👆👆👆
весь арсенал, о котором должен знать каждый специалист по информационной безопасности, вне зависимости от цвета шляпы. Всё только самое вкусное и важное по Социальной Инженерии лежит в одном месте: https://news.1rj.ru/str/Social_engineering. А в комплексе с OSINT открывает весьма большие перспективы.

Что и следовало ожидать.

Администрация Байдена все же приступила к созданию коалиции по борьбе с киберпреступность из 30 стран, угадайте кого не позвали. Впрочем, мы уже писали об этом.

Все правильно, более того в адрес России прозвучали новые претензии в пособничестве бандам вымогателей, а КНР обвинили в недавних атаках на сервера Microsoft Exchange.

Как отметили американские правоохранители, несмотря на начавшееся взаимодействие и первые положительные результаты после переговоров на высоком уровне, атаки против инфраструктуры США не только продолжились, но и участились.

Инициированная интеграция получила наименование Инициатива по борьбе с программами-вымогателями и проходит в формате двухдневного онлайн-форума под руководством Белого дома.

Ожидается, что проект станет основой для выстраивания сотрудничества правоохранительных органов и дипломатических связей по борьбе с ransomeware.

За два дня пройдёт шесть сессий и четыре панельных дискуссий. При этом представители Индией выступят модераторами по теме устойчивости, Австралии - по противодействию акторам угроз, Соединенного Королевства - по виртуальной валюте и Германии - по международному сотрудничеству. Повестка и возможные решения - не разглашаются.

Все это вовсе не похоже на инициативу по борьбе с киберупреступностью, а больше напоминает политические инсинуации. Этим и объясняются многие пробелы и казусы в атрибуциях, которые допускают западные инфосек компании последнее время.

Но, полагаем, что по существу решить вопросы в таком формате у западных партнёров вряд ли не получится.

По второму кругу пустили тайваньского компьютерного гиганта Acer хакеры, реализовавшие, согласно сообщению жертвы, «изолированноую атаку» на системы послепродажного обслуживания в Индии.

Напомним, Acer - тайваньская транснациональная компания, шестой в мире производитель компьютерных технологий со штатом в 7000 сотрудников в 40 странах мира и ежегодной прибылью более 9 миллиардов долларов.

В марте Acer потрошили REvil, потребовав выкуп в размере 50 миллионов долларов. На этот раз злоумышленники украли и выложили на RAID более 60 ГБ файлов и баз данных с серверов Acer.

По предварительной оценке, украденные файлы включают в себя сведения о клиентах, корпоративных и финансовых показателях, а также учетные данные розничных торговых представительств и дистрибьюторов Acer в Индии. В качестве пруфов хакеры слили видео с демонстрацией более 10 000 записей клиентов и 3 000 торговых точек.

Печальная тенденция.

Грядет серьезная расправа в стиле "Меча Гедеона" ибо под ударом банды шифровальщиков оказался израильский медицинский центр Хиллеля Яффе в Хадере.

По словам официальных лиц, израильская больница в среду подверглась атаке с использованием ransomware, а киберуправление назвало это первой атакой на медицинские учреждения в стране.

В результате инцидента персоналу больницы в срочном порядке пришлось использовать альтернативные системы для лечения пациентов и записывать информацию вручную. Сейчас больница работает в обычном режиме, за исключением плановых, неотложных операций. Все критическое оборудование работает должным образом, в том числе сканеры КТ и МРТ. Соседний медицинский центр Ланиадо в Нетании принимает неотложных пациентов из пострадавшей больницы.

Об инциденте сообщили в Национальное управление кибербезопасности и теперь над его расследованием работают лучшие специалисты. В качестве превентивной меры об инциденте проинформираны другие больницы.

По предварительным данным, нападение было совершено новой группой хакеров, которая также ответственна за нападение на больницу в США. Главный специалист по информационной безопасности Cato Networks Амит Спитцер, заявил, что инцидент «вызывает вопросы о судьбе личной медицинской информации многих пациентов в больнице». Кроме того, среди представителей израильского инфосека преобладает предположение, что нападение было совершено без цели получения выкупа, как враждебная спланированная операуция.

