Как мы и предполагали, в ответ на действия международного сообщества вымогатели будут менять тактику нападений, станут более агрессивными и требовательными, что и начинает происходить.
Команда Symantec Threat Hunter обнаружила новый инструмент BlackMatter, предназначенный для ускорения кражи данных из зараженных систем, являляясь продолжением тренда, начавшегося с Ryuk Stealer и связанного с LockBit StealBit.
Exmatter дает вымогателям возможность избирательно производить хищение файлов определенных типов из выбранных каталогов для их скорейшей загрузки на подконтрольный хакерам сервер, что позволяет, в целом, им концентрироваться на наиболее критичных и важных для жертвы данных и значительно быстрее завершая процесс эксфильтрации, пока их не полочили.
После сканирования всех логических дисков на компьютере жертвы и сбора путей к файлам Exmatter начинает извлечение с учетом приоритета для определённого типа файлов посредством LastWriteTime, например PDF или Word, игнорируя такие каталоги, как «C: \ Documents and Settings». После завершения эксфильтрации Exmatter пытается перезаписать и удалить все свои следы с компьютера жертвы.
А вот, банда вымогателей HelloKitty (также известная как FiveHands) добавила в свой арсенал методов распределенные атаки типа «отказ в обслуживании» (DDoS), о чем предупреждают CISA и ФБР. По мнению хакеров, такой комплексный подход позволит ускорить переговорный процесс и быстрее получить выкуп, если жертва замешкалась в моменте.
В дополнение к DDoS, как мы и отмечали вчера, операторы HelloKitty, в числе других передовых коллег по цеху, закодили шифраторы под платформу виртуальных машин VMware ESXi, после чего их активность к августу резко возросла.
Команда Symantec Threat Hunter обнаружила новый инструмент BlackMatter, предназначенный для ускорения кражи данных из зараженных систем, являляясь продолжением тренда, начавшегося с Ryuk Stealer и связанного с LockBit StealBit.
Exmatter дает вымогателям возможность избирательно производить хищение файлов определенных типов из выбранных каталогов для их скорейшей загрузки на подконтрольный хакерам сервер, что позволяет, в целом, им концентрироваться на наиболее критичных и важных для жертвы данных и значительно быстрее завершая процесс эксфильтрации, пока их не полочили.
После сканирования всех логических дисков на компьютере жертвы и сбора путей к файлам Exmatter начинает извлечение с учетом приоритета для определённого типа файлов посредством LastWriteTime, например PDF или Word, игнорируя такие каталоги, как «C: \ Documents and Settings». После завершения эксфильтрации Exmatter пытается перезаписать и удалить все свои следы с компьютера жертвы.
А вот, банда вымогателей HelloKitty (также известная как FiveHands) добавила в свой арсенал методов распределенные атаки типа «отказ в обслуживании» (DDoS), о чем предупреждают CISA и ФБР. По мнению хакеров, такой комплексный подход позволит ускорить переговорный процесс и быстрее получить выкуп, если жертва замешкалась в моменте.
В дополнение к DDoS, как мы и отмечали вчера, операторы HelloKitty, в числе других передовых коллег по цеху, закодили шифраторы под платформу виртуальных машин VMware ESXi, после чего их активность к августу резко возросла.
Security
BlackMatter: New Data Exfiltration Tool Used in Attacks
Development of custom tool suggests ransomware attackers are attempting to increase the speed of their attacks.
Атаке ransomware подверглась система общественного транспорта крупнейшего города Канады – Торонто. В результате инцидента нарушена деятельность агентства общественного транспорта и выведены из строя несколько систем, используемых как водителями, так и пассажирами.
Транспортная комиссия Торонто заявила, что атака была обнаружена ИТ-специалистом агентства на прошлой неделе в четверг вечером в результате зафиксированной аномальной сетевой активности.
