но и участились.
Инициированная интеграция получила наименование Инициатива по борьбе с программами-вымогателями и проходит в формате двухдневного онлайн-форума под руководством Белого дома.
Ожидается, что проект станет основой для выстраивания сотрудничества правоохранительных органов и дипломатических связей по борьбе с ransomeware.
За два дня пройдёт шесть сессий и четыре панельных дискуссий. При этом представители Индией выступят модераторами по теме устойчивости, Австралии - по противодействию акторам угроз, Соединенного Королевства - по виртуальной валюте и Германии - по международному сотрудничеству. Повестка и возможные решения - не разглашаются.
Все это вовсе не похоже на инициативу по борьбе с киберупреступностью, а больше напоминает политические инсинуации. Этим и объясняются многие пробелы и казусы в атрибуциях, которые допускают западные инфосек компании последнее время.
Но, полагаем, что по существу решить вопросы в таком формате у западных партнёров вряд ли не получится.
Telegram
SecAtor
Амбициозные планы раскрыл президент США Джо Байден, который намерен до конца октября объединить 30 стран для борьбы с бандами вымогателей, атаки которых организации по всему миру.
Все это стало продолжением июльских заявлений семерки, обвиняющих Россию…
Все это стало продолжением июльских заявлений семерки, обвиняющих Россию…
По второму кругу пустили тайваньского компьютерного гиганта Acer хакеры, реализовавшие, согласно сообщению жертвы, «изолированноую атаку» на системы послепродажного обслуживания в Индии.
Напомним, Acer - тайваньская транснациональная компания, шестой в мире производитель компьютерных технологий со штатом в 7000 сотрудников в 40 странах мира и ежегодной прибылью более 9 миллиардов долларов.
В марте Acer потрошили REvil, потребовав выкуп в размере 50 миллионов долларов. На этот раз злоумышленники украли и выложили на RAID более 60 ГБ файлов и баз данных с серверов Acer.
По предварительной оценке, украденные файлы включают в себя сведения о клиентах, корпоративных и финансовых показателях, а также учетные данные розничных торговых представительств и дистрибьюторов Acer в Индии. В качестве пруфов хакеры слили видео с демонстрацией более 10 000 записей клиентов и 3 000 торговых точек.
Печальная тенденция.
Напомним, Acer - тайваньская транснациональная компания, шестой в мире производитель компьютерных технологий со штатом в 7000 сотрудников в 40 странах мира и ежегодной прибылью более 9 миллиардов долларов.
В марте Acer потрошили REvil, потребовав выкуп в размере 50 миллионов долларов. На этот раз злоумышленники украли и выложили на RAID более 60 ГБ файлов и баз данных с серверов Acer.
По предварительной оценке, украденные файлы включают в себя сведения о клиентах, корпоративных и финансовых показателях, а также учетные данные розничных торговых представительств и дистрибьюторов Acer в Индии. В качестве пруфов хакеры слили видео с демонстрацией более 10 000 записей клиентов и 3 000 торговых точек.
Печальная тенденция.
Грядет серьезная расправа в стиле "Меча Гедеона" ибо под ударом банды шифровальщиков оказался израильский медицинский центр Хиллеля Яффе в Хадере.
По словам официальных лиц, израильская больница в среду подверглась атаке с использованием ransomware, а киберуправление назвало это первой атакой на медицинские учреждения в стране.
В результате инцидента персоналу больницы в срочном порядке пришлось использовать альтернативные системы для лечения пациентов и записывать информацию вручную. Сейчас больница работает в обычном режиме, за исключением плановых, неотложных операций. Все критическое оборудование работает должным образом, в том числе сканеры КТ и МРТ. Соседний медицинский центр Ланиадо в Нетании принимает неотложных пациентов из пострадавшей больницы.
Об инциденте сообщили в Национальное управление кибербезопасности и теперь над его расследованием работают лучшие специалисты. В качестве превентивной меры об инциденте проинформираны другие больницы.
По предварительным данным, нападение было совершено новой группой хакеров, которая также ответственна за нападение на больницу в США. Главный специалист по информационной безопасности Cato Networks Амит Спитцер, заявил, что инцидент «вызывает вопросы о судьбе личной медицинской информации многих пациентов в больнице». Кроме того, среди представителей израильского инфосека преобладает предположение, что нападение было совершено без цели получения выкупа, как враждебная спланированная операуция.
Поэтому внимательно наблюдаем за развитием событий. Как мы знаем, ребята со Святой земли не оставляют такие дела без ответа.
По словам официальных лиц, израильская больница в среду подверглась атаке с использованием ransomware, а киберуправление назвало это первой атакой на медицинские учреждения в стране.
В результате инцидента персоналу больницы в срочном порядке пришлось использовать альтернативные системы для лечения пациентов и записывать информацию вручную. Сейчас больница работает в обычном режиме, за исключением плановых, неотложных операций. Все критическое оборудование работает должным образом, в том числе сканеры КТ и МРТ. Соседний медицинский центр Ланиадо в Нетании принимает неотложных пациентов из пострадавшей больницы.
Об инциденте сообщили в Национальное управление кибербезопасности и теперь над его расследованием работают лучшие специалисты. В качестве превентивной меры об инциденте проинформираны другие больницы.