Поэтому внимательно наблюдаем за развитием событий. Как мы знаем, ребята со Святой земли не оставляют такие дела без ответа.

Ну неужели? WhatsApp запускает сквозное шифрование резервных копий чатов для iOS и Android.

Речь идет об уже существующей функции резервирования, которая реализована путем создания резервных копий переписки в онлайн-хранилищах: в iOS - на iCloud, для Android предусмотрено хранение на Google Диске. В случае переустановки приложения - пользователь всегда может развернуть бэкап на новом устройстве.

Несмотря на защиту сквозным шифрованием (e2ee) диалогов в WhatsApp, до настоящего времени в случае проведения целевой атаки MiTM или компрометации SIM-карты, злоумышленник потенциально мог воспользоваться функцией облачного хранения ваших копий и накатить чаты в контролируемый девайс.

Начиная с сегодняшнего дня Facebook, внедряет в WhatsApp новую функцию, позволяющую выполнять сквозное шифрование резервных копий чатов независимо от того, где они хранятся. Пользователи приложения смогут устанавливать пароль для зашифрованной резервной копии, который потребуется ввести перед загрузкой в iCloud или Google Drive. Альтернативной опцией станет также применение 64-значного ключа для шифрования бэкапов. Услуга внедряется не сразу, а постепенно будет открываться для пользователей последний версий менеджера.

Facebook настаивает, что ни WhatsApp, ни поставщик платформы для облачного хранения не смогут знакомиться с содержимым резервных копий или получить доступ к ключу для расшифровки. Никто, кроме… вас самих, вашей совести и вашего куратора из спецслужб.

Монументально потрудились специалисты службы сканирования Google VirusTotal, выпустив отчет по результатам анализа 80 миллионов образцов ransomware, представленных из 140 стран.

В 2020 году и в первой половине 2021 года исследователями выявлено не менее 130 семейств активных программ-вымогателей. При этом многие из крупных вредоносных кампаний вымогателей были актуальны в короткой перспективе, но примерно 100 штаммов программ-вымогателей сохраняют свою активность на постоянной основе.

Проанализированные образцы были сгруппированы по 30 000 кластеров вредоносных программ, на долю GandCrab приходилось 6 000, за ним следовали Cerber с почти 5 000 кластеров и Congur с примерно 2 500 кластерами. Таким образом, согласно анализу GandCrab является самым активным семейством программ-вымогателей, поражающих системы Windows с начала 2020 года. GandCrab также остается лидером даже по количеству различных образцов, отправленных в VirusTotal, составляя 78,5% из них.

Бабук, появившийся в начале 2021 года и использовавшийся при нападении на Департамент столичной полиции Вашингтона занял второе место с 7,61% представленных образцов. Cerber (с 3,11% выборок), Matsnu (2,63%) и WannaCry (2,41%) замыкают пятерку лидеров. Далее следуют: Congur (1,52%), Locky (1,29%), Teslacrypt (1,12%), Rkor (1,11%) и Reveon (0,70%).

Анализ VirusTotal также показал, что злоумышленники используют ряд подходов, в том числе хорошо известные вредоносные программы для бот-сетей и другие трояны удаленного доступа (RAT) в качестве средств доставки своих программ-вымогателей. В большинстве случаев они задействуют свежие или новые образцы программ-вымогателей для своих кампаний. Злоумышленники также прибегают к эксплойтам для повышения привилегий и распространения своего вредоносного ПО во внутренних сетях.

Emotet, Zbot, Dridex, Gozi и Danabot были основными вредоносными артефактами, используемыми для распространения программ-вымогателей.

Большинство программ-вымогателей по-прежнему нацелены на системы Windows, поскольку примерно 95% образцов представляют собой исполняемые файлы для Windows или библиотеки динамической компоновки (DLL). На долю программ-вымогателей под Android приходилось 2% образцов. Google также обнаружил примерно 1 миллион образцов вымогателей EvilQuest, нацеленных на машины с macOS. Около 5% проанализированных образцов были связаны с эксплойтами, связанными с повышением привилегий Windows, раскрытием информации SMB и удаленным выполнением.

