Signal раскрыли подробности контактов с полицией округа Санта-Клара, штат Калифорния, представители которой пытались получить от разработчика информацию об интересующих пользователях.
Для этого силовики даже оформили соответствующий ордер на обыск, который включал в себя требования о передаче сведений о конкретных пользователях Signal (аккаунт, номер телефона и адрес электронной почты), логов всех их действий (с указанием IP-адреса, дат и времени), а также содержимое коммуникаций (аудио и видеозвонки, голосовые и текстовые сообщения, чаты, вложения, счета).
Дабы не пойти паровозом за ProtonMail, компания Signal опубликовала все официальные документы, в том числе и направленные ответы на запросы полиции, естественно без обозначения интересующих их пользователей. Из представленных материалов следует, что Signal уведомили правоохранительные органы об отсутствии доступа у администрации мессенджера к зашифрованным пользовательским данным, по умолчанию Signal не собирает запрошенную полицией информацию.
В итоге, достоянием полицейских стали лишь сведения об активности абонента Signal, которая включает отметки времени и даты авторизаций учетной записи, а компании после этого потребовался год судебных и бюрократических баталий для получения разрешения на частичное раскрытие ордеров.
Наивные, надо было сперва в ЦРУ, а затем уже в суд идти, а то поперед батьки в пекло решили сунуться.
Для этого силовики даже оформили соответствующий ордер на обыск, который включал в себя требования о передаче сведений о конкретных пользователях Signal (аккаунт, номер телефона и адрес электронной почты), логов всех их действий (с указанием IP-адреса, дат и времени), а также содержимое коммуникаций (аудио и видеозвонки, голосовые и текстовые сообщения, чаты, вложения, счета).
Дабы не пойти паровозом за ProtonMail, компания Signal опубликовала все официальные документы, в том числе и направленные ответы на запросы полиции, естественно без обозначения интересующих их пользователей. Из представленных материалов следует, что Signal уведомили правоохранительные органы об отсутствии доступа у администрации мессенджера к зашифрованным пользовательским данным, по умолчанию Signal не собирает запрошенную полицией информацию.
В итоге, достоянием полицейских стали лишь сведения об активности абонента Signal, которая включает отметки времени и даты авторизаций учетной записи, а компании после этого потребовался год судебных и бюрократических баталий для получения разрешения на частичное раскрытие ордеров.
Наивные, надо было сперва в ЦРУ, а затем уже в суд идти, а то поперед батьки в пекло решили сунуться.
Signal Messenger
Search warrant for Signal user data, Santa Clara County
Here we are in the second half of 2021, Signal still knows nothing about you, but the government keeps asking.
Хакеры из печально известной банды-вымогателей Conti ударили по светской лондонской ювелирке Graff и грозятся опубликовать данные о мировых лидерах, известных актерах и магнатах, если не получат многомиллионный выкуп.
Как известно, компания Graff, основанная британским еврейским ювелиром и бизнесменом Лоуренсом Граффом, стала одним из самых известных ювелиров в мире, специализирующимся на продажах покупателям с Ближнего Востока.
И видимо переговоры зашли в тупик, раз в доказательство своих намерений хакерская группировка опубликовала в даркнете около 69000 файлов, содержащих подробную информацию о 11000 клиентов. А клиентами компании, между прочим, являются богатейшие люди мира, в числе которых: Дональд Трамп, Дэвид Бекхэм, Том Хэнкс, Сэмюэл Л. Джексон, Алек Болдуин и сэр Филип Грин. Также были раскрыты подробности о принце Саудовской Аравии Мохаммеде бен Салмане, премьер-министре ОАЭ шейхе Мохаммеде бин Рашид Аль Мактуме и премьер-министре Бахрейна Салмане бин Хамад Аль Халифа.
По предварительной оценке, документы включают списки клиентов, счета-фактуры, квитанции и кредитные реквизиты. Отдельно стоит отметить, что влияние на конфиденциальность клиентов может быть больше, чем стоимость приобретенных драгоценностей, так как некоторые покупки могут демонстрировать порочные любовные отношения или указывать на взятки в виде драгоценностей.
Не стоит исключать и тот факт, что, если Graaf откажется от оплаты выкупа, хакеры возьмутся за клиентов, которые, в свою очередь, обладают всеми необходимыми ресурсами, чтобы убедить ювелиров быть более сговорчивыми.
Как известно, компания Graff, основанная британским еврейским ювелиром и бизнесменом Лоуренсом Граффом, стала одним из самых известных ювелиров в мире, специализирующимся на продажах покупателям с Ближнего Востока.
И видимо переговоры зашли в тупик, раз в доказательство своих намерений хакерская группировка опубликовала в даркнете около 69000 файлов, содержащих подробную информацию о 11000 клиентов. А клиентами компании, между прочим, являются богатейшие люди мира, в числе которых: Дональд Трамп, Дэвид Бекхэм, Том Хэнкс, Сэмюэл Л. Джексон, Алек Болдуин и сэр Филип Грин. Также были раскрыты подробности о принце Саудовской Аравии Мохаммеде бен Салмане, премьер-министре ОАЭ шейхе Мохаммеде бин Рашид Аль Мактуме и премьер-министре Бахрейна Салмане бин Хамад Аль Халифа.
По предварительной оценке, документы включают списки клиентов, счета-фактуры, квитанции и кредитные реквизиты. Отдельно стоит отметить, что влияние на конфиденциальность клиентов может быть больше, чем стоимость приобретенных драгоценностей, так как некоторые покупки могут демонстрировать порочные любовные отношения или указывать на взятки в виде драгоценностей.
Не стоит исключать и тот факт, что, если Graaf откажется от оплаты выкупа, хакеры возьмутся за клиентов, которые, в свою очередь, обладают всеми необходимыми ресурсами, чтобы убедить ювелиров быть более сговорчивыми.
Команда Netlab Qihoo 360 обнаружила крупнейший за последние шесть лет ботнет из более чем 1,6 миллиона зараженных устройств.
Согласно наблюдениям NSFOCUS, более 96% его инфраструктуры расположены на территории КНР, включает сетевые шлюзы и устройства IoT. Ботнет получил наименование Pink благодаря тому, что в ходе изучения образца, полученного 21 ноября 2019 года, это слово достаточно часто упоминалось в качестве названия его функций.
Серьезный актив серьезно используется владельцами, прежде всего, для совершения распределенных атак типа «отказ в обслуживании» (DDoS) и генерации рекламного трафика.
Ботнет, в основном, нацелен на оптоволоконные маршрутизаторы на базе MIPS, использует комбинацию сторонних сервисов, таких как GitHub, одноранговые (P2P) сети и центральные серверы управления и контроля (C2) для связи своих ботов с контроллерами, наглухо шифруя каналы управления для предотвращения захвата подконтрольных устройств.
Pink также использует протокол DNS-Over-HTTPS (DoH) для выполнения удаленного разрешения системы доменных имен через протокол HTTPS, подключения к контроллеру, указанному в файле конфигурации, который либо доставляется через GitHub, либо через Baidu, Tieba или через жестко закодированное встроенное доменное имя.
К настоящему времени Pink стал инструментом для проведения около 100 DDoS-атак, занимая почетное первое место среди аналогов. Поэтому не удивляйтесь, когда узнаете, что пока вы тихо мирно отдыхаете дома, ваш роутер ломает ваш чайник или холодильник, склоняя последних к активному мочилову какого-нибудь VoIP-оператора или онлайн-казино.
В такой IoT-реальности, к сожалению, мы уже живем.
Согласно наблюдениям NSFOCUS, более 96% его инфраструктуры расположены на территории КНР, включает сетевые шлюзы и устройства IoT. Ботнет получил наименование Pink благодаря тому, что в ходе изучения образца, полученного 21 ноября 2019 года, это слово достаточно часто упоминалось в качестве названия его функций.
Серьезный актив серьезно используется владельцами, прежде всего, для совершения распределенных атак типа «отказ в обслуживании» (DDoS) и генерации рекламного трафика.
Ботнет, в основном, нацелен на оптоволоконные маршрутизаторы на базе MIPS, использует комбинацию сторонних сервисов, таких как GitHub, одноранговые (P2P) сети и центральные серверы управления и контроля (C2) для связи своих ботов с контроллерами, наглухо шифруя каналы управления для предотвращения захвата подконтрольных устройств.