По предварительным данным, нападение было совершено новой группой хакеров, которая также ответственна за нападение на больницу в США. Главный специалист по информационной безопасности Cato Networks Амит Спитцер, заявил, что инцидент «вызывает вопросы о судьбе личной медицинской информации многих пациентов в больнице». Кроме того, среди представителей израильского инфосека преобладает предположение, что нападение было совершено без цели получения выкупа, как враждебная спланированная операуция.
Поэтому внимательно наблюдаем за развитием событий. Как мы знаем, ребята со Святой земли не оставляют такие дела без ответа.
The Jerusalem Post
Israeli hospital targeted by ransomware attack
Hillel Yaffe Medical Center has been targeted by a ransomware attack, but is still able to treat patients.
Ну неужели? WhatsApp запускает сквозное шифрование резервных копий чатов для iOS и Android.
Речь идет об уже существующей функции резервирования, которая реализована путем создания резервных копий переписки в онлайн-хранилищах: в iOS - на iCloud, для Android предусмотрено хранение на Google Диске. В случае переустановки приложения - пользователь всегда может развернуть бэкап на новом устройстве.
Несмотря на защиту сквозным шифрованием (e2ee) диалогов в WhatsApp, до настоящего времени в случае проведения целевой атаки MiTM или компрометации SIM-карты, злоумышленник потенциально мог воспользоваться функцией облачного хранения ваших копий и накатить чаты в контролируемый девайс.
Начиная с сегодняшнего дня Facebook, внедряет в WhatsApp новую функцию, позволяющую выполнять сквозное шифрование резервных копий чатов независимо от того, где они хранятся. Пользователи приложения смогут устанавливать пароль для зашифрованной резервной копии, который потребуется ввести перед загрузкой в iCloud или Google Drive. Альтернативной опцией станет также применение 64-значного ключа для шифрования бэкапов. Услуга внедряется не сразу, а постепенно будет открываться для пользователей последний версий менеджера.
Facebook настаивает, что ни WhatsApp, ни поставщик платформы для облачного хранения не смогут знакомиться с содержимым резервных копий или получить доступ к ключу для расшифровки. Никто, кроме… вас самих, вашей совести и вашего куратора из спецслужб.
Речь идет об уже существующей функции резервирования, которая реализована путем создания резервных копий переписки в онлайн-хранилищах: в iOS - на iCloud, для Android предусмотрено хранение на Google Диске. В случае переустановки приложения - пользователь всегда может развернуть бэкап на новом устройстве.
Несмотря на защиту сквозным шифрованием (e2ee) диалогов в WhatsApp, до настоящего времени в случае проведения целевой атаки MiTM или компрометации SIM-карты, злоумышленник потенциально мог воспользоваться функцией облачного хранения ваших копий и накатить чаты в контролируемый девайс.
Начиная с сегодняшнего дня Facebook, внедряет в WhatsApp новую функцию, позволяющую выполнять сквозное шифрование резервных копий чатов независимо от того, где они хранятся. Пользователи приложения смогут устанавливать пароль для зашифрованной резервной копии, который потребуется ввести перед загрузкой в iCloud или Google Drive. Альтернативной опцией станет также применение 64-значного ключа для шифрования бэкапов. Услуга внедряется не сразу, а постепенно будет открываться для пользователей последний версий менеджера.
Facebook настаивает, что ни WhatsApp, ни поставщик платформы для облачного хранения не смогут знакомиться с содержимым резервных копий или получить доступ к ключу для расшифровки. Никто, кроме… вас самих, вашей совести и вашего куратора из спецслужб.
Meta
End-to-End Encrypted Backups on WhatsApp | Meta
We're protecting backups stored on Google Drive or iCloud with end-to-end encryption on WhatsApp.
Монументально потрудились специалисты службы сканирования Google VirusTotal, выпустив отчет по результатам анализа 80 миллионов образцов ransomware, представленных из 140 стран.
В 2020 году и в первой половине 2021 года исследователями выявлено не менее 130 семейств активных программ-вымогателей. При этом многие из крупных вредоносных кампаний вымогателей были актуальны в короткой перспективе, но примерно 100 штаммов программ-вымогателей сохраняют свою активность на постоянной основе.
Проанализированные образцы были сгруппированы по 30 000 кластеров вредоносных программ, на долю GandCrab приходилось 6 000, за ним следовали Cerber с почти 5 000 кластеров и Congur с примерно 2 500 кластерами. Таким образом, согласно анализу GandCrab является самым активным семейством программ-вымогателей, поражающих системы Windows с начала 2020 года. GandCrab также остается лидером даже по количеству различных образцов, отправленных в VirusTotal, составляя 78,5% из них.
Бабук, появившийся в начале 2021 года и использовавшийся при нападении на Департамент столичной полиции Вашингтона занял второе место с 7,61% представленных образцов. Cerber (с 3,11% выборок), Matsnu (2,63%) и WannaCry (2,41%) замыкают пятерку лидеров. Далее следуют: Congur (1,52%), Locky (1,29%), Teslacrypt (1,12%), Rkor (1,11%) и Reveon (0,70%).