наиболее пострадавшим от ransomware оказался Израиль, количество представленных образцов увеличилось на 600%. За ним следуют: Южная Корея, Вьетнам, Китай, Сингапур, Индия, Казахстан, Филиппины, Иран и Великобритания.

​​Пожалуй, закончим неделю на прекрасной ноте: эксперты Positive Technologies проанализировали наиболее известные за последние 10 лет семейства руткитов - программ, позволяющих скрыть в системе присутствие ВПО или следы пребывания злоумышленников.

Руткиты, особенно работающие в режиме ядра, очень сложны в разработке, поэтому их используют либо высококвалифицированные APT, которые обладают нужными навыками, либо группы, чьи финансовые возможности позволяют купить руткиты на теневом рынке. Это могут быть как финансово мотивированные преступники, которые похищают крупные суммы денег, так и группировки, добывающие информацию и совершающие разрушительные действия в инфраструктуре жертвы в интересах заказчиков.

Неудивительно, что инциденты с обнаружением руткитов, как правило, отсылают к громким атакам с резонансными последствиями, поскольку зачастую они являются частью многофункционального вредоносного ПО, которое перехватывает сетевой трафик, шпионит за пользователями, похищает сведения для аутентификации или использует ресурсы жертв для проведения DDoS-атак. Все помним, легендарный Stuxnet, задействовавшийся по теме ядерной программы Ирана.

Согласно полученным данным, в 44% случаев злоумышленники использовали руткиты в атаках на госучреждения. Чуть реже (38% случаев) эти вредоносы применялись для атак на исследовательские институты.

В топ-5 наиболее атакуемых посредством руткитов отраслей по итогам исследования также вошли телеком (25%), промышленность (19%) и финансовые организации (19%). Помимо этого, более половины руткитов (56%) используются хакерами в атаках на частных лиц. Главным образом, это таргетированные атаки в рамках кампаний по кибершпионажу в отношении высокопоставленных чиновников, дипломатов и сотрудников целевых организаций.

В 77% случаев руткиты использовались злоумышленниками для шпионажа, примерно в трети случаев (31%) для извлечения финансовой выгоды, и лишь в 15% атак эксперты отметили мотив эксплуатации инфраструктуры компании-жертвы для проведения последующих атак.

В даркнете представлены, в основном, руткитов пользовательского уровня под массовку. Стоимость руткита варьируется от 45 до 100 000 долларов США и зависит от условий и дополнительных функций (чаще всего запрашивают получение удаленного доступа и сокрытие файлов, процессов и сетевой активности). В некоторых случаях разработчики предлагают доработку руткита под нужды заказчика и оказывают сервисное сопровождение.

Большая часть предлагаемого товара заточена под Windows (почти 67% всех предложений). Это коррелирует с результатами исследования: доля таких образцов в выборке вредоносов, изученных Positive Technologies, также превалирует, составляя 69%.

По оценкам исследователей, разработки malware таких типов будут только расти и усложняться. Ожидается, что руткиты продолжат работать, прежде всего, в интересах APT для сокрытия сложных целевых атак под различные тактические (шпионаж) или стратегические (деструктивное воздействие на инфраструктуру) задачи.

Можно много чего еще рассказать интересного из отчета, но лучше Positive Technologies, определенно, никто точно не сделает, так что к прочтению настоятельно рекомендуем.

​​В прошлом году мы писали, как взламывались iOS 14 на iPhone 11 Pro, Samsung Galaxy s20, Windows 10 v2004, Ubuntu, Chrome, Safari, FireFox.

На этот раз в ходе престижных хакерских соревнований в Поднебесной Tianfu Cup, прошедших 16 и 17 октября в городе Чэнду, хакерам удалось взломать: Windows 10 - 5 раз, Adobe PDF Reader - 4 раза, Ubuntu 20 - 4 раза, Parallels VM - 3 раза, iOS 15 - 3 раза, Apple Safari - 2 раза, Google Chrome - 2 раза, Роутер ASUS AX56U - 2 раза, Docker CE - 1 раз, VMWare ESXi - 1 раз, VMWare Workstation - 1 раз, qemu VM - 1 раз, Microsoft Exchange - 1 раз.