Pink также использует протокол DNS-Over-HTTPS (DoH) для выполнения удаленного разрешения системы доменных имен через протокол HTTPS, подключения к контроллеру, указанному в файле конфигурации, который либо доставляется через GitHub, либо через Baidu, Tieba или через жестко закодированное встроенное доменное имя.
К настоящему времени Pink стал инструментом для проведения около 100 DDoS-атак, занимая почетное первое место среди аналогов. Поэтому не удивляйтесь, когда узнаете, что пока вы тихо мирно отдыхаете дома, ваш роутер ломает ваш чайник или холодильник, склоняя последних к активному мочилову какого-нибудь VoIP-оператора или онлайн-казино.
В такой IoT-реальности, к сожалению, мы уже живем.
360 Netlab Blog - Network Security Research Lab at 360
Pink, a botnet that competed with the vendor to control the massive infected devices
Most of the following article was completed around early 2020, at that time the vendor was trying different ways to recover the massive amount of infected devices, we shared our findings with the vendor, as well as to CNCERT, and decided to not publish the…
Следуя последнему тренду ransomware, операторы Hive теперь пополнили свой malvare-арсенал версиями для шифрования систем на базе ОС Linux и FreeBSD. Хотя казалось бы, работает не так давно с июня 2021 года, атаковав более 30 организаций (согласно сайту утечек).
Первыми заметили новые активности Hive спецы из словацкой ESET. Пока еще новые шифраторы Hive все в стадии разработки и не имеют полной функциональности. Так, например, Linux-версия шифратора выпадает в ошибку, если вредоносная программа запускалась с явным путем или выполняется без привилегий root, поскольку она пытается сбросить записку о выкупе в корневых файловых системах скомпрометированных устройств.
Традиционно Hive для код malvare исполнен на Golang с применением gobfuscate. Поддерживается единственный параметр командной строки (-no-wipe), в то время как Hive под ОС Windows имеет до 5 вариантов выполнения, включая завершение процессов и пропуск очистки диска, фильтрация файлов.
Внимание хакеров к Linux обусловлено постепенным переходом их корпоративных целей на платформы виртуальных машин для оптимизации своих управления устройствами и ресурсами, прежде всего, VMware ESXi. Именно под них REvil закодили еще в июне свой новый Linux-шифровальщик.
Вслед за ними Babuk, RansomExx / Defray, Mespinoza, GoGoogle, DarkSide также создали свои собственные шифровальщики для Linux. В июле-августе в дикой природе были обнаружены HelloKitty и BlackMatter для Linux.
Хуже всего даже не профилизация ransomware под Linux, а качество исполнения кода, который, зачастую, содержит ошибки и может повреждать файлы жертв во время шифрования, оставляя их без каких-либо гарантий восстановления, даже после оплаты выкупа.
Первыми заметили новые активности Hive спецы из словацкой ESET. Пока еще новые шифраторы Hive все в стадии разработки и не имеют полной функциональности. Так, например, Linux-версия шифратора выпадает в ошибку, если вредоносная программа запускалась с явным путем или выполняется без привилегий root, поскольку она пытается сбросить записку о выкупе в корневых файловых системах скомпрометированных устройств.
Традиционно Hive для код malvare исполнен на Golang с применением gobfuscate. Поддерживается единственный параметр командной строки (-no-wipe), в то время как Hive под ОС Windows имеет до 5 вариантов выполнения, включая завершение процессов и пропуск очистки диска, фильтрация файлов.
Внимание хакеров к Linux обусловлено постепенным переходом их корпоративных целей на платформы виртуальных машин для оптимизации своих управления устройствами и ресурсами, прежде всего, VMware ESXi. Именно под них REvil закодили еще в июне свой новый Linux-шифровальщик.
Вслед за ними Babuk, RansomExx / Defray, Mespinoza, GoGoogle, DarkSide также создали свои собственные шифровальщики для Linux. В июле-августе в дикой природе были обнаружены HelloKitty и BlackMatter для Linux.
Хуже всего даже не профилизация ransomware под Linux, а качество исполнения кода, который, зачастую, содержит ошибки и может повреждать файлы жертв во время шифрования, оставляя их без каких-либо гарантий восстановления, даже после оплаты выкупа.
Twitter
ESET research
#ESETresearch has identified Linux and FreeBSD variants of the #Hive #Ransomware. Just like the Windows version, these variants are written in #Golang, but the strings, package names and function names have been obfuscated, likely with gobfuscate. 1/6
Forwarded from Эксплойт | Live
С начала года Роскомнадзор выписал соцсетям и сервисам штрафов на 187 млн рублей
Вот список взысканий, которые получили соцсети за неудаление запрещённого контента:
• Facebook — 70 млн ₽
• Telegram — 35 млн ₽
• Google — 32,5 млн ₽
• TikTok — 4,1 млн ₽
• Одноклассники — 4 млн ₽
• ВКонтакте — 3 млн ₽
Пока что только 2 зарубежные компании оплатили штрафы — Google и TikTok, и очень интересно, как поступят остальные соцсети.
Вот список взысканий, которые получили соцсети за неудаление запрещённого контента:
• Facebook — 70 млн ₽
• Telegram — 35 млн ₽
• Google — 32,5 млн ₽
• TikTok — 4,1 млн ₽
• Одноклассники — 4 млн ₽
• ВКонтакте — 3 млн ₽
Пока что только 2 зарубежные компании оплатили штрафы — Google и TikTok, и очень интересно, как поступят остальные соцсети.
Как мы и предполагали, в ответ на действия международного сообщества вымогатели будут менять тактику нападений, станут более агрессивными и требовательными, что и начинает происходить.
Команда Symantec Threat Hunter обнаружила новый инструмент BlackMatter, предназначенный для ускорения кражи данных из зараженных систем, являляясь продолжением тренда, начавшегося с Ryuk Stealer и связанного с LockBit StealBit.
Exmatter дает вымогателям возможность избирательно производить хищение файлов определенных типов из выбранных каталогов для их скорейшей загрузки на подконтрольный хакерам сервер, что позволяет, в целом, им концентрироваться на наиболее критичных и важных для жертвы данных и значительно быстрее завершая процесс эксфильтрации, пока их не полочили.
После сканирования всех логических дисков на компьютере жертвы и сбора путей к файлам Exmatter начинает извлечение с учетом приоритета для определённого типа файлов посредством LastWriteTime, например PDF или Word, игнорируя такие каталоги, как «C: \ Documents and Settings». После завершения эксфильтрации Exmatter пытается перезаписать и удалить все свои следы с компьютера жертвы.
А вот, банда вымогателей HelloKitty (также известная как FiveHands) добавила в свой арсенал методов распределенные атаки типа «отказ в обслуживании» (DDoS), о чем предупреждают CISA и ФБР. По мнению хакеров, такой комплексный подход позволит ускорить переговорный процесс и быстрее получить выкуп, если жертва замешкалась в моменте.
В дополнение к DDoS, как мы и отмечали вчера, операторы HelloKitty, в числе других передовых коллег по цеху, закодили шифраторы под платформу виртуальных машин VMware ESXi, после чего их активность к августу резко возросла.
Команда Symantec Threat Hunter обнаружила новый инструмент BlackMatter, предназначенный для ускорения кражи данных из зараженных систем, являляясь продолжением тренда, начавшегося с Ryuk Stealer и связанного с LockBit StealBit.
Exmatter дает вымогателям возможность избирательно производить хищение файлов определенных типов из выбранных каталогов для их скорейшей загрузки на подконтрольный хакерам сервер, что позволяет, в целом, им концентрироваться на наиболее критичных и важных для жертвы данных и значительно быстрее завершая процесс эксфильтрации, пока их не полочили.
После сканирования всех логических дисков на компьютере жертвы и сбора путей к файлам Exmatter начинает извлечение с учетом приоритета для определённого типа файлов посредством LastWriteTime, например PDF или Word, игнорируя такие каталоги, как «C: \ Documents and Settings». После завершения эксфильтрации Exmatter пытается перезаписать и удалить все свои следы с компьютера жертвы.