Анализ VirusTotal также показал, что злоумышленники используют ряд подходов, в том числе хорошо известные вредоносные программы для бот-сетей и другие трояны удаленного доступа (RAT) в качестве средств доставки своих программ-вымогателей. В большинстве случаев они задействуют свежие или новые образцы программ-вымогателей для своих кампаний. Злоумышленники также прибегают к эксплойтам для повышения привилегий и распространения своего вредоносного ПО во внутренних сетях.
Emotet, Zbot, Dridex, Gozi и Danabot были основными вредоносными артефактами, используемыми для распространения программ-вымогателей.
Большинство программ-вымогателей по-прежнему нацелены на системы Windows, поскольку примерно 95% образцов представляют собой исполняемые файлы для Windows или библиотеки динамической компоновки (DLL). На долю программ-вымогателей под Android приходилось 2% образцов. Google также обнаружил примерно 1 миллион образцов вымогателей EvilQuest, нацеленных на машины с macOS. Около 5% проанализированных образцов были связаны с эксплойтами, связанными с повышением привилегий Windows, раскрытием информации SMB и удаленным выполнением.
наиболее пострадавшим от ransomware оказался Израиль, количество представленных образцов увеличилось на 600%. За ним следуют: Южная Корея, Вьетнам, Китай, Сингапур, Индия, Казахстан, Филиппины, Иран и Великобритания.
В 2020 году и в первой половине 2021 года исследователями выявлено не менее 130 семейств активных программ-вымогателей. При этом многие из крупных вредоносных кампаний вымогателей были актуальны в короткой перспективе, но примерно 100 штаммов программ-вымогателей сохраняют свою активность на постоянной основе.
Проанализированные образцы были сгруппированы по 30 000 кластеров вредоносных программ, на долю GandCrab приходилось 6 000, за ним следовали Cerber с почти 5 000 кластеров и Congur с примерно 2 500 кластерами. Таким образом, согласно анализу GandCrab является самым активным семейством программ-вымогателей, поражающих системы Windows с начала 2020 года. GandCrab также остается лидером даже по количеству различных образцов, отправленных в VirusTotal, составляя 78,5% из них.
Бабук, появившийся в начале 2021 года и использовавшийся при нападении на Департамент столичной полиции Вашингтона занял второе место с 7,61% представленных образцов. Cerber (с 3,11% выборок), Matsnu (2,63%) и WannaCry (2,41%) замыкают пятерку лидеров. Далее следуют: Congur (1,52%), Locky (1,29%), Teslacrypt (1,12%), Rkor (1,11%) и Reveon (0,70%).
Анализ VirusTotal также показал, что злоумышленники используют ряд подходов, в том числе хорошо известные вредоносные программы для бот-сетей и другие трояны удаленного доступа (RAT) в качестве средств доставки своих программ-вымогателей. В большинстве случаев они задействуют свежие или новые образцы программ-вымогателей для своих кампаний. Злоумышленники также прибегают к эксплойтам для повышения привилегий и распространения своего вредоносного ПО во внутренних сетях.
Emotet, Zbot, Dridex, Gozi и Danabot были основными вредоносными артефактами, используемыми для распространения программ-вымогателей.
Большинство программ-вымогателей по-прежнему нацелены на системы Windows, поскольку примерно 95% образцов представляют собой исполняемые файлы для Windows или библиотеки динамической компоновки (DLL). На долю программ-вымогателей под Android приходилось 2% образцов. Google также обнаружил примерно 1 миллион образцов вымогателей EvilQuest, нацеленных на машины с macOS. Около 5% проанализированных образцов были связаны с эксплойтами, связанными с повышением привилегий Windows, раскрытием информации SMB и удаленным выполнением.
наиболее пострадавшим от ransomware оказался Израиль, количество представленных образцов увеличилось на 600%. За ним следуют: Южная Корея, Вьетнам, Китай, Сингапур, Индия, Казахстан, Филиппины, Иран и Великобритания.
Пожалуй, закончим неделю на прекрасной ноте: эксперты Positive Technologies проанализировали наиболее известные за последние 10 лет семейства руткитов - программ, позволяющих скрыть в системе присутствие ВПО или следы пребывания злоумышленников.
Руткиты, особенно работающие в режиме ядра, очень сложны в разработке, поэтому их используют либо высококвалифицированные APT, которые обладают нужными навыками, либо группы, чьи финансовые возможности позволяют купить руткиты на теневом рынке. Это могут быть как финансово мотивированные преступники, которые похищают крупные суммы денег, так и группировки, добывающие информацию и совершающие разрушительные действия в инфраструктуре жертвы в интересах заказчиков.
Неудивительно, что инциденты с обнаружением руткитов, как правило, отсылают к громким атакам с резонансными последствиями, поскольку зачастую они являются частью многофункционального вредоносного ПО, которое перехватывает сетевой трафик, шпионит за пользователями, похищает сведения для аутентификации или использует ресурсы жертв для проведения DDoS-атак. Все помним, легендарный Stuxnet, задействовавшийся по теме ядерной программы Ирана.
Согласно полученным данным, в 44% случаев злоумышленники использовали руткиты в атаках на госучреждения. Чуть реже (38% случаев) эти вредоносы применялись для атак на исследовательские институты.