В ходе турнира команды имели три попытки по 5 минут, чтобы взломать выбранное устройство или ПО с помощью авторских эксплойтов, которые они разрабатывали с июля после того, как организаторы отметили 16 возможных целей.

В итоге 11 участников успешно реализовали атаки против 13 целей, а победу в состязании одержали представители команды Kunlun Lab (второе досталось PangU, третье - Институту исследования уязвимостей (VRI). Был разыгран призовой фонд в размере 1,88 миллиона долларов. Руки хакеров не добрались лишь до NAS Synology DS220j, Xiaomi Mi 11 и неназванного китайского электромобиля.

В целом, большинство эксплойтов представляли собой ошибки повышения привилегий и удаленного выполнения. Но две редкие фишки все же заслуживают отдельного внимания: первая представляла собой цепочку атак с удаленным выполнением кода без взаимодействия с полностью исправленной iOS 15, работающей на последнем iPhone 13, а вторая являлась двухэтапной цепочкой удаленного выполнения кода для Google Chrome.

Китайская версия Pwn2Own была учреждена в 2018 году после того, как в власти КНР ввели запрет на участие своим гражданам в хакерских конкурсах за рубежом, и результаты Tianfu Cup объясняют почему. Информация в отношении всех использованных уязвимостей направлена в адрес разработчиков. Так что нас ждут новые обновления, исправляющие ошибки.

​​Похоже, что REvil все.

Как известно, после резонансной атаки через 0-day уязвимость в платформе Kaseya MSP, операция REvil внезапно прекратилась, а их публичный представитель, unknown, исчез. Не дождавшись товарища, кодеры из команды REvil в сентябре вновь возобновили работу и подняли веб-сайты, используя резервные копии.

Однако последнее время дела у REvil шли настолько плохо, что они были вынуждены увеличить комиссионные для партнеров до 90%.

И вот незадача, неизвестные сыграли с хакерами злую шутку, угнав инфраструктуру самих хакеров в Tor. Как отметил представитель 0_neday, кто-то 10 октября с 12:00 по московскому времени поднял скрытые сервисы для платежного портала и блога с утечками, что указывает на то, что третья сторона заполучила резервные копии со всеми сервисными ключами onion. Более того, атакующий намерен был скомпрометировать и самого 0_neday.

Понимая безысходность и всю эпичность ситуации, 0_neday связался с партнерами через форум XSS для передачи ключей дешифрования через Tox, для того, чтобы филиалы могли закончить свои операции и предоставить дешифратор, если будет выплачен выкуп, а по итогу сообщил об уходе.

Учитывая получение Bitdefender и ФБР к главному ключу дешифрования REvil, многие допустят, что последняя атака на REvil - успешное завершение операции спецслужб, которые получили доступ к серверам еще с момента их перезапуска.

Вместе с тем, не стоит списывать со счетов Unknown, у которого также оставались все доступы и ключи и о судьбе которого до сих пор неизвестно.

Но опуская конспирологию, в деле скорее всего банальная экономика: подмоченная репутация REvil уже не давала тех доходов, к которым привыкли хакеры, поэтому целесообразней было проект закрыть. И, вероятно, вскоре мы увидим акторов под новым брендом.

​​Компаниям, использующим сетевое оборудование Juniper рекомендуется обновиться и ознакомиться с рекомендациями по безопасности, которые производитель выпустил на прошлой неделе.

Речь идет о более чем 40 рекомендациях, в которых описывается более 70 уязвимостей, влияющих на безопасность широкой линейки продуктов компании.

Львиная доля рекомендаций описывает критические уязвимости, в том числе те, которые могут быть использованы для атак типа «отказ в обслуживании» (DoS), удаленного выполнения кода (в том числе XSS), повышения привилегий и обхода безопасности. Многие баги связаны с использованием сторонних компонентов, но основная масса уязвимостей затрагивает операционную систему Juniper Junos OS, на которой работает большинство продуктов компании.

Juniper выпустила соответствующие обновления и исправления, а в некоторых случаях описаны дополнительные меры по предотвращению и снижению риска эксплуатации.