А вот, банда вымогателей HelloKitty (также известная как FiveHands) добавила в свой арсенал методов распределенные атаки типа «отказ в обслуживании» (DDoS), о чем предупреждают CISA и ФБР. По мнению хакеров, такой комплексный подход позволит ускорить переговорный процесс и быстрее получить выкуп, если жертва замешкалась в моменте.
В дополнение к DDoS, как мы и отмечали вчера, операторы HelloKitty, в числе других передовых коллег по цеху, закодили шифраторы под платформу виртуальных машин VMware ESXi, после чего их активность к августу резко возросла.
Security
BlackMatter: New Data Exfiltration Tool Used in Attacks
Development of custom tool suggests ransomware attackers are attempting to increase the speed of their attacks.
Атаке ransomware подверглась система общественного транспорта крупнейшего города Канады – Торонто. В результате инцидента нарушена деятельность агентства общественного транспорта и выведены из строя несколько систем, используемых как водителями, так и пассажирами.
Транспортная комиссия Торонто заявила, что атака была обнаружена ИТ-специалистом агентства на прошлой неделе в четверг вечером в результате зафиксированной аномальной сетевой активности.
Изначально воздействие было минимальным, но чуть позже хакеры расширили масштабы своей атаки на сетевые сервера и инцидент затронул внутренние системы, такие как почтовый сервер агентства и систему видеосвязи с водителями. В итоге, водителям пришлось перейти на классическую систему радиосвязи до тех пор, пока проблема не будет локализована.
Помимо внутренних систем были скомпрометированы сервера, обслуживающие клиентов и портал бронирования Wheel-Trans (для людей с ограниченными возможностями), а также экраны платформ станций, приложения для планирования поездок и сайт, что, собственно, повлияло на способность отображать актуальную информацию о транспортных средствах на маршруте.
Но, несмотря на атаку, движение общественного транспорта не было парализовано. По словам официальных лиц, автобусы, трамваи и поезда метро продолжали работать в штатном режиме.
Это уже не первый инцидент в Канаде, связанный с атаками на системы общественного транспорта. Ранее преступники уже ломали систему общественного транспорта в Монреале в октябре 2020 года и метро Ванкувера в декабре 2020 года. Тогда хакеры запросили 2,8 миллиона и 7,5 миллионов канадских долларов соответственно, но не получили выкупа.
Пока ни одна из банд вымогателей не взяла на себя ответственность за инцидент, и представители агентства общественного транспорта Торонто тоже молчат, но, вероятно, ведут переговоры.
Транспортная комиссия Торонто заявила, что атака была обнаружена ИТ-специалистом агентства на прошлой неделе в четверг вечером в результате зафиксированной аномальной сетевой активности.
Изначально воздействие было минимальным, но чуть позже хакеры расширили масштабы своей атаки на сетевые сервера и инцидент затронул внутренние системы, такие как почтовый сервер агентства и систему видеосвязи с водителями. В итоге, водителям пришлось перейти на классическую систему радиосвязи до тех пор, пока проблема не будет локализована.
Помимо внутренних систем были скомпрометированы сервера, обслуживающие клиентов и портал бронирования Wheel-Trans (для людей с ограниченными возможностями), а также экраны платформ станций, приложения для планирования поездок и сайт, что, собственно, повлияло на способность отображать актуальную информацию о транспортных средствах на маршруте.
Но, несмотря на атаку, движение общественного транспорта не было парализовано. По словам официальных лиц, автобусы, трамваи и поезда метро продолжали работать в штатном режиме.
Это уже не первый инцидент в Канаде, связанный с атаками на системы общественного транспорта. Ранее преступники уже ломали систему общественного транспорта в Монреале в октябре 2020 года и метро Ванкувера в декабре 2020 года. Тогда хакеры запросили 2,8 миллиона и 7,5 миллионов канадских долларов соответственно, но не получили выкупа.
Пока ни одна из банд вымогателей не взяла на себя ответственность за инцидент, и представители агентства общественного транспорта Торонто тоже молчат, но, вероятно, ведут переговоры.
Ученые из Кембриджского университета в Соединенном Королевстве раскрыли обнаруженный еще 25 июля вектор атаки Trojan Source, позволяющий внедрять уязвимости в исходный код программного обеспечения таким образом, чтобы рецензенты не могли их обнаружить, что создает угрозу популярному ПО и цепочкам поставок.
Trojan Source использует простой прием, который не требует модификации компилятора или прочих ухищрений, затрагивая C, C ++, C #, JavaScript, Java, Rust, Go и Python. Вся фишка состоит в использовании управляющих символов Unicode для изменения порядка токенов в исходном коде на уровне кодирования.
Как выяснилось, используя управляющие символы, встроенные в комментарии и строки, злоумышленник может переупорядочить исходный код, чтобы не меняя визуальной картинки изменить его логику таким образом, чтобы создать уязвимость, которую можно впоследствии поэксплуатировать.
Реализация Trojan Source происходит по двум сценариям: CVE-2021-42574 (или двунаправленная атака) и CVE-2021-42694 (гомоглифическая атака).
В первом случае применяются элементы управления Unicode для двунаправленного текста, чтобы определять направление, в котором отображается контент. К примеру, LRI и RLI. Двунаправленные (Bidi) элементы управления LRI и RLI являются невидимыми символами, и они не единственные. Вводя эти инструкции, компилятор может скомпилировать код, полностью отличный от того, что видит человек.
Внедряя символы переопределения Unicode Bidi в комментарии и строки, злоумышленник может создать синтаксически корректный исходный код на большинстве современных языков, для которого порядок отображения символов представляет собой логику, отличающуюся от реальной логики.
Второй вариант атаки основывается на применении гомоглифов, то есть разных символов, которые хоть и имеют одинаковое визуальное представление, но реализуют разный функционал. Человеческий глаз будет видеть обе функции идентичными, в то время как компилятор различает латинскую «H» и кириллическую «H» и обрабатывает код как имеющий две разные функции, поэтому результат разным.
Оказывается также, что символы Bidi сохраняются при копировании/вставке в большинстве браузеров, редакторов и операционных систем. Trojan Source работает практически во редакторах кода и веб-репозиториях (оцените сами ниже в таблице)
За свои изыскания научные деятели получили в среднем 2 246 долларов по bugbounty. На GitHub они предоставили PoC, которые демонстрируют, насколько серьезной угрозой может быть атака: тем более, что Trojan Source затрагивает почти все компьютерные языки, а патчи еще толком не выпущены, оставляя уязвимыми почти два десятка поставщиков программного обеспечения.
Trojan Source использует простой прием, который не требует модификации компилятора или прочих ухищрений, затрагивая C, C ++, C #, JavaScript, Java, Rust, Go и Python. Вся фишка состоит в использовании управляющих символов Unicode для изменения порядка токенов в исходном коде на уровне кодирования.
Как выяснилось, используя управляющие символы, встроенные в комментарии и строки, злоумышленник может переупорядочить исходный код, чтобы не меняя визуальной картинки изменить его логику таким образом, чтобы создать уязвимость, которую можно впоследствии поэксплуатировать.
Реализация Trojan Source происходит по двум сценариям: CVE-2021-42574 (или двунаправленная атака) и CVE-2021-42694 (гомоглифическая атака).
В первом случае применяются элементы управления Unicode для двунаправленного текста, чтобы определять направление, в котором отображается контент. К примеру, LRI и RLI. Двунаправленные (Bidi) элементы управления LRI и RLI являются невидимыми символами, и они не единственные. Вводя эти инструкции, компилятор может скомпилировать код, полностью отличный от того, что видит человек.
Внедряя символы переопределения Unicode Bidi в комментарии и строки, злоумышленник может создать синтаксически корректный исходный код на большинстве современных языков, для которого порядок отображения символов представляет собой логику, отличающуюся от реальной логики.
Второй вариант атаки основывается на применении гомоглифов, то есть разных символов, которые хоть и имеют одинаковое визуальное представление, но реализуют разный функционал. Человеческий глаз будет видеть обе функции идентичными, в то время как компилятор различает латинскую «H» и кириллическую «H» и обрабатывает код как имеющий две разные функции, поэтому результат разным.