В топ-5 наиболее атакуемых посредством руткитов отраслей по итогам исследования также вошли телеком (25%), промышленность (19%) и финансовые организации (19%). Помимо этого, более половины руткитов (56%) используются хакерами в атаках на частных лиц. Главным образом, это таргетированные атаки в рамках кампаний по кибершпионажу в отношении высокопоставленных чиновников, дипломатов и сотрудников целевых организаций.
В 77% случаев руткиты использовались злоумышленниками для шпионажа, примерно в трети случаев (31%) для извлечения финансовой выгоды, и лишь в 15% атак эксперты отметили мотив эксплуатации инфраструктуры компании-жертвы для проведения последующих атак.
В даркнете представлены, в основном, руткитов пользовательского уровня под массовку. Стоимость руткита варьируется от 45 до 100 000 долларов США и зависит от условий и дополнительных функций (чаще всего запрашивают получение удаленного доступа и сокрытие файлов, процессов и сетевой активности). В некоторых случаях разработчики предлагают доработку руткита под нужды заказчика и оказывают сервисное сопровождение.
Большая часть предлагаемого товара заточена под Windows (почти 67% всех предложений). Это коррелирует с результатами исследования: доля таких образцов в выборке вредоносов, изученных Positive Technologies, также превалирует, составляя 69%.
По оценкам исследователей, разработки malware таких типов будут только расти и усложняться. Ожидается, что руткиты продолжат работать, прежде всего, в интересах APT для сокрытия сложных целевых атак под различные тактические (шпионаж) или стратегические (деструктивное воздействие на инфраструктуру) задачи.
Можно много чего еще рассказать интересного из отчета, но лучше Positive Technologies, определенно, никто точно не сделает, так что к прочтению настоятельно рекомендуем.
Руткиты, особенно работающие в режиме ядра, очень сложны в разработке, поэтому их используют либо высококвалифицированные APT, которые обладают нужными навыками, либо группы, чьи финансовые возможности позволяют купить руткиты на теневом рынке. Это могут быть как финансово мотивированные преступники, которые похищают крупные суммы денег, так и группировки, добывающие информацию и совершающие разрушительные действия в инфраструктуре жертвы в интересах заказчиков.
Неудивительно, что инциденты с обнаружением руткитов, как правило, отсылают к громким атакам с резонансными последствиями, поскольку зачастую они являются частью многофункционального вредоносного ПО, которое перехватывает сетевой трафик, шпионит за пользователями, похищает сведения для аутентификации или использует ресурсы жертв для проведения DDoS-атак. Все помним, легендарный Stuxnet, задействовавшийся по теме ядерной программы Ирана.
Согласно полученным данным, в 44% случаев злоумышленники использовали руткиты в атаках на госучреждения. Чуть реже (38% случаев) эти вредоносы применялись для атак на исследовательские институты.
В топ-5 наиболее атакуемых посредством руткитов отраслей по итогам исследования также вошли телеком (25%), промышленность (19%) и финансовые организации (19%). Помимо этого, более половины руткитов (56%) используются хакерами в атаках на частных лиц. Главным образом, это таргетированные атаки в рамках кампаний по кибершпионажу в отношении высокопоставленных чиновников, дипломатов и сотрудников целевых организаций.
В 77% случаев руткиты использовались злоумышленниками для шпионажа, примерно в трети случаев (31%) для извлечения финансовой выгоды, и лишь в 15% атак эксперты отметили мотив эксплуатации инфраструктуры компании-жертвы для проведения последующих атак.
В даркнете представлены, в основном, руткитов пользовательского уровня под массовку. Стоимость руткита варьируется от 45 до 100 000 долларов США и зависит от условий и дополнительных функций (чаще всего запрашивают получение удаленного доступа и сокрытие файлов, процессов и сетевой активности). В некоторых случаях разработчики предлагают доработку руткита под нужды заказчика и оказывают сервисное сопровождение.
Большая часть предлагаемого товара заточена под Windows (почти 67% всех предложений). Это коррелирует с результатами исследования: доля таких образцов в выборке вредоносов, изученных Positive Technologies, также превалирует, составляя 69%.
По оценкам исследователей, разработки malware таких типов будут только расти и усложняться. Ожидается, что руткиты продолжат работать, прежде всего, в интересах APT для сокрытия сложных целевых атак под различные тактические (шпионаж) или стратегические (деструктивное воздействие на инфраструктуру) задачи.
Можно много чего еще рассказать интересного из отчета, но лучше Positive Technologies, определенно, никто точно не сделает, так что к прочтению настоятельно рекомендуем.
ptsecurity.com
Аналитические статьи
Руткиты встречаются в арсенале злоумышленников не так часто, как другие типы вредоносного ПО. К примеру, по данным компании Bitdefender, руткиты составляют менее 1% от общего числа выявляемых вредоносных программ. Однако все случаи обнаружения связаны с громкими…
В прошлом году мы писали, как взламывались iOS 14 на iPhone 11 Pro, Samsung Galaxy s20, Windows 10 v2004, Ubuntu, Chrome, Safari, FireFox.