По словам Juniper, многие уязвимости были обнаружены в ходе внутреннего тестирования и исследования безопасности продукта, данными об использовании описанных уязвимостей в дикой природе они также не располагают.

Вместе с тем, Агентство по кибербезопасности США (CISA) поручило организациям в кратчайшие сроки ознакомиться с рекомендациями Juniper и применить необходимые обновления. Судя по всему, данные все же есть есть.

Операторов ransomware готовятся наказывать долларом.

FinCEN Министерства финансов США проанализировали 2184 SAR (отчетов о подозрительных действиях) в период с 1 января 2011 года по 30 июня 2021 года и пришли к выводу, что доходы наиболее известных вымогателей превысили 5,2 миллиарда долларов.

Озвученными регулятором цифрами, вероятно, представители США пугали собравшихся в ходе встречи в формате Counter-Ransomware Initiative, результатами которой стало решение представителей 30 государств принять меры в отношении виртуальных активов хакеров, как основного элемента их бизнес-модели.

Регулятору FinCEN удалось идентифицировать 177 адресов кошельков CVC (конвертируемой виртуальной валюты), используемых в интересах вымогателей, через которые было совершено примерно 5,2 миллиарда долларов исходящих транзакций BTC. Таким образом, средняя ежемесячная сумма подозрительных транзакций с ransomware составила 66,4 миллиона долларов, а биткойн (BTC) стал наиболее распространенным способом оплаты.

Общая стоимость SAR, связанных с программами-вымогателями, за первые шесть месяцев 2021 года, 590 миллионов долларов, уже превышает 416 миллионов долларов, зарегистрированных за весь 2020 год. На основе всех SAR регулятор выявил 68 активных вариантов вымогателей (чаще всего упоминались REvil/Sodinokibi, Conti, DarkSide, Avaddon и Phobos) и представил 10 самых популярных ransomware с наибольшим количеством жертв и самыми высокими требованиями к выкупу.

Таким образом, запад вплотную подбирается к карманам хакеров в надежде разрушить сформированную финансовую модель вымогателей. Полагаем, что, безусловно, масштабное регулирование каналов оплаты создаст определенные помехи в работе групп, но одновременно с этим и дополнительные проблемы для будущих жертв, на плечи которых и лягут все дополнительные расходы, которые понесут хакеры.

Ждем новых санкций, облав и очередных решений Counter-Ransomware Initiative, а, прежде всего, приглашения РФ и КНР.

​​Американский медиа гигант Sinclair попал под раздачу банды вымогателей. Телетрансляции каналов, прекратились сегодня по всей территории США из-за якобы технических проблем, но в сеть просочились подробности, что это была атака с использованием ransomware.

Sinclair Broadcast Group - одна из крупнейших медиа-империй в США, контролирующая 294 телеканала на 89 рынках США. Десятки станций Sinclair от Вашингтона до Мэриленда и от Иллинойса до Техаса отключились. Инцидент произошел рано утром и вывел из строя внутреннюю корпоративную сеть Sinclair, почтовые серверы, телефонные службы и системы вещания местных телеканалов. В результате атаки огромное количество каналов не смогли транслировать утренние шоу, новости, в том числе и запланированные игры НФЛ.

По предварительным данным, инциденту способствовал тот факт, что многие пользователи в сети Sinclair были связаны через один и тот же домен Active Directory, что соответственно позволило злоумышленникам получить доступ к системам вещания всех телерадиостанций. Ситуацию спасло то, что хакерам не удалось достигнуть той части системы вещания Sinclair, которая отвечает за «главный контроль», что в свою очередь, позволило экстренно заменить запланированные передачи на локальные записи программ и некоторые каналы хотя бы оставались в эфире.

На данный момент пока неясно, сколько телеканалов Sinclair пострадало и какой реально ущерб нанесен. Представители компании никак не комментируют ситуацию, но очевидно, что данный инцидент сильно ударит по доходам пока не будут восстановлены системы вещания.