Оказывается также, что символы Bidi сохраняются при копировании/вставке в большинстве браузеров, редакторов и операционных систем. Trojan Source работает практически во редакторах кода и веб-репозиториях (оцените сами ниже в таблице)
За свои изыскания научные деятели получили в среднем 2 246 долларов по bugbounty. На GitHub они предоставили PoC, которые демонстрируют, насколько серьезной угрозой может быть атака: тем более, что Trojan Source затрагивает почти все компьютерные языки, а патчи еще толком не выпущены, оставляя уязвимыми почти два десятка поставщиков программного обеспечения.
Продолжаем следить за развитием киберпоединка Ирана и Израиля.
Мы ставили на то, что после взлома объектов транспорта и топливного комплекса Иран предпримет ответные шаги в адрес своих недоброжелателей в самое ближайшее время. Ответка при этом будет настолько же цинична, как и шутка с телефонным номером высшего должностного лица ИРИ, который был указан в качестве телефона службы поддержки на скомпрометированных публичных табло и экранах табло.
Так и случилось.
Действующая в интересах иранской стороны BlackShadow осуществила ряд последовательных атак с использованием ransomware-штамма Pay2Key на IT-сектор, взломав крупнейшую израильскую хостинговую компанию Cyberserve, и всех ее клиентов соответственно.
Как сообщается, в результате кибератаки веб-сайты и сервис клиентов провайдера стали недоступны, а в сеть стали просачиваться украденные клиентские базы данных. Неудивительно, что среди них оказались и израильские компании общественного транспорта Dan и Kavim, а также местные радиостанции, объекты культуры, образовательные учреждения и др.
За прекращение утечек хакеры потребовали выкуп в размере 1 миллиона долларов в крипте. Но вот досада, в отличие от типичных атак программ-вымогателей, считается, что BlackShadow не имеют финансовой мотивации.
Сложно сказать, но, похоже, что в данной ситуации самым серьезным неприятным сюрпризом станет ожидаемый слив украденной BlackShadow базы данных крупнейшего ЛГБТ-сайта под названием Atraf, пользователями которого вполне себе могли быть и VIP-персоны Израиля. Хакеры уже залили в сеть видеоролики с сайта с участием 50 известных публичных лиц страны.
В целом, утечка также включает данные ВИЧ-статуса пользователей, сексуальную ориентацию и незашифрованные пароли.
Эксперты в один голос трубят, что Ираном разыгрывается хорошо продуманная InfoOp в сочетании с очень слабыми хакерскими навыками, чтобы нанести ущерб Израилю. В свою очередь, высшие официальные лица Ирана прямо называют Израиль и Штаты организаторами кибератак, цель которых заключается в дискредитации руководства республики в глазах населения.
Чем не война? Одни атакуют, другие готовят контрнаступление, тут и не далеко до повторения ситуации 2010 года, когда Stuxnet вывел из строя центрифуги по обогащению урана.
Как бы ни было, мяч теперь на поле израильтян. Посмотрим, чем ответят.
Мы ставили на то, что после взлома объектов транспорта и топливного комплекса Иран предпримет ответные шаги в адрес своих недоброжелателей в самое ближайшее время. Ответка при этом будет настолько же цинична, как и шутка с телефонным номером высшего должностного лица ИРИ, который был указан в качестве телефона службы поддержки на скомпрометированных публичных табло и экранах табло.
Так и случилось.
Действующая в интересах иранской стороны BlackShadow осуществила ряд последовательных атак с использованием ransomware-штамма Pay2Key на IT-сектор, взломав крупнейшую израильскую хостинговую компанию Cyberserve, и всех ее клиентов соответственно.
Как сообщается, в результате кибератаки веб-сайты и сервис клиентов провайдера стали недоступны, а в сеть стали просачиваться украденные клиентские базы данных. Неудивительно, что среди них оказались и израильские компании общественного транспорта Dan и Kavim, а также местные радиостанции, объекты культуры, образовательные учреждения и др.
За прекращение утечек хакеры потребовали выкуп в размере 1 миллиона долларов в крипте. Но вот досада, в отличие от типичных атак программ-вымогателей, считается, что BlackShadow не имеют финансовой мотивации.
Сложно сказать, но, похоже, что в данной ситуации самым серьезным неприятным сюрпризом станет ожидаемый слив украденной BlackShadow базы данных крупнейшего ЛГБТ-сайта под названием Atraf, пользователями которого вполне себе могли быть и VIP-персоны Израиля. Хакеры уже залили в сеть видеоролики с сайта с участием 50 известных публичных лиц страны.
В целом, утечка также включает данные ВИЧ-статуса пользователей, сексуальную ориентацию и незашифрованные пароли.
Эксперты в один голос трубят, что Ираном разыгрывается хорошо продуманная InfoOp в сочетании с очень слабыми хакерскими навыками, чтобы нанести ущерб Израилю. В свою очередь, высшие официальные лица Ирана прямо называют Израиль и Штаты организаторами кибератак, цель которых заключается в дискредитации руководства республики в глазах населения.
Чем не война? Одни атакуют, другие готовят контрнаступление, тут и не далеко до повторения ситуации 2010 года, когда Stuxnet вывел из строя центрифуги по обогащению урана.
Как бы ни было, мяч теперь на поле израильтян. Посмотрим, чем ответят.
The Times of Israel
Israel cyber authority says it warned hosting company it was vulnerable to hack
National Cyber Directorate told CyberServer 'several times' it could be targeted, ahead of Black Shadow hackers' personal data breach of Israeli LGBT site and others
Forwarded from SecurityLab.ru
В России могут заблокировать иностранные мессенджеры, Цукерберг уверен, что Facebook стал жертвой клеветы, в Тель-Авиве эксперт взломал 73% изученных Wi-Fi-сетей, а в Иране кибератака парализовала автозаправки. Смотрите 38-й выпуск наших новостей:
https://www.youtube.com/watch?v=_y36Uk-f6RU
https://www.youtube.com/watch?v=_y36Uk-f6RU
YouTube
Конец анонимности в мессенджерах, операция Европола в теневой сети. Security-новости #38 | 12+
💰📊👉 Новости об инвестициях в кибербезопасность предоставлены каналом It’s positive investing - https://news.1rj.ru/str/positive_investing
0:00 Здравствуйте с вами Александр Антипов, ваш бессменный ведущий самых жарких новостей по информационной безопасности
0:53…
0:00 Здравствуйте с вами Александр Антипов, ваш бессменный ведущий самых жарких новостей по информационной безопасности
0:53…
Сразу вслед за REvil в анналы истории покатились BlackMatter.
Хакеры заявили, что прекращает свою работу, о чем они сами сообщили на своем сайте утечки. В качестве основной причины своего ухода RaaS-операторы отметили неразрешимые обстоятельства, связанные с давлением со стороны властей, добавив об исчезновении участников команды после «последних новостей». Партнерам BlackMatter разрешено доработать текущих жертв самостоятельно, обещая им представить все необходимые декрипторы.
Вместе с тем, несмотря на обозначенный срок в 48 часов (до полного закрытия), сайты оплаты и утечки группы продолжают работать.
Многие полагают, что под формулировкой «последних новостей» BlackMatter имели в виду начавшиеся облавы на хакеров в рамках операции украинских и европейских спецслужб, в результате которых была задержана украинская группа, совершившая более 1800 атак с использованием ransomware.
К ним также можно добавить и следующие не менее серьезные обстоятельства. Так, Microsoft и Gemini Advisory удалось найти взаимосвязь FIN7 (создателя штаммов Darkside и BlackMatter) с подставной пентестинговой компанией Bastion Secure, которая использовалась для рекрутинга высококвалифицированных кадров.
Во вторых, совсем недавно было анонсировано о начале полномасштабного сотрудничества США и России в борьбе с киберпреступностью, прежде всего, с группировками вымогателей, действующими с территории России и стран СНГ.
Но мы прекрасно помним также и то, что ранее хакеры FIN7 уже неоднократно реберндировались. И даже, если BlackMatter прекратит работу, то мы скорее всего встретим их под новым именем: это лишь вопрос времени.
Хакеры заявили, что прекращает свою работу, о чем они сами сообщили на своем сайте утечки. В качестве основной причины своего ухода RaaS-операторы отметили неразрешимые обстоятельства, связанные с давлением со стороны властей, добавив об исчезновении участников команды после «последних новостей». Партнерам BlackMatter разрешено доработать текущих жертв самостоятельно, обещая им представить все необходимые декрипторы.