На этот раз в ходе престижных хакерских соревнований в Поднебесной Tianfu Cup, прошедших 16 и 17 октября в городе Чэнду, хакерам удалось взломать: Windows 10 - 5 раз, Adobe PDF Reader - 4 раза, Ubuntu 20 - 4 раза, Parallels VM - 3 раза, iOS 15 - 3 раза, Apple Safari - 2 раза, Google Chrome - 2 раза, Роутер ASUS AX56U - 2 раза, Docker CE - 1 раз, VMWare ESXi - 1 раз, VMWare Workstation - 1 раз, qemu VM - 1 раз, Microsoft Exchange - 1 раз.
В ходе турнира команды имели три попытки по 5 минут, чтобы взломать выбранное устройство или ПО с помощью авторских эксплойтов, которые они разрабатывали с июля после того, как организаторы отметили 16 возможных целей.
В итоге 11 участников успешно реализовали атаки против 13 целей, а победу в состязании одержали представители команды Kunlun Lab (второе досталось PangU, третье - Институту исследования уязвимостей (VRI). Был разыгран призовой фонд в размере 1,88 миллиона долларов. Руки хакеров не добрались лишь до NAS Synology DS220j, Xiaomi Mi 11 и неназванного китайского электромобиля.
В целом, большинство эксплойтов представляли собой ошибки повышения привилегий и удаленного выполнения. Но две редкие фишки все же заслуживают отдельного внимания: первая представляла собой цепочку атак с удаленным выполнением кода без взаимодействия с полностью исправленной iOS 15, работающей на последнем iPhone 13, а вторая являлась двухэтапной цепочкой удаленного выполнения кода для Google Chrome.
Китайская версия Pwn2Own была учреждена в 2018 году после того, как в власти КНР ввели запрет на участие своим гражданам в хакерских конкурсах за рубежом, и результаты Tianfu Cup объясняют почему. Информация в отношении всех использованных уязвимостей направлена в адрес разработчиков. Так что нас ждут новые обновления, исправляющие ошибки.
На этот раз в ходе престижных хакерских соревнований в Поднебесной Tianfu Cup, прошедших 16 и 17 октября в городе Чэнду, хакерам удалось взломать: Windows 10 - 5 раз, Adobe PDF Reader - 4 раза, Ubuntu 20 - 4 раза, Parallels VM - 3 раза, iOS 15 - 3 раза, Apple Safari - 2 раза, Google Chrome - 2 раза, Роутер ASUS AX56U - 2 раза, Docker CE - 1 раз, VMWare ESXi - 1 раз, VMWare Workstation - 1 раз, qemu VM - 1 раз, Microsoft Exchange - 1 раз.
В ходе турнира команды имели три попытки по 5 минут, чтобы взломать выбранное устройство или ПО с помощью авторских эксплойтов, которые они разрабатывали с июля после того, как организаторы отметили 16 возможных целей.
В итоге 11 участников успешно реализовали атаки против 13 целей, а победу в состязании одержали представители команды Kunlun Lab (второе досталось PangU, третье - Институту исследования уязвимостей (VRI). Был разыгран призовой фонд в размере 1,88 миллиона долларов. Руки хакеров не добрались лишь до NAS Synology DS220j, Xiaomi Mi 11 и неназванного китайского электромобиля.
В целом, большинство эксплойтов представляли собой ошибки повышения привилегий и удаленного выполнения. Но две редкие фишки все же заслуживают отдельного внимания: первая представляла собой цепочку атак с удаленным выполнением кода без взаимодействия с полностью исправленной iOS 15, работающей на последнем iPhone 13, а вторая являлась двухэтапной цепочкой удаленного выполнения кода для Google Chrome.
Китайская версия Pwn2Own была учреждена в 2018 году после того, как в власти КНР ввели запрет на участие своим гражданам в хакерских конкурсах за рубежом, и результаты Tianfu Cup объясняют почему. Информация в отношении всех использованных уязвимостей направлена в адрес разработчиков. Так что нас ждут новые обновления, исправляющие ошибки.
Twitter
TianfuCup
TFC 2021 is coming! Oct. 16th-17th, see you again at CHENGDU, CHINA. This year, the total bonus is up to $1.5 Million, with new category and targets, waiting for you to PWN and WIN. tianfucup.com
Похоже, что REvil все.
Как известно, после резонансной атаки через 0-day уязвимость в платформе Kaseya MSP, операция REvil внезапно прекратилась, а их публичный представитель, unknown, исчез. Не дождавшись товарища, кодеры из команды REvil в сентябре вновь возобновили работу и подняли веб-сайты, используя резервные копии.
Однако последнее время дела у REvil шли настолько плохо, что они были вынуждены увеличить комиссионные для партнеров до 90%.
И вот незадача, неизвестные сыграли с хакерами злую шутку, угнав инфраструктуру самих хакеров в Tor. Как отметил представитель 0_neday, кто-то 10 октября с 12:00 по московскому времени поднял скрытые сервисы для платежного портала и блога с утечками, что указывает на то, что третья сторона заполучила резервные копии со всеми сервисными ключами onion. Более того, атакующий намерен был скомпрометировать и самого 0_neday.