Изначально воздействие было минимальным, но чуть позже хакеры расширили масштабы своей атаки на сетевые сервера и инцидент затронул внутренние системы, такие как почтовый сервер агентства и систему видеосвязи с водителями. В итоге, водителям пришлось перейти на классическую систему радиосвязи до тех пор, пока проблема не будет локализована.
Помимо внутренних систем были скомпрометированы сервера, обслуживающие клиентов и портал бронирования Wheel-Trans (для людей с ограниченными возможностями), а также экраны платформ станций, приложения для планирования поездок и сайт, что, собственно, повлияло на способность отображать актуальную информацию о транспортных средствах на маршруте.
Но, несмотря на атаку, движение общественного транспорта не было парализовано. По словам официальных лиц, автобусы, трамваи и поезда метро продолжали работать в штатном режиме.
Это уже не первый инцидент в Канаде, связанный с атаками на системы общественного транспорта. Ранее преступники уже ломали систему общественного транспорта в Монреале в октябре 2020 года и метро Ванкувера в декабре 2020 года. Тогда хакеры запросили 2,8 миллиона и 7,5 миллионов канадских долларов соответственно, но не получили выкупа.
Пока ни одна из банд вымогателей не взяла на себя ответственность за инцидент, и представители агентства общественного транспорта Торонто тоже молчат, но, вероятно, ведут переговоры.
Транспортная комиссия Торонто заявила, что атака была обнаружена ИТ-специалистом агентства на прошлой неделе в четверг вечером в результате зафиксированной аномальной сетевой активности.
Изначально воздействие было минимальным, но чуть позже хакеры расширили масштабы своей атаки на сетевые сервера и инцидент затронул внутренние системы, такие как почтовый сервер агентства и систему видеосвязи с водителями. В итоге, водителям пришлось перейти на классическую систему радиосвязи до тех пор, пока проблема не будет локализована.
Помимо внутренних систем были скомпрометированы сервера, обслуживающие клиентов и портал бронирования Wheel-Trans (для людей с ограниченными возможностями), а также экраны платформ станций, приложения для планирования поездок и сайт, что, собственно, повлияло на способность отображать актуальную информацию о транспортных средствах на маршруте.
Но, несмотря на атаку, движение общественного транспорта не было парализовано. По словам официальных лиц, автобусы, трамваи и поезда метро продолжали работать в штатном режиме.
Это уже не первый инцидент в Канаде, связанный с атаками на системы общественного транспорта. Ранее преступники уже ломали систему общественного транспорта в Монреале в октябре 2020 года и метро Ванкувера в декабре 2020 года. Тогда хакеры запросили 2,8 миллиона и 7,5 миллионов канадских долларов соответственно, но не получили выкупа.
Пока ни одна из банд вымогателей не взяла на себя ответственность за инцидент, и представители агентства общественного транспорта Торонто тоже молчат, но, вероятно, ведут переговоры.
Ученые из Кембриджского университета в Соединенном Королевстве раскрыли обнаруженный еще 25 июля вектор атаки Trojan Source, позволяющий внедрять уязвимости в исходный код программного обеспечения таким образом, чтобы рецензенты не могли их обнаружить, что создает угрозу популярному ПО и цепочкам поставок.
Trojan Source использует простой прием, который не требует модификации компилятора или прочих ухищрений, затрагивая C, C ++, C #, JavaScript, Java, Rust, Go и Python. Вся фишка состоит в использовании управляющих символов Unicode для изменения порядка токенов в исходном коде на уровне кодирования.
Как выяснилось, используя управляющие символы, встроенные в комментарии и строки, злоумышленник может переупорядочить исходный код, чтобы не меняя визуальной картинки изменить его логику таким образом, чтобы создать уязвимость, которую можно впоследствии поэксплуатировать.
Реализация Trojan Source происходит по двум сценариям: CVE-2021-42574 (или двунаправленная атака) и CVE-2021-42694 (гомоглифическая атака).