Вместе с тем, несмотря на обозначенный срок в 48 часов (до полного закрытия), сайты оплаты и утечки группы продолжают работать.
Многие полагают, что под формулировкой «последних новостей» BlackMatter имели в виду начавшиеся облавы на хакеров в рамках операции украинских и европейских спецслужб, в результате которых была задержана украинская группа, совершившая более 1800 атак с использованием ransomware.
К ним также можно добавить и следующие не менее серьезные обстоятельства. Так, Microsoft и Gemini Advisory удалось найти взаимосвязь FIN7 (создателя штаммов Darkside и BlackMatter) с подставной пентестинговой компанией Bastion Secure, которая использовалась для рекрутинга высококвалифицированных кадров.
Во вторых, совсем недавно было анонсировано о начале полномасштабного сотрудничества США и России в борьбе с киберпреступностью, прежде всего, с группировками вымогателей, действующими с территории России и стран СНГ.
Но мы прекрасно помним также и то, что ранее хакеры FIN7 уже неоднократно реберндировались. И даже, если BlackMatter прекратит работу, то мы скорее всего встретим их под новым именем: это лишь вопрос времени.
Twitter
vx-underground
BlackMatter ransomware group has announced they're shutting down operations following pressure from local authorities - they state key members are no longer 'available'. Image 1. BlackMatter RaaS announcement of operations shutting down Image 2. Russian translated…
Начало ноября от Google стартовало с обновлений безопасности для Android и предупреждением, что одна из исправленных критических уязвимостей активно использовалась в ходе атак.
По заявлению Интернет-гиганта 0-day уязвимость CVE-2021-1048 использовалась в дикой природе. Ошибка кроется в ядре операционной системы и связана с использованием после освобождения (т.н. use after free), которую можно использовать для локального повышения привилегий.
Конкретных доказательств и обстоятельств атака с использованием CVE-2021-1048 предоставлено не было, но, по сообщениям Google, они были и самое интересное целевой характер атак предполагает, что они были осуществлены некой APT, вероятно, в целях шпионажа.
Каким образом и против кого пока не понятно, но скоро точно выясним. По данным Google, это шестая уязвимость в Android, которая использовалась в атаках в 2021 году.
В общей сложности ноябрьский патч обновлений закрывает около 40 уязвимостей.
Наиболее критическими багами в ноябрьском наборе обновлений стали уязвимости CVE-2021-0918 и CVE-2021-0930, позволяющие злоумышленникам выполнять вредоносный код удаленно и затрагивали компоненты System, Android TV и Qualcomm.
Более 30 ошибок были устранены в компонентах Framework, Media Framework, System, Kernel, Android TV, MediaTek и Qualcomm.
Также разработчики Google выпустили отдельную рекомендацию с описанием 10 уязвимостей, исправленных в устройствах Pixel.
Обновляемся и ждем продолжения по CVE-2021-1048.
По заявлению Интернет-гиганта 0-day уязвимость CVE-2021-1048 использовалась в дикой природе. Ошибка кроется в ядре операционной системы и связана с использованием после освобождения (т.н. use after free), которую можно использовать для локального повышения привилегий.
Конкретных доказательств и обстоятельств атака с использованием CVE-2021-1048 предоставлено не было, но, по сообщениям Google, они были и самое интересное целевой характер атак предполагает, что они были осуществлены некой APT, вероятно, в целях шпионажа.
Каким образом и против кого пока не понятно, но скоро точно выясним. По данным Google, это шестая уязвимость в Android, которая использовалась в атаках в 2021 году.
В общей сложности ноябрьский патч обновлений закрывает около 40 уязвимостей.
Наиболее критическими багами в ноябрьском наборе обновлений стали уязвимости CVE-2021-0918 и CVE-2021-0930, позволяющие злоумышленникам выполнять вредоносный код удаленно и затрагивали компоненты System, Android TV и Qualcomm.
Более 30 ошибок были устранены в компонентах Framework, Media Framework, System, Kernel, Android TV, MediaTek и Qualcomm.
Также разработчики Google выпустили отдельную рекомендацию с описанием 10 уязвимостей, исправленных в устройствах Pixel.
Обновляемся и ждем продолжения по CVE-2021-1048.
В минувшие выходные Пакистан сотрясла разрушительная кибератака, в результате которой рухнула вся инфраструктура Национального банка Пакистана (NBP).
Инцидент затронул все серверные системы банка, в том числе используемые для связи между подразделениями банка, корпоративную сеть, служебные коммуникации, сеть банкоматов и мобильные сервисы. По заверению администрации, финансы не пострадали.
Достаточно оперативно банк провел все восстановительные процедуры и в понедельник более 1000 отделений и банкоматов возобновили обслуживание клиентов в штатном режиме.
Не обошлось, конечно же, без паникеров: напуганные сообщениями о хакерском взломе клиенты в понедельник утром бросились к банкоматам снимать деньги. Страхи вкладчиков также подогрели множественные новостные фейки, согласно которым хакеры помимо NBP атаковали еще 9 банковских учреждений, обнулив счета их клиентов.
В реальности ни один банк, кроме NBP, не подвергался кибератакам, каких-либо финансовых потерь или утечек данных также не фиксировалось.
Вы было подумали, что опять не обошлось без ransomware. Однако это не так, особенно если учитывать, как быстро банку удалось зарекаверить систему. Кроме того, в сеть просочились скрины с одной из рабочих станций Windows из сети NBP, на которых видно, что ОС не запускается из-за ошибки отсутствия файла конфигурации загрузки.
Поэтому инцидент в настоящее время расследуется как попытка саботажа.
Инцидент затронул все серверные системы банка, в том числе используемые для связи между подразделениями банка, корпоративную сеть, служебные коммуникации, сеть банкоматов и мобильные сервисы. По заверению администрации, финансы не пострадали.
Достаточно оперативно банк провел все восстановительные процедуры и в понедельник более 1000 отделений и банкоматов возобновили обслуживание клиентов в штатном режиме.
Не обошлось, конечно же, без паникеров: напуганные сообщениями о хакерском взломе клиенты в понедельник утром бросились к банкоматам снимать деньги. Страхи вкладчиков также подогрели множественные новостные фейки, согласно которым хакеры помимо NBP атаковали еще 9 банковских учреждений, обнулив счета их клиентов.
В реальности ни один банк, кроме NBP, не подвергался кибератакам, каких-либо финансовых потерь или утечек данных также не фиксировалось.
Вы было подумали, что опять не обошлось без ransomware. Однако это не так, особенно если учитывать, как быстро банку удалось зарекаверить систему. Кроме того, в сеть просочились скрины с одной из рабочих станций Windows из сети NBP, на которых видно, что ОС не запускается из-за ошибки отсутствия файла конфигурации загрузки.
Поэтому инцидент в настоящее время расследуется как попытка саботажа.
Twitter
SBP
1/2 Some fake news regarding cybersecurity attack on banks is in circulation including remarks attributed to Chief Spokesman, Mr. Abid Qamar. According to these fake news, 9 banks have been affected by the attack and that money has been withdrawn and data…
Продолжаем обзор новых трендов в работе групп вымогателей, к которым их подталкивает новая реальность: началась буквально настоящая охота за головами и международный прессинг. Все побуждает хакеров повышать ликвидность и эффективность операции с использованием ransomware.
Одним из приемов давления на своих жертв в ближайшей перспективе станет финансовый шантаж, в основе которого будут угрозы занижения цен на акции публичных компаний. Именно об этом предупреждает ФБР США в своем уведомлении для компаний финансового сектора.
Представители спецслужбы заметили, что хакеры начали отслеживать на основе общедоступных и закрытых данных те компании, которым предстоит или уже участвуют в важных финансовых событиях (слияния, поглощения, оценки акций и пр.) или которые приближаются к чувствительным ко времени финансовым событиям (квартальные отчеты о прибылях и убытках, обязательная регистрация SEC, первичное публичное размещение акций и пр.), ставящих их в определённую зависимость от внешних обстоятельств (в том числе и утечек). Все это позволяет злоумышленникам в случае успешной атаки стимулировать выплату выкупа.