Понимая безысходность и всю эпичность ситуации, 0_neday связался с партнерами через форум XSS для передачи ключей дешифрования через Tox, для того, чтобы филиалы могли закончить свои операции и предоставить дешифратор, если будет выплачен выкуп, а по итогу сообщил об уходе.
Учитывая получение Bitdefender и ФБР к главному ключу дешифрования REvil, многие допустят, что последняя атака на REvil - успешное завершение операции спецслужб, которые получили доступ к серверам еще с момента их перезапуска.
Вместе с тем, не стоит списывать со счетов Unknown, у которого также оставались все доступы и ключи и о судьбе которого до сих пор неизвестно.
Но опуская конспирологию, в деле скорее всего банальная экономика: подмоченная репутация REvil уже не давала тех доходов, к которым привыкли хакеры, поэтому целесообразней было проект закрыть. И, вероятно, вскоре мы увидим акторов под новым брендом.
Как известно, после резонансной атаки через 0-day уязвимость в платформе Kaseya MSP, операция REvil внезапно прекратилась, а их публичный представитель, unknown, исчез. Не дождавшись товарища, кодеры из команды REvil в сентябре вновь возобновили работу и подняли веб-сайты, используя резервные копии.
Однако последнее время дела у REvil шли настолько плохо, что они были вынуждены увеличить комиссионные для партнеров до 90%.
И вот незадача, неизвестные сыграли с хакерами злую шутку, угнав инфраструктуру самих хакеров в Tor. Как отметил представитель 0_neday, кто-то 10 октября с 12:00 по московскому времени поднял скрытые сервисы для платежного портала и блога с утечками, что указывает на то, что третья сторона заполучила резервные копии со всеми сервисными ключами onion. Более того, атакующий намерен был скомпрометировать и самого 0_neday.
Понимая безысходность и всю эпичность ситуации, 0_neday связался с партнерами через форум XSS для передачи ключей дешифрования через Tox, для того, чтобы филиалы могли закончить свои операции и предоставить дешифратор, если будет выплачен выкуп, а по итогу сообщил об уходе.
Учитывая получение Bitdefender и ФБР к главному ключу дешифрования REvil, многие допустят, что последняя атака на REvil - успешное завершение операции спецслужб, которые получили доступ к серверам еще с момента их перезапуска.
Вместе с тем, не стоит списывать со счетов Unknown, у которого также оставались все доступы и ключи и о судьбе которого до сих пор неизвестно.
Но опуская конспирологию, в деле скорее всего банальная экономика: подмоченная репутация REvil уже не давала тех доходов, к которым привыкли хакеры, поэтому целесообразней было проект закрыть. И, вероятно, вскоре мы увидим акторов под новым брендом.
Компаниям, использующим сетевое оборудование Juniper рекомендуется обновиться и ознакомиться с рекомендациями по безопасности, которые производитель выпустил на прошлой неделе.
Речь идет о более чем 40 рекомендациях, в которых описывается более 70 уязвимостей, влияющих на безопасность широкой линейки продуктов компании.
Львиная доля рекомендаций описывает критические уязвимости, в том числе те, которые могут быть использованы для атак типа «отказ в обслуживании» (DoS), удаленного выполнения кода (в том числе XSS), повышения привилегий и обхода безопасности. Многие баги связаны с использованием сторонних компонентов, но основная масса уязвимостей затрагивает операционную систему Juniper Junos OS, на которой работает большинство продуктов компании.
Juniper выпустила соответствующие обновления и исправления, а в некоторых случаях описаны дополнительные меры по предотвращению и снижению риска эксплуатации.
По словам Juniper, многие уязвимости были обнаружены в ходе внутреннего тестирования и исследования безопасности продукта, данными об использовании описанных уязвимостей в дикой природе они также не располагают.
Вместе с тем, Агентство по кибербезопасности США (CISA) поручило организациям в кратчайшие сроки ознакомиться с рекомендациями Juniper и применить необходимые обновления. Судя по всему, данные все же есть есть.
Речь идет о более чем 40 рекомендациях, в которых описывается более 70 уязвимостей, влияющих на безопасность широкой линейки продуктов компании.
Львиная доля рекомендаций описывает критические уязвимости, в том числе те, которые могут быть использованы для атак типа «отказ в обслуживании» (DoS), удаленного выполнения кода (в том числе XSS), повышения привилегий и обхода безопасности. Многие баги связаны с использованием сторонних компонентов, но основная масса уязвимостей затрагивает операционную систему Juniper Junos OS, на которой работает большинство продуктов компании.
Juniper выпустила соответствующие обновления и исправления, а в некоторых случаях описаны дополнительные меры по предотвращению и снижению риска эксплуатации.
По словам Juniper, многие уязвимости были обнаружены в ходе внутреннего тестирования и исследования безопасности продукта, данными об использовании описанных уязвимостей в дикой природе они также не располагают.
Вместе с тем, Агентство по кибербезопасности США (CISA) поручило организациям в кратчайшие сроки ознакомиться с рекомендациями Juniper и применить необходимые обновления. Судя по всему, данные все же есть есть.
Операторов ransomware готовятся наказывать долларом.
FinCEN Министерства финансов США проанализировали 2184 SAR (отчетов о подозрительных действиях) в период с 1 января 2011 года по 30 июня 2021 года и пришли к выводу, что доходы наиболее известных вымогателей превысили 5,2 миллиарда долларов.