Это увы не первый случай атаки ransomware, нацеленной на теле- и радиостанции с попытками прервать прямые трансляции. Успели ощутить всю прелесть шифрования Cox Media Group (июнь 2021), M6 Франции (октябрь 2019), Entercom (сентябрь 2019), The Weather Channel (апрель 2019).

Тот случай, когда платную подписку предлагают не зрителям, а самой телекомпании.

Как сообщает расовый румынский инфосек журналист Каталин Чимпану, аргентинские власти приняли активное участие в съемках сиквела известного фильма Гая Ричи в известном переводе Гоблина.

А именно, неизвестный хакер взломал аргентинское агентство RENAPER, которое является аналогом отечественной паспортной службы МВД, и украл данные удостоверений личности всего населения Аргентины. Да еще и с фотографиями.

Ранее злоумышленник опубликовал в Twitter-аккаунте AnibalLeaks (сейчас заблокирован) фото и личные данные 44 известных граждан Аргентины, включая президента страны Фернандеса и футболистов Месси и Агуэро.

Тогда власти Аргентины отморозились и сообщили, что никакой утечки не было, а выложенные в Twitter данные были украдены через уведенный VPN-аккаунт местного Министерства здравоохранения.

Однако Чимпану пишет, что их источник арендовал доступ к украденной базе RENAPER, которую хакер продает на "одном известном форуме" (подразумевается, естественно, Raid) и подтвердил ее наличие и подлинность, предоставив личные данные конкретного запрошенного человека.

Таким образом, впервые на нашей памяти, "талантливые" инфосек специалисты пролохматили целую страну, да причем не самую маленькую.

Вообще не везет Аргентине с информационной безопасностью. То у них вымогатели из NetWalker Агентство иммиграции Direccion Nacional de Migraciones взломают, да так, что на четыре часа все пункты пропуска на аргентинской границе закрываются. То REvil официальный портал Аргентины argentina .gob .ar. вскроют и в сеть 50Гб информации вывалят. И все так по крупному, с размахом.

Аргентина манит негра.

Специалисты компании Trustwave опубликовали на GitHub общедоступную утилиту, которую жертвы вымогателей BlackByte могут использовать для расшифровки и восстановления своих файлов без уплаты выкупа.

Разработать дешифратор удалось благодаря тому, что в ходе технического анализа исследователи Trustwave заметили конструктивный недостаток ransomware.

Они выяснили, что процесс шифрования BlackByte начинается сразу после того, как происходит скачивание файла поддельного изображения под названием forest.png на всех компьютерах в системе.

По словам исследователей, этот файл содержит «необработанный» криптографический ключ, который программа-вымогатель использует для получения ключей шифрования файлов жертвы, а затем генерирует ключ доступа, который дает пострадавшему доступ к сайту для переговоров и оплаты. Исследователи выяснили, что применяемая BlackByte технология является упрощенной версией более сложных алгоритмов других операторов ransomware.

Разработанный дешифратор автоматизирует процесс чтения необработанного ключа из файла forest.png, а затем вычисляет ключ дешифрования, необходимый для восстановления и восстановления файлов жертвы. При этом forest.png по умолчанию включен в дешифратор, для запуска процесса расшифровки пользователям необходимо заменить этот файл на тот, который представлен в их зараженных системах.

Рискуя остаться без доходов, BlackByte опровергла достоверность результатов исследований Trustwave. Хакеры заверили, что применение утилиты может привести к неправильной расшифровке зараженных систем и разрушить файловую систему жертв, поскольку они не применяют единичный ключ.

Не успев заиметь широкую «клиентскую сеть» BlackByte вовсе рискуют обанкротиться, ведь число жертв их атак, представленных на сайте утечек, не достигает и десяти. Трудоемкий, но еще один действенный способ пошатнуть бизнес-модель вымогателей в действии.

Symantec обнаружили новую высокопрофессиональную АРТ Harvester, деятельность которой направлена на сбор разведданных в рамках целенаправленных шпионских кампаний с упором на ИТ, телекоммуникации и государственные учреждения в Южной Азии.

Группа активна с июня 2021 года по настоящее время. Вредоносный арсенал Harvester ранее не встречался в дикой природе, что указывает на то, что это злоумышленник, не связан с уже известными акторами.