Для этого операторы стали более тщательно отбирать потенциальных жертв из пула зараженных брокерами первичного доступа. Выбор осуществляется на основе разведки, в ходе которой собирается непубличная информация для использования в качестве рычага воздействия на этапе вымогательства. В случае промедления выплат - она сливается в сеть, а об утечке информируются соответствующие финансовые регуляторы или участники бирж (NASDAQ), что в итоге негативно сказывается на стоимость акций жертв.
Кроме того, обновляется функционал ПО. Так, технический анализ трояна Pyxie (имплант первого уровня, который доставляет Defray777/RansomEXX) выявил новые возможности для сканирования зараженных сетей по ключевым словам. К ним относятся «10-Q» (связано с ежеквартальным отчетом о финансах); «10-SB» (форма, используемая для регистрации ценных бумаг малых предприятий в США), «N-CSR» (форма, касающаяся годовых и полугодовых отчетов для акционеров), а также: NASDAQ, MarketWired и Newswire.
На самом деле, впервые о такой тактике сообщал небезысвестный Unknown из REvil еще год назад на форуме Exploit. А ФБР ссылается в своем отчете на три инцидента в период с марта по июль 2020 года, когда результаты закрытых переговоров становились достоянием хакеров, атаковавших их участников с использованием ransomware именно в тот финансово уязвимый для жертв период. Операторы Darkside вообще в апреле 2021 года разместили в блоге сообщение о своей заинтересованности влиять на курс акций своих жертв.
Но, все, казавшиеся ранее уделом лишь наиболее продвинутых групп, фишки теперь станут частью повседневной работы вымогателей, для которых вопрос эффективности становится главным способом их выживания в условиях давления спецслужб и политики.
Одним из приемов давления на своих жертв в ближайшей перспективе станет финансовый шантаж, в основе которого будут угрозы занижения цен на акции публичных компаний. Именно об этом предупреждает ФБР США в своем уведомлении для компаний финансового сектора.
Представители спецслужбы заметили, что хакеры начали отслеживать на основе общедоступных и закрытых данных те компании, которым предстоит или уже участвуют в важных финансовых событиях (слияния, поглощения, оценки акций и пр.) или которые приближаются к чувствительным ко времени финансовым событиям (квартальные отчеты о прибылях и убытках, обязательная регистрация SEC, первичное публичное размещение акций и пр.), ставящих их в определённую зависимость от внешних обстоятельств (в том числе и утечек). Все это позволяет злоумышленникам в случае успешной атаки стимулировать выплату выкупа.
Для этого операторы стали более тщательно отбирать потенциальных жертв из пула зараженных брокерами первичного доступа. Выбор осуществляется на основе разведки, в ходе которой собирается непубличная информация для использования в качестве рычага воздействия на этапе вымогательства. В случае промедления выплат - она сливается в сеть, а об утечке информируются соответствующие финансовые регуляторы или участники бирж (NASDAQ), что в итоге негативно сказывается на стоимость акций жертв.
Кроме того, обновляется функционал ПО. Так, технический анализ трояна Pyxie (имплант первого уровня, который доставляет Defray777/RansomEXX) выявил новые возможности для сканирования зараженных сетей по ключевым словам. К ним относятся «10-Q» (связано с ежеквартальным отчетом о финансах); «10-SB» (форма, используемая для регистрации ценных бумаг малых предприятий в США), «N-CSR» (форма, касающаяся годовых и полугодовых отчетов для акционеров), а также: NASDAQ, MarketWired и Newswire.
На самом деле, впервые о такой тактике сообщал небезысвестный Unknown из REvil еще год назад на форуме Exploit. А ФБР ссылается в своем отчете на три инцидента в период с марта по июль 2020 года, когда результаты закрытых переговоров становились достоянием хакеров, атаковавших их участников с использованием ransomware именно в тот финансово уязвимый для жертв период. Операторы Darkside вообще в апреле 2021 года разместили в блоге сообщение о своей заинтересованности влиять на курс акций своих жертв.
Но, все, казавшиеся ранее уделом лишь наиболее продвинутых групп, фишки теперь станут частью повседневной работы вымогателей, для которых вопрос эффективности становится главным способом их выживания в условиях давления спецслужб и политики.
Поскольку на Украине нету длинных праздников, связанных с примирениями и согласиями, то тамошняя кровавая гебня в лице СБУ в конце прошлой недели решила вдарить по "клятим москалям" и выпустила отчет, раскрывающий бэкграунд APT Gamaredon (прямую ссылку на отчет СБУ давать не будем, а то еще обвинят в госизмене не ровен час; можете сами найти, к примеру, в статье BleepingComputer).
С трудом продираясь сквозь написанный на мове отчет (ребят, украинцы, не обижайтесь, но от "з урахуванням отримання облiкових даних адмiнiстраторiв та користувачiв мережi" у нас сели глаза) мы уяснили следующее.
APT Gamaredon - это проект ФСБ по Крыму потому что:
- фишинговые письма с ящиков на i. ua рассылались с российских IP-адресов, в том числе из Симферополя;
- С2 (тысячи их!, это не наши слова, так в отчете СБУ написано) находятся в Москве.
На этом все.
Мы вот не знаем как на это реагировать, либо в ФСБ сидят дундуки, либо СБУ нас считает за таковых. Потому что APT, организующая управляющий центр в столице государства, на которое она работает, это нонсенс.
В остальном отчет неплохой и местами даже интересный.
Приведенную в качестве доказательства аудиозапись разговоров двух товарищей, которые обсуждают как утащить у кого-то когда-то какой-то криптоконтейнер, а следом "песочные медали", за таковое принять трудно. Разве что как доказательство, что у ФСБ плохо с OpSec. Или не у ФСБ. Или вообще не плохо. Как лихо СБУ редактирует аудиозаписи мы помним по кейсу с Безлером и голландским судом.
В остатке - пусть СБУ ловит вымогателей, а не APT. Это у них получается эффективнее.
P.S. Кто-то скажет, что ФСБ и таких-то отчетов не делает. Согласны, не делает. Но лучше никаких, чем такие.
P.S.S. Слышь, СБУ, не надо пытаться нас ломать. Ребята, не стоит вскрывать эту тему. Вы молодые, шутливые, вам все легко. Это не то. Это не Чикатило и даже не архивы спецслужб. Сюда лучше не лезть...
С трудом продираясь сквозь написанный на мове отчет (ребят, украинцы, не обижайтесь, но от "з урахуванням отримання облiкових даних адмiнiстраторiв та користувачiв мережi" у нас сели глаза) мы уяснили следующее.
APT Gamaredon - это проект ФСБ по Крыму потому что:
- фишинговые письма с ящиков на i. ua рассылались с российских IP-адресов, в том числе из Симферополя;
- С2 (тысячи их!, это не наши слова, так в отчете СБУ написано) находятся в Москве.
На этом все.
Мы вот не знаем как на это реагировать, либо в ФСБ сидят дундуки, либо СБУ нас считает за таковых. Потому что APT, организующая управляющий центр в столице государства, на которое она работает, это нонсенс.
В остальном отчет неплохой и местами даже интересный.
Приведенную в качестве доказательства аудиозапись разговоров двух товарищей, которые обсуждают как утащить у кого-то когда-то какой-то криптоконтейнер, а следом "песочные медали", за таковое принять трудно. Разве что как доказательство, что у ФСБ плохо с OpSec. Или не у ФСБ. Или вообще не плохо. Как лихо СБУ редактирует аудиозаписи мы помним по кейсу с Безлером и голландским судом.
В остатке - пусть СБУ ловит вымогателей, а не APT. Это у них получается эффективнее.
P.S. Кто-то скажет, что ФСБ и таких-то отчетов не делает. Согласны, не делает. Но лучше никаких, чем такие.
P.S.S. Слышь, СБУ, не надо пытаться нас ломать. Ребята, не стоит вскрывать эту тему. Вы молодые, шутливые, вам все легко. Это не то. Это не Чикатило и даже не архивы спецслужб. Сюда лучше не лезть...
BleepingComputer
Ukraine links members of Gamaredon hacker group to Russian FSB
SSU and the Ukrainian secret service say they have identified five members of the Gamaredon hacking group, a Russian state-sponsored operation known for targeting Ukraine since 2014.