Озвученными регулятором цифрами, вероятно, представители США пугали собравшихся в ходе встречи в формате Counter-Ransomware Initiative, результатами которой стало решение представителей 30 государств принять меры в отношении виртуальных активов хакеров, как основного элемента их бизнес-модели.
Регулятору FinCEN удалось идентифицировать 177 адресов кошельков CVC (конвертируемой виртуальной валюты), используемых в интересах вымогателей, через которые было совершено примерно 5,2 миллиарда долларов исходящих транзакций BTC. Таким образом, средняя ежемесячная сумма подозрительных транзакций с ransomware составила 66,4 миллиона долларов, а биткойн (BTC) стал наиболее распространенным способом оплаты.
Общая стоимость SAR, связанных с программами-вымогателями, за первые шесть месяцев 2021 года, 590 миллионов долларов, уже превышает 416 миллионов долларов, зарегистрированных за весь 2020 год. На основе всех SAR регулятор выявил 68 активных вариантов вымогателей (чаще всего упоминались REvil/Sodinokibi, Conti, DarkSide, Avaddon и Phobos) и представил 10 самых популярных ransomware с наибольшим количеством жертв и самыми высокими требованиями к выкупу.
Таким образом, запад вплотную подбирается к карманам хакеров в надежде разрушить сформированную финансовую модель вымогателей. Полагаем, что, безусловно, масштабное регулирование каналов оплаты создаст определенные помехи в работе групп, но одновременно с этим и дополнительные проблемы для будущих жертв, на плечи которых и лягут все дополнительные расходы, которые понесут хакеры.
Ждем новых санкций, облав и очередных решений Counter-Ransomware Initiative, а, прежде всего, приглашения РФ и КНР.
FinCEN Министерства финансов США проанализировали 2184 SAR (отчетов о подозрительных действиях) в период с 1 января 2011 года по 30 июня 2021 года и пришли к выводу, что доходы наиболее известных вымогателей превысили 5,2 миллиарда долларов.
Озвученными регулятором цифрами, вероятно, представители США пугали собравшихся в ходе встречи в формате Counter-Ransomware Initiative, результатами которой стало решение представителей 30 государств принять меры в отношении виртуальных активов хакеров, как основного элемента их бизнес-модели.
Регулятору FinCEN удалось идентифицировать 177 адресов кошельков CVC (конвертируемой виртуальной валюты), используемых в интересах вымогателей, через которые было совершено примерно 5,2 миллиарда долларов исходящих транзакций BTC. Таким образом, средняя ежемесячная сумма подозрительных транзакций с ransomware составила 66,4 миллиона долларов, а биткойн (BTC) стал наиболее распространенным способом оплаты.
Общая стоимость SAR, связанных с программами-вымогателями, за первые шесть месяцев 2021 года, 590 миллионов долларов, уже превышает 416 миллионов долларов, зарегистрированных за весь 2020 год. На основе всех SAR регулятор выявил 68 активных вариантов вымогателей (чаще всего упоминались REvil/Sodinokibi, Conti, DarkSide, Avaddon и Phobos) и представил 10 самых популярных ransomware с наибольшим количеством жертв и самыми высокими требованиями к выкупу.
Таким образом, запад вплотную подбирается к карманам хакеров в надежде разрушить сформированную финансовую модель вымогателей. Полагаем, что, безусловно, масштабное регулирование каналов оплаты создаст определенные помехи в работе групп, но одновременно с этим и дополнительные проблемы для будущих жертв, на плечи которых и лягут все дополнительные расходы, которые понесут хакеры.
Ждем новых санкций, облав и очередных решений Counter-Ransomware Initiative, а, прежде всего, приглашения РФ и КНР.
Американский медиа гигант Sinclair попал под раздачу банды вымогателей. Телетрансляции каналов, прекратились сегодня по всей территории США из-за якобы технических проблем, но в сеть просочились подробности, что это была атака с использованием ransomware.
Sinclair Broadcast Group - одна из крупнейших медиа-империй в США, контролирующая 294 телеканала на 89 рынках США. Десятки станций Sinclair от Вашингтона до Мэриленда и от Иллинойса до Техаса отключились. Инцидент произошел рано утром и вывел из строя внутреннюю корпоративную сеть Sinclair, почтовые серверы, телефонные службы и системы вещания местных телеканалов. В результате атаки огромное количество каналов не смогли транслировать утренние шоу, новости, в том числе и запланированные игры НФЛ.
По предварительным данным, инциденту способствовал тот факт, что многие пользователи в сети Sinclair были связаны через один и тот же домен Active Directory, что соответственно позволило злоумышленникам получить доступ к системам вещания всех телерадиостанций. Ситуацию спасло то, что хакерам не удалось достигнуть той части системы вещания Sinclair, которая отвечает за «главный контроль», что в свою очередь, позволило экстренно заменить запланированные передачи на локальные записи программ и некоторые каналы хотя бы оставались в эфире.
На данный момент пока неясно, сколько телеканалов Sinclair пострадало и какой реально ущерб нанесен. Представители компании никак не комментируют ситуацию, но очевидно, что данный инцидент сильно ударит по доходам пока не будут восстановлены системы вещания.