На вооружении Harvester сосредоточены как пользовательские вредоносные программы, так и общедоступные инструменты, в том числе Backdoor.Graphon, Custom Downloader, Custom Screenshotter, Cobalt Strike Beacon, Metasploit и др. В качестве первоначального вектора атака, по предположению Symantec, используется вредоносный URL-адрес.

Graphon предоставляет хакерам удаленный доступ к сети и маскирует свое присутствие, смешивая коммуникационную активность командного управления (C2) с легитимным сетевым трафиком из CloudFront и инфраструктуры Microsoft.

Интересная деталь обнаружена в работе загрузчика, который создает необходимые файлы в системе, добавляя значение реестра для новой точки загрузки и, в конечном итоге, открывает встроенный веб-браузер по адресу hxxps: // usedust [.] com.

Пользовательский инструмент для создания снимков экрана производит скрины рабочего стола и копирует их в защищенный паролем ZIP-архив, который затем пересылается через Graphon. Каждый ZIP-файл хранится в течение недели, более старые данные автоматически удаляются.

К настоящему времени Harvester работает в сегменте Афганистана, телекоммуникационный кластер которого активно окучивают китайские АРТ, следы которых обнаружили совсем недавно Future's Insikt Group. Кроме того, согласно расследованию компании Kaspersky Lab, на правительственные учреждения и телекоммуникационные компании Юго-Восточной Азии нацелена китайская APT GhostEmperor.

Учитывая тренд, полагаем, что атрибуция Harvester также не заставит себя долго ждать.

Продолжаем разбор атак в отношении учреждений здравоохранений Израиля.

В минувшие выходные зафиксирован всплеск атак ransomware, жертвами которых стали 9 больниц и медицинских организаций Израиля. Активность хакеров произошла сразу после атаки на медицинский центр Гилель Яффе, о котором мы оперативно сообщали.

Официально Министерство здравоохранения и Национальное управление киберпространства не сообщает о каких-либо серьезных серьезных последствиях атак, что ожидаемо.

Но вот незадача, израильтяне приписали атаки китайской группе вымогателей DeepBlueMagic, активность которых была замечена в августе 2021 года. Как известно, DeepBlueMagin отключает системы безопасности у жертв, использует инструмент шифрования жесткого диска BestCrypt для шифрования устройств. Мотивами нападений стала финансовая заинтересованность групп. В виду того, что большая часть учреждений относится к госсектору выплатить выкуп хакерам не получится.

Тем не менее, медицинский центр Гиллель Яффе все еще не смог оправится от атаки и перешел на бумагу для продолжения работы. При этом, согласно заявлению администрации, больница навсегда распрощалась с некоторыми данными. Это связано с тем, что злоумышленники, получили доступ к системе резервного копирования и подтерли все копии, хранящиеся в ней, на случай чрезвычайных ситуаций, таких как кибератаки.

Отбросив все драматические элементы инцидента, это, пожалуй, на практике первый инцидент с применением ransomware китайскими хакерами. Первый не первый - а ответный ход израильских спецслужб, как мы полагаем, будет последним. Посмотрим.

На продажу выставлена база сотрудников какой никакой компании, а целой Microsoft, включающая более 230 тысяч записей с указанием имени, должности, уровня подчиненности, отдела и электронной почты.

Неизвестный разместил объявление на Эксплойте, правда не указав цену. Примечательно, что сообщения на русском языке хакер публикует с помощью Google-переводчика.

Уверены на такое добро клиент найдется совсем скоро, а в перспективе появятся и более пикантные материалы. Microsoft же в самое ближайшее время предстоит большая работа над ошибками и, вероятно, судебными исками.

Брокеры эксплойтов Zerodium намерены приобрести 0-day уязвимости в приложениях крупнейших облачных VPN-сервисов ExpressVPN, NordVPN и Surfshark VPN. Соответсвующее предложение уже размещено, цена не разглашается, и клиенты, собственно, тоже.