Сезон охоты официально открыт. А неофициально: мы уже неоднократно говорили, что фронт борьбы с ransomware может быть реализован двумя способами.
И, стало быть, пока решили обойтись без треша и гуро, а просто объявить за головы вознаграждение в размере до 10 000 000 долларов за информацию, позволяющую идентифицировать или установить местонахождение хакеров, стоящих за DarkSide, ну и собственно, BlackMatter. Предложение озвучено Госдепартаментом США.
Кроме того, назначена награда в размере 5 000 000 долларов за информацию, которая позволит арестовать или осудить любого участника, причастного (и даже попытавшегося поучаствовать) к атакам Darkside. При этом неважно, в какой стране разыскиваемый будет привлечен к уголовной ответственности.
Видимо, не зря, на прошлой неделе хакеры так быстро запаковали чемоданы и слились.
И, стало быть, пока решили обойтись без треша и гуро, а просто объявить за головы вознаграждение в размере до 10 000 000 долларов за информацию, позволяющую идентифицировать или установить местонахождение хакеров, стоящих за DarkSide, ну и собственно, BlackMatter. Предложение озвучено Госдепартаментом США.
Кроме того, назначена награда в размере 5 000 000 долларов за информацию, которая позволит арестовать или осудить любого участника, причастного (и даже попытавшегося поучаствовать) к атакам Darkside. При этом неважно, в какой стране разыскиваемый будет привлечен к уголовной ответственности.
Видимо, не зря, на прошлой неделе хакеры так быстро запаковали чемоданы и слились.
Telegram
SecAtor
Ну и закончим новостную ленту ransomware постом про взлом FujiFilm, которая сделала вчера об этом официальное заявление.
Рассказывать про Fuji долго не будем, про них и так все знают. Отметим лишь, что наряду с различной периферией и оргтехникой (например…
Рассказывать про Fuji долго не будем, про них и так все знают. Отметим лишь, что наряду с различной периферией и оргтехникой (например…
История с лондонской ювелиркой Graff и хакерской группировкой Conti принимает интересный поворот.
По неведанному стечению обстоятельств, может из солидарности, а может из-за банального страха быть публично забитыми камнями, представители банды вымогателей решили принести официальные извинения...Хм, дежавю.
Как мы писали ранее, Conti опубликовали образец базы данных всемирно известных ювелиров, в которой находилось более 69 000 конфиденциальных документов, списков клиентов, счетов-фактур и кредитовых авизо. Чтобы доказать, что утечка содержит реальные данные были обнародованы покупки Дэвида Бекхэма и Дональда Трампа, но как известно, в базе было очень много и других не менее именитых имен, в том числе и данные о членах королевских семей из Саудовской Аравии, ОАЭ и Катара.
«Наша команда приносит свои извинения Его Королевскому Высочеству принцу Мохаммеду бен Салману и любым другим членам королевских семей, чьи имена были упомянуты в обществе…»
Хакеры пообещали защитить конфиденциальность правителей с Ближнего Востока, а отыграться на гражданах ЕС, США и Великобритании. Видимо Европол и ФБР нынче не в фаворе.
PS: Но мы прекрасно знаем, кто заставил хакеров извиниться…
По неведанному стечению обстоятельств, может из солидарности, а может из-за банального страха быть публично забитыми камнями, представители банды вымогателей решили принести официальные извинения...Хм, дежавю.
Как мы писали ранее, Conti опубликовали образец базы данных всемирно известных ювелиров, в которой находилось более 69 000 конфиденциальных документов, списков клиентов, счетов-фактур и кредитовых авизо. Чтобы доказать, что утечка содержит реальные данные были обнародованы покупки Дэвида Бекхэма и Дональда Трампа, но как известно, в базе было очень много и других не менее именитых имен, в том числе и данные о членах королевских семей из Саудовской Аравии, ОАЭ и Катара.
«Наша команда приносит свои извинения Его Королевскому Высочеству принцу Мохаммеду бен Салману и любым другим членам королевских семей, чьи имена были упомянуты в обществе…»
Хакеры пообещали защитить конфиденциальность правителей с Ближнего Востока, а отыграться на гражданах ЕС, США и Великобритании. Видимо Европол и ФБР нынче не в фаворе.
PS: Но мы прекрасно знаем, кто заставил хакеров извиниться…
Twitter
DarkFeed
🌐 Cnoti (Ryuk) #Ransomware group just apologized for attacking the wrong target 🤣 "Our Team apologizes to His Royal Highness Prince Mohammed bin Salman and any other members of the Royal Families whose names were mentioned in the publication for any inconvenience"…
Мода на атаки на цепочки поставок среди хакеров набирает популярность.
После нашумевшей в конце октября истории с удалением из репозитория NPM трёх вредоносных пакетов, копировавших код библиотеки UAParser.js, оказались скомпрометированы и оснащены вредоносным ПО для кражи паролей два популярных менеджера npm - парсер Command-Option-Argument и загрузчик конфигурации rc.
Сoa - это синтаксический анализатор параметров командной строки для проектов Node.js. Последняя стабильная версия 2.0.2 для проекта вышла в декабре 2018 года. Но несколько подозрительных версий 2.0.3, 2.0.4, 2.1.1, 2.1.3 и 3.1.3 начали появляться на npm совсем недавно, влияя на пакеты React, которые зависят от coa. Библиотека используется почти 5 миллионами репозиториев с открытым исходным кодом на GitHub и имеет около 8,8 миллионов загрузок в неделю.
В свою очередь, в пакете rc также были опубликованы версии с вредоносным кодом (1.2.9, 1.3.9 и 2.3.9), при том, что библиотека широко распространена в среде крупных IT-компаний и насчитывает более 14 миллионов загрузок в неделю.
Согласно чрезвычайно срочному предупреждению GitHub, в результате атаки любой компьютер, на котором установлен или запущен вредоносный пакет, следует считать полностью скомпрометированным. Пакет должен быть удален, все важные данные, токены и ключи, хранящиеся на этом компьютере, должны быть немедленно заменены с другого компьютера.
Будем считать произошедшее вторым серьезным прецедентом с npm, связанным распространением вредоносного ПО через популярные библиотеки JavaScript.
Но вот, что выяснилось в ходе расследования: вредоносная программа, содержащаяся во взломанных версиях библиотек является троянцем Danabot для кражи паролей для Windows и практически идентична коду, обнаруженному в скомпрометированных версиях UAParser.js, что потенциально указывает на единого актора атак, которые стали возможны после взлома учетной записи npm.
К настоящему времени NPM удалил скомпрометированные версии, исправлений не требуется, безопасными считаются версии: для rc - 1.2.8, для coa - 2.0.2.
После нашумевшей в конце октября истории с удалением из репозитория NPM трёх вредоносных пакетов, копировавших код библиотеки UAParser.js, оказались скомпрометированы и оснащены вредоносным ПО для кражи паролей два популярных менеджера npm - парсер Command-Option-Argument и загрузчик конфигурации rc.
Сoa - это синтаксический анализатор параметров командной строки для проектов Node.js. Последняя стабильная версия 2.0.2 для проекта вышла в декабре 2018 года. Но несколько подозрительных версий 2.0.3, 2.0.4, 2.1.1, 2.1.3 и 3.1.3 начали появляться на npm совсем недавно, влияя на пакеты React, которые зависят от coa. Библиотека используется почти 5 миллионами репозиториев с открытым исходным кодом на GitHub и имеет около 8,8 миллионов загрузок в неделю.
В свою очередь, в пакете rc также были опубликованы версии с вредоносным кодом (1.2.9, 1.3.9 и 2.3.9), при том, что библиотека широко распространена в среде крупных IT-компаний и насчитывает более 14 миллионов загрузок в неделю.
Согласно чрезвычайно срочному предупреждению GitHub, в результате атаки любой компьютер, на котором установлен или запущен вредоносный пакет, следует считать полностью скомпрометированным. Пакет должен быть удален, все важные данные, токены и ключи, хранящиеся на этом компьютере, должны быть немедленно заменены с другого компьютера.
Будем считать произошедшее вторым серьезным прецедентом с npm, связанным распространением вредоносного ПО через популярные библиотеки JavaScript.