В первом случае применяются элементы управления Unicode для двунаправленного текста, чтобы определять направление, в котором отображается контент. К примеру, LRI и RLI. Двунаправленные (Bidi) элементы управления LRI и RLI являются невидимыми символами, и они не единственные. Вводя эти инструкции, компилятор может скомпилировать код, полностью отличный от того, что видит человек.
Внедряя символы переопределения Unicode Bidi в комментарии и строки, злоумышленник может создать синтаксически корректный исходный код на большинстве современных языков, для которого порядок отображения символов представляет собой логику, отличающуюся от реальной логики.
Второй вариант атаки основывается на применении гомоглифов, то есть разных символов, которые хоть и имеют одинаковое визуальное представление, но реализуют разный функционал. Человеческий глаз будет видеть обе функции идентичными, в то время как компилятор различает латинскую «H» и кириллическую «H» и обрабатывает код как имеющий две разные функции, поэтому результат разным.
Оказывается также, что символы Bidi сохраняются при копировании/вставке в большинстве браузеров, редакторов и операционных систем. Trojan Source работает практически во редакторах кода и веб-репозиториях (оцените сами ниже в таблице)
За свои изыскания научные деятели получили в среднем 2 246 долларов по bugbounty. На GitHub они предоставили PoC, которые демонстрируют, насколько серьезной угрозой может быть атака: тем более, что Trojan Source затрагивает почти все компьютерные языки, а патчи еще толком не выпущены, оставляя уязвимыми почти два десятка поставщиков программного обеспечения.
Trojan Source использует простой прием, который не требует модификации компилятора или прочих ухищрений, затрагивая C, C ++, C #, JavaScript, Java, Rust, Go и Python. Вся фишка состоит в использовании управляющих символов Unicode для изменения порядка токенов в исходном коде на уровне кодирования.
Как выяснилось, используя управляющие символы, встроенные в комментарии и строки, злоумышленник может переупорядочить исходный код, чтобы не меняя визуальной картинки изменить его логику таким образом, чтобы создать уязвимость, которую можно впоследствии поэксплуатировать.
Реализация Trojan Source происходит по двум сценариям: CVE-2021-42574 (или двунаправленная атака) и CVE-2021-42694 (гомоглифическая атака).
В первом случае применяются элементы управления Unicode для двунаправленного текста, чтобы определять направление, в котором отображается контент. К примеру, LRI и RLI. Двунаправленные (Bidi) элементы управления LRI и RLI являются невидимыми символами, и они не единственные. Вводя эти инструкции, компилятор может скомпилировать код, полностью отличный от того, что видит человек.
Внедряя символы переопределения Unicode Bidi в комментарии и строки, злоумышленник может создать синтаксически корректный исходный код на большинстве современных языков, для которого порядок отображения символов представляет собой логику, отличающуюся от реальной логики.
Второй вариант атаки основывается на применении гомоглифов, то есть разных символов, которые хоть и имеют одинаковое визуальное представление, но реализуют разный функционал. Человеческий глаз будет видеть обе функции идентичными, в то время как компилятор различает латинскую «H» и кириллическую «H» и обрабатывает код как имеющий две разные функции, поэтому результат разным.
Оказывается также, что символы Bidi сохраняются при копировании/вставке в большинстве браузеров, редакторов и операционных систем. Trojan Source работает практически во редакторах кода и веб-репозиториях (оцените сами ниже в таблице)
За свои изыскания научные деятели получили в среднем 2 246 долларов по bugbounty. На GitHub они предоставили PoC, которые демонстрируют, насколько серьезной угрозой может быть атака: тем более, что Trojan Source затрагивает почти все компьютерные языки, а патчи еще толком не выпущены, оставляя уязвимыми почти два десятка поставщиков программного обеспечения.
Продолжаем следить за развитием киберпоединка Ирана и Израиля.
Мы ставили на то, что после взлома объектов транспорта и топливного комплекса Иран предпримет ответные шаги в адрес своих недоброжелателей в самое ближайшее время. Ответка при этом будет настолько же цинична, как и шутка с телефонным номером высшего должностного лица ИРИ, который был указан в качестве телефона службы поддержки на скомпрометированных публичных табло и экранах табло.