Если ранее Zerodium интересовали дыры в маршрутизаторах, облачных сервисах и мобильных IM-клиентах. То сейчас ее интересуют эксплойты для получения данных в отношений пользователей VPN, установлению их реальных IP-адресов, а также позволяющих удаленно выполнять код в системах пользователей на базе Windows.

Как известно, основными клиентами Zerodium являются правоохранители, спецслужбы и другие правительственные структуры, а сотрудничающие с ней исследователи зарабатывали до 2,5 миллионов долларов в зависимости от типа и характера выявленных ими уязвимостей.

Поэтому интерес брокеров и их клиентов вполне понятен. А переживающим за конфиденциальность пользователям теперь также вполне ясно, от использования каких сервисов стоит отказаться.

Большое уважение вызывают разработчики богоспасаемого браузера Brave, которым удалось сдержать свои обещания и запустить свой собственный поисковик, призванный защищать интересы и приватность пользователей.

В июне мы писали обо всех достоинствах новой поисковой системы, которая заменила в браузере Brave сервис от Google и теперь Brave Search установлен по умолчанию при поиске из адресной строки. Правда пока, что опция доступна для пользователей в США, Канаде и Великобритании (в версиях 1.31 для Android и ПК, 1.32 для iOS).

Разработчики Brave search гарантируют:
- отсутствие отслеживания или профилирования пользователей;
- на первом месте интересы пользователя, а не реклама или Big Data;
- собственный независимый поисковый индекс;
- отсутствие непрозрачных методов или алгоритмов в работе поисковика и пр.

Кроме того, Brave Search запустил Web Discovery, при активации которого пользователем Brave Browser загрузит анонимные данные о поисках и посещениях веб-страниц. Эти данные будут использоваться для уточнения индекса Brave Search и отображения более релевантных результатов поиска.

Пока что в Brave Search не отображается реклама, но вскоре показ конфиденциальной рекламы будет реализован на базе собственной системы Brave Ads. Но расстраиваться не стоит, ведь в будущем станет доступна премиум-версия без рекламы.

С момента запуска в июне бета-версию поисковика уже затестили более 80 миллионов пользователей. Цифра небольшая, но гуглу можно начинать волноваться.

Но все же вызывают определённый скепсис приватные технологии: если вас не отслеживают трекеры, то это вовсе не означает, что за вами не следит куратор проекта из спецслужб.

Специалисты из Sentinel Labs пришли к выводу, что банда вымогателей Karma - это все те же самые ребята, что явили миру JSWorm, Nemty, Nefilim, Fusion, Milihpen и совсем недавно Gangbang. Этакий ребрендинг в ногу с эволюцией ransomvare.

Karma использовалась злоумышленниками еще в 2016 году, а JSWorm впервые появился в 2019 году и в течение следующих двух лет претерпел серию ребрендингов, при этом всегда сохраняя сходство кода, которого было достаточно для исследователей, чтобы установить связь.

Отчет Sentinel Labs основан на анализе восьми образцов, взятых из различных инцидентов с ransomvare в июне 2021 года. Все они имеют заметные сходства с кодом группировки Milihpen, которые появились примерно в январе 2021 года. Степень сходства вплоть до содержимого папок, типов файлов и отладочных сообщений. Еще одно примечательное сходство можно заметить при проведении «bindiff» (адаптивное сравнение бинарных файлов) на образцах Karma и Gangbang, у которых почти аналогичная функция main ().

Эволюция произошла в используемой схеме шифрования: более ранние вредоносные программы использовали алгоритм шифрования Chacha20, а самые последние образцы переключились на Salsa20. Еще одно изменение, заключалось в создании нового потока для перечисления и шифрования, возможно, для достижения более надежного результата. Авторы вредоносной программы также добавили поддержку параметров командной строки в последних версиях.

Что касается потерпевшей стороны от вымогательства, то подход Karma мало чем отличается от типичного подхода остальных программ-вымогателей: письма счастья с выкупом на BTC и кража данных.

Все эта кутерьма с переименовывающими группами говорит о том, что Karma всего лишь ширма для продолжения долгосрочной работы группировки, которая притворяется меньше, чем они есть на самом деле. Как говориться – разделяй и зарабатывай, а популизм в данном деле точно не к чему.