Но вот, что выяснилось в ходе расследования: вредоносная программа, содержащаяся во взломанных версиях библиотек является троянцем Danabot для кражи паролей для Windows и практически идентична коду, обнаруженному в скомпрометированных версиях UAParser.js, что потенциально указывает на единого актора атак, которые стали возможны после взлома учетной записи npm.
К настоящему времени NPM удалил скомпрометированные версии, исправлений не требуется, безопасными считаются версии: для rc - 1.2.8, для coa - 2.0.2.
Twitter
npm
following ongoing investigations, we identified in real time multiple versions of the “rc” package containing identical malware to the “coa” package. malicious versions of “rc” were immediately removed from the registry and we have published an advisory:…
Linux Foundation выпустила исправление ошибки безопасности в модуле ядра , который поставляется со всеми основными дистрибутивами ОС и и затрагивает версии ядра между 5.10 и 5.15.
Уязвимостью CVE-2021-43267 можно воспользоваться как локально, так и удаленно, в случае успешной эксплуатации она позволяет злоумышленнику получить полный контроль над уязвимой системой.
Проблема кроется в модуле TIPC (Transparent Inter-Process Communication) ядра Linux, который обеспечивает обмен данными между узлами в кластерах в отказоустойчивом режиме.
Дыру в ядре Linux обнаружил Ван Амеронген из SentinelOne еще в сентябре 2020 года, когда был добавлен новый тип пользовательского сообщения под названием MSG_CRYPTO, позволяющий одноранговым узлам отправлять криптографические ключи. Используя механизм семантического анализа кода от Microsoft CodeQL, исследователь почти случайно смог заметить «явное переполнение буфера кучи ядра» с последствиями для удаленного использования.
В то время как локальная эксплуатация достаточно проста благодаря большему контролю над объектами, размещенными в куче ядра, удаленная эксплуатация может быть достигнута благодаря TIPC.
Немного при этом спасает положение то, что уязвимый модуль TIPC не загружается системой автоматически и требует предварительной активации в системе конечным пользователем, а доказательств эксплуатации в дикой природе до настоящего времени не получено.
Вместе с тем, существующая возможность для непривилегированного злоумышленника локально настроить TIPC и в последующем удаленно проэксплуатировать - все же делает эту уязвимость опасной в сетевом исполнении.
Но лучше не испытывать судьбу, а сразу накатить обновления.
Уязвимостью CVE-2021-43267 можно воспользоваться как локально, так и удаленно, в случае успешной эксплуатации она позволяет злоумышленнику получить полный контроль над уязвимой системой.
Проблема кроется в модуле TIPC (Transparent Inter-Process Communication) ядра Linux, который обеспечивает обмен данными между узлами в кластерах в отказоустойчивом режиме.
Дыру в ядре Linux обнаружил Ван Амеронген из SentinelOne еще в сентябре 2020 года, когда был добавлен новый тип пользовательского сообщения под названием MSG_CRYPTO, позволяющий одноранговым узлам отправлять криптографические ключи. Используя механизм семантического анализа кода от Microsoft CodeQL, исследователь почти случайно смог заметить «явное переполнение буфера кучи ядра» с последствиями для удаленного использования.
В то время как локальная эксплуатация достаточно проста благодаря большему контролю над объектами, размещенными в куче ядра, удаленная эксплуатация может быть достигнута благодаря TIPC.
Немного при этом спасает положение то, что уязвимый модуль TIPC не загружается системой автоматически и требует предварительной активации в системе конечным пользователем, а доказательств эксплуатации в дикой природе до настоящего времени не получено.
Вместе с тем, существующая возможность для непривилегированного злоумышленника локально настроить TIPC и в последующем удаленно проэксплуатировать - все же делает эту уязвимость опасной в сетевом исполнении.
Но лучше не испытывать судьбу, а сразу накатить обновления.
Не можем пройти мимо и не порадоваться за участников Pwn2Own Austin 2021, традиционно проводимого Trend Micro в рамках инициативы Zero Day Initiative. В этом году было получено 58 заявок и зарегистрировано 22 участника.
По факту Pwn2Own - это самый крупный турнир Pwn2Own на сегодняшний день. Призовой фонд в общей сложности составил 1 081 250 долларов: 362 500 - в первый день конкурса, 415 000 - во второй, 238 750 - в третий и 60 000 - в последний.
Участником удалось успешно проэксплуатировать 61 уязвимость нулевого дня, взломав NAS-устройства, мобильные телефоны, принтеры, маршрутизаторы и динамики от Canon, Cisco, HP, NETGEAR, Samsung, Sonos, TP-Link и Western Digital.
Победу одержала команда Synacktiv с 20 очками и выигрышем 197 000 долларов наличными за свои 0-day, опередив команду DEVCORE на шесть очков, которая заработала в общей сложности 140 000 долларов. Самые высокие награды были выплачены за 0-day эксплойты для smart-колонки Sonos One, две команды заработали по 60 000 долларов каждая за проблемы с выполнением кода.
Впервые в истории хакерских соревнований участники продемонстрировали эксплойты под принтеры, опробовав 11 различных способов взлома устройств, а на третий день хакеры смогли воспроизвести композицию AC/DC «Thunderstruck» на HP LaserJet, используя переполнение буфера на основе стека.
Samsun Galaxy S21 вовсе был дважды взломан (из трех попыток). Первый раз Сэмом Томасом из Pentest Limited, который для этого использовал цепочку эксплойтов для последней версии Android 11, заработав 50 000 долларов. Вторая попытка, правда с использованием известной производителю ошибки была также успешно реализована представителями команды STARLabs Team (занявшей по итогу 3 место в турнире), которым также был вручен гонорар в размере 25000 долларов.
Теперь у поставщиков есть 120 дней на то, чтобы исправить все обнаруженные уязвимости. Всем читателям настоятельно рекомендуем увидеть все своими глазами: видеообзоры легендарного Pwn2Own доступны по ссылкам: 1 день, 2 день, 3 день и 4 день.
По факту Pwn2Own - это самый крупный турнир Pwn2Own на сегодняшний день. Призовой фонд в общей сложности составил 1 081 250 долларов: 362 500 - в первый день конкурса, 415 000 - во второй, 238 750 - в третий и 60 000 - в последний.
Участником удалось успешно проэксплуатировать 61 уязвимость нулевого дня, взломав NAS-устройства, мобильные телефоны, принтеры, маршрутизаторы и динамики от Canon, Cisco, HP, NETGEAR, Samsung, Sonos, TP-Link и Western Digital.
Победу одержала команда Synacktiv с 20 очками и выигрышем 197 000 долларов наличными за свои 0-day, опередив команду DEVCORE на шесть очков, которая заработала в общей сложности 140 000 долларов. Самые высокие награды были выплачены за 0-day эксплойты для smart-колонки Sonos One, две команды заработали по 60 000 долларов каждая за проблемы с выполнением кода.
Впервые в истории хакерских соревнований участники продемонстрировали эксплойты под принтеры, опробовав 11 различных способов взлома устройств, а на третий день хакеры смогли воспроизвести композицию AC/DC «Thunderstruck» на HP LaserJet, используя переполнение буфера на основе стека.
Samsun Galaxy S21 вовсе был дважды взломан (из трех попыток). Первый раз Сэмом Томасом из Pentest Limited, который для этого использовал цепочку эксплойтов для последней версии Android 11, заработав 50 000 долларов. Вторая попытка, правда с использованием известной производителю ошибки была также успешно реализована представителями команды STARLabs Team (занявшей по итогу 3 место в турнире), которым также был вручен гонорар в размере 25000 долларов.
Теперь у поставщиков есть 120 дней на то, чтобы исправить все обнаруженные уязвимости. Всем читателям настоятельно рекомендуем увидеть все своими глазами: видеообзоры легендарного Pwn2Own доступны по ссылкам: 1 день, 2 день, 3 день и 4 день.
Twitter
Zero Day Initiative
That brings #Pwn2Own Austin to a close. In total, we awarded $1,081,250 for 61 unique 0-days. It's been an amazing 4 days of pwnage. Thanks again to our partner Western Digital, sponsor Synology, and all the contestants who participated. See in you Miami!