Так и случилось.
Действующая в интересах иранской стороны BlackShadow осуществила ряд последовательных атак с использованием ransomware-штамма Pay2Key на IT-сектор, взломав крупнейшую израильскую хостинговую компанию Cyberserve, и всех ее клиентов соответственно.
Как сообщается, в результате кибератаки веб-сайты и сервис клиентов провайдера стали недоступны, а в сеть стали просачиваться украденные клиентские базы данных. Неудивительно, что среди них оказались и израильские компании общественного транспорта Dan и Kavim, а также местные радиостанции, объекты культуры, образовательные учреждения и др.
За прекращение утечек хакеры потребовали выкуп в размере 1 миллиона долларов в крипте. Но вот досада, в отличие от типичных атак программ-вымогателей, считается, что BlackShadow не имеют финансовой мотивации.
Сложно сказать, но, похоже, что в данной ситуации самым серьезным неприятным сюрпризом станет ожидаемый слив украденной BlackShadow базы данных крупнейшего ЛГБТ-сайта под названием Atraf, пользователями которого вполне себе могли быть и VIP-персоны Израиля. Хакеры уже залили в сеть видеоролики с сайта с участием 50 известных публичных лиц страны.
В целом, утечка также включает данные ВИЧ-статуса пользователей, сексуальную ориентацию и незашифрованные пароли.
Эксперты в один голос трубят, что Ираном разыгрывается хорошо продуманная InfoOp в сочетании с очень слабыми хакерскими навыками, чтобы нанести ущерб Израилю. В свою очередь, высшие официальные лица Ирана прямо называют Израиль и Штаты организаторами кибератак, цель которых заключается в дискредитации руководства республики в глазах населения.
Чем не война? Одни атакуют, другие готовят контрнаступление, тут и не далеко до повторения ситуации 2010 года, когда Stuxnet вывел из строя центрифуги по обогащению урана.
Как бы ни было, мяч теперь на поле израильтян. Посмотрим, чем ответят.
Мы ставили на то, что после взлома объектов транспорта и топливного комплекса Иран предпримет ответные шаги в адрес своих недоброжелателей в самое ближайшее время. Ответка при этом будет настолько же цинична, как и шутка с телефонным номером высшего должностного лица ИРИ, который был указан в качестве телефона службы поддержки на скомпрометированных публичных табло и экранах табло.
Так и случилось.
Действующая в интересах иранской стороны BlackShadow осуществила ряд последовательных атак с использованием ransomware-штамма Pay2Key на IT-сектор, взломав крупнейшую израильскую хостинговую компанию Cyberserve, и всех ее клиентов соответственно.
Как сообщается, в результате кибератаки веб-сайты и сервис клиентов провайдера стали недоступны, а в сеть стали просачиваться украденные клиентские базы данных. Неудивительно, что среди них оказались и израильские компании общественного транспорта Dan и Kavim, а также местные радиостанции, объекты культуры, образовательные учреждения и др.
За прекращение утечек хакеры потребовали выкуп в размере 1 миллиона долларов в крипте. Но вот досада, в отличие от типичных атак программ-вымогателей, считается, что BlackShadow не имеют финансовой мотивации.
Сложно сказать, но, похоже, что в данной ситуации самым серьезным неприятным сюрпризом станет ожидаемый слив украденной BlackShadow базы данных крупнейшего ЛГБТ-сайта под названием Atraf, пользователями которого вполне себе могли быть и VIP-персоны Израиля. Хакеры уже залили в сеть видеоролики с сайта с участием 50 известных публичных лиц страны.
В целом, утечка также включает данные ВИЧ-статуса пользователей, сексуальную ориентацию и незашифрованные пароли.
Эксперты в один голос трубят, что Ираном разыгрывается хорошо продуманная InfoOp в сочетании с очень слабыми хакерскими навыками, чтобы нанести ущерб Израилю. В свою очередь, высшие официальные лица Ирана прямо называют Израиль и Штаты организаторами кибератак, цель которых заключается в дискредитации руководства республики в глазах населения.