Это увы не первый случай атаки ransomware, нацеленной на теле- и радиостанции с попытками прервать прямые трансляции. Успели ощутить всю прелесть шифрования Cox Media Group (июнь 2021), M6 Франции (октябрь 2019), Entercom (сентябрь 2019), The Weather Channel (апрель 2019).
Тот случай, когда платную подписку предлагают не зрителям, а самой телекомпании.
Sinclair Broadcast Group - одна из крупнейших медиа-империй в США, контролирующая 294 телеканала на 89 рынках США. Десятки станций Sinclair от Вашингтона до Мэриленда и от Иллинойса до Техаса отключились. Инцидент произошел рано утром и вывел из строя внутреннюю корпоративную сеть Sinclair, почтовые серверы, телефонные службы и системы вещания местных телеканалов. В результате атаки огромное количество каналов не смогли транслировать утренние шоу, новости, в том числе и запланированные игры НФЛ.
По предварительным данным, инциденту способствовал тот факт, что многие пользователи в сети Sinclair были связаны через один и тот же домен Active Directory, что соответственно позволило злоумышленникам получить доступ к системам вещания всех телерадиостанций. Ситуацию спасло то, что хакерам не удалось достигнуть той части системы вещания Sinclair, которая отвечает за «главный контроль», что в свою очередь, позволило экстренно заменить запланированные передачи на локальные записи программ и некоторые каналы хотя бы оставались в эфире.
На данный момент пока неясно, сколько телеканалов Sinclair пострадало и какой реально ущерб нанесен. Представители компании никак не комментируют ситуацию, но очевидно, что данный инцидент сильно ударит по доходам пока не будут восстановлены системы вещания.
Это увы не первый случай атаки ransomware, нацеленной на теле- и радиостанции с попытками прервать прямые трансляции. Успели ощутить всю прелесть шифрования Cox Media Group (июнь 2021), M6 Франции (октябрь 2019), Entercom (сентябрь 2019), The Weather Channel (апрель 2019).
Тот случай, когда платную подписку предлагают не зрителям, а самой телекомпании.
Forwarded from SecurityLab.ru
Facebook обвинили в подрыве демократии и дискриминации, хакеры атаковали крупнейший банк Эквадора, ИБ-экспертам по-прежнему угрожают судом за выявление 0-day, а через взломанные маршрутизаторы TP-Link рассылали SMS. А также еженедельные конкурсы с крутыми призами для подписчиков нашего канала! Смотрите 36-й выпуск наших новостей:
https://www.youtube.com/watch?v=9c6o3f5ghLs
Темы нового ролика:
- Internet Archive сделал весьма мрачный прогноз по поводу будущего интернета
- АНБ: США будут сталкиваться с вымогателями каждый день в ближайшие годы
- Вымогатели Conti украли у JVCKenwood Group 1,7 ТБ данных
- Произошла утечка исходного кода Twitch и заработков топовых блогеров
- В Украине разоблачили вымогателя, атаковавшего более 100 иностранных компаний
- Атака вымогателей на больницу привела к гибели ребенка
- Касперская советует россиянам не сдавать биометрические данные
- Сноуден прокомментировал сбой в работе Facebook
- Обслуживающая крупных мобильных операторов компания Syniverse сообщила о взломе
- Криптоплатформа Compound раздала $90 млн своим пользователям из-за сбоя
- Хакеры украли криптовалюту со счетов 6000 пользователей Coinbase
- Akamai Technologies купила израильский ИБ-стартап Guardicore за $600 млн
https://www.youtube.com/watch?v=9c6o3f5ghLs
Темы нового ролика:
- Internet Archive сделал весьма мрачный прогноз по поводу будущего интернета
- АНБ: США будут сталкиваться с вымогателями каждый день в ближайшие годы
- Вымогатели Conti украли у JVCKenwood Group 1,7 ТБ данных
- Произошла утечка исходного кода Twitch и заработков топовых блогеров
- В Украине разоблачили вымогателя, атаковавшего более 100 иностранных компаний
- Атака вымогателей на больницу привела к гибели ребенка
- Касперская советует россиянам не сдавать биометрические данные
- Сноуден прокомментировал сбой в работе Facebook
- Обслуживающая крупных мобильных операторов компания Syniverse сообщила о взломе
- Криптоплатформа Compound раздала $90 млн своим пользователям из-за сбоя
- Хакеры украли криптовалюту со счетов 6000 пользователей Coinbase
- Akamai Technologies купила израильский ИБ-стартап Guardicore за $600 млн
YouTube
Роутеры рассылают SMS-ки, крупнейший банк Эквадора подвергся кибератаке. Security-новости #36 | 12+
💰📊👉 Новости об инвестициях в кибербезопасность предоставлены каналом It’s positive investing - https://news.1rj.ru/str/positive_investing
0:00 Здравствуйте с вами Александр Антипов, ваш бессменный ведущий самых жарких новостей по информационной безопасности
0:55…
0:00 Здравствуйте с вами Александр Антипов, ваш бессменный ведущий самых жарких новостей по информационной безопасности
0:55…