Чем не война? Одни атакуют, другие готовят контрнаступление, тут и не далеко до повторения ситуации 2010 года, когда Stuxnet вывел из строя центрифуги по обогащению урана.
Как бы ни было, мяч теперь на поле израильтян. Посмотрим, чем ответят.
The Times of Israel
Israel cyber authority says it warned hosting company it was vulnerable to hack
National Cyber Directorate told CyberServer 'several times' it could be targeted, ahead of Black Shadow hackers' personal data breach of Israeli LGBT site and others
Forwarded from SecurityLab.ru
В России могут заблокировать иностранные мессенджеры, Цукерберг уверен, что Facebook стал жертвой клеветы, в Тель-Авиве эксперт взломал 73% изученных Wi-Fi-сетей, а в Иране кибератака парализовала автозаправки. Смотрите 38-й выпуск наших новостей:
https://www.youtube.com/watch?v=_y36Uk-f6RU
https://www.youtube.com/watch?v=_y36Uk-f6RU
YouTube
Конец анонимности в мессенджерах, операция Европола в теневой сети. Security-новости #38 | 12+
💰📊👉 Новости об инвестициях в кибербезопасность предоставлены каналом It’s positive investing - https://news.1rj.ru/str/positive_investing
0:00 Здравствуйте с вами Александр Антипов, ваш бессменный ведущий самых жарких новостей по информационной безопасности
0:53…
0:00 Здравствуйте с вами Александр Антипов, ваш бессменный ведущий самых жарких новостей по информационной безопасности
0:53…
Сразу вслед за REvil в анналы истории покатились BlackMatter.
Хакеры заявили, что прекращает свою работу, о чем они сами сообщили на своем сайте утечки. В качестве основной причины своего ухода RaaS-операторы отметили неразрешимые обстоятельства, связанные с давлением со стороны властей, добавив об исчезновении участников команды после «последних новостей». Партнерам BlackMatter разрешено доработать текущих жертв самостоятельно, обещая им представить все необходимые декрипторы.
Вместе с тем, несмотря на обозначенный срок в 48 часов (до полного закрытия), сайты оплаты и утечки группы продолжают работать.
Многие полагают, что под формулировкой «последних новостей» BlackMatter имели в виду начавшиеся облавы на хакеров в рамках операции украинских и европейских спецслужб, в результате которых была задержана украинская группа, совершившая более 1800 атак с использованием ransomware.
К ним также можно добавить и следующие не менее серьезные обстоятельства. Так, Microsoft и Gemini Advisory удалось найти взаимосвязь FIN7 (создателя штаммов Darkside и BlackMatter) с подставной пентестинговой компанией Bastion Secure, которая использовалась для рекрутинга высококвалифицированных кадров.
Во вторых, совсем недавно было анонсировано о начале полномасштабного сотрудничества США и России в борьбе с киберпреступностью, прежде всего, с группировками вымогателей, действующими с территории России и стран СНГ.
Но мы прекрасно помним также и то, что ранее хакеры FIN7 уже неоднократно реберндировались. И даже, если BlackMatter прекратит работу, то мы скорее всего встретим их под новым именем: это лишь вопрос времени.
Хакеры заявили, что прекращает свою работу, о чем они сами сообщили на своем сайте утечки. В качестве основной причины своего ухода RaaS-операторы отметили неразрешимые обстоятельства, связанные с давлением со стороны властей, добавив об исчезновении участников команды после «последних новостей». Партнерам BlackMatter разрешено доработать текущих жертв самостоятельно, обещая им представить все необходимые декрипторы.
Вместе с тем, несмотря на обозначенный срок в 48 часов (до полного закрытия), сайты оплаты и утечки группы продолжают работать.
Многие полагают, что под формулировкой «последних новостей» BlackMatter имели в виду начавшиеся облавы на хакеров в рамках операции украинских и европейских спецслужб, в результате которых была задержана украинская группа, совершившая более 1800 атак с использованием ransomware.
К ним также можно добавить и следующие не менее серьезные обстоятельства. Так, Microsoft и Gemini Advisory удалось найти взаимосвязь FIN7 (создателя штаммов Darkside и BlackMatter) с подставной пентестинговой компанией Bastion Secure, которая использовалась для рекрутинга высококвалифицированных кадров.
Во вторых, совсем недавно было анонсировано о начале полномасштабного сотрудничества США и России в борьбе с киберпреступностью, прежде всего, с группировками вымогателей, действующими с территории России и стран СНГ.
Но мы прекрасно помним также и то, что ранее хакеры FIN7 уже неоднократно реберндировались. И даже, если BlackMatter прекратит работу, то мы скорее всего встретим их под новым именем: это лишь вопрос времени.
Twitter
vx-underground
BlackMatter ransomware group has announced they're shutting down operations following pressure from local authorities - they state key members are no longer 'available'. Image 1. BlackMatter RaaS announcement of operations shutting down Image 2. Russian translated…
Начало ноября от Google стартовало с обновлений безопасности для Android и предупреждением, что одна из исправленных критических уязвимостей активно использовалась в ходе атак.
По заявлению Интернет-гиганта 0-day уязвимость CVE-2021-1048 использовалась в дикой природе. Ошибка кроется в ядре операционной системы и связана с использованием после освобождения (т.н. use after free), которую можно использовать для локального повышения привилегий.
Конкретных доказательств и обстоятельств атака с использованием CVE-2021-1048 предоставлено не было, но, по сообщениям Google, они были и самое интересное целевой характер атак предполагает, что они были осуществлены некой APT, вероятно, в целях шпионажа.
Каким образом и против кого пока не понятно, но скоро точно выясним. По данным Google, это шестая уязвимость в Android, которая использовалась в атаках в 2021 году.
В общей сложности ноябрьский патч обновлений закрывает около 40 уязвимостей.
Наиболее критическими багами в ноябрьском наборе обновлений стали уязвимости CVE-2021-0918 и CVE-2021-0930, позволяющие злоумышленникам выполнять вредоносный код удаленно и затрагивали компоненты System, Android TV и Qualcomm.
Более 30 ошибок были устранены в компонентах Framework, Media Framework, System, Kernel, Android TV, MediaTek и Qualcomm.
Также разработчики Google выпустили отдельную рекомендацию с описанием 10 уязвимостей, исправленных в устройствах Pixel.
Обновляемся и ждем продолжения по CVE-2021-1048.
По заявлению Интернет-гиганта 0-day уязвимость CVE-2021-1048 использовалась в дикой природе. Ошибка кроется в ядре операционной системы и связана с использованием после освобождения (т.н. use after free), которую можно использовать для локального повышения привилегий.
Конкретных доказательств и обстоятельств атака с использованием CVE-2021-1048 предоставлено не было, но, по сообщениям Google, они были и самое интересное целевой характер атак предполагает, что они были осуществлены некой APT, вероятно, в целях шпионажа.
Каким образом и против кого пока не понятно, но скоро точно выясним. По данным Google, это шестая уязвимость в Android, которая использовалась в атаках в 2021 году.
В общей сложности ноябрьский патч обновлений закрывает около 40 уязвимостей.
Наиболее критическими багами в ноябрьском наборе обновлений стали уязвимости CVE-2021-0918 и CVE-2021-0930, позволяющие злоумышленникам выполнять вредоносный код удаленно и затрагивали компоненты System, Android TV и Qualcomm.
Более 30 ошибок были устранены в компонентах Framework, Media Framework, System, Kernel, Android TV, MediaTek и Qualcomm.
Также разработчики Google выпустили отдельную рекомендацию с описанием 10 уязвимостей, исправленных в устройствах Pixel.
Обновляемся и ждем продолжения по CVE-2021-1048.
В минувшие выходные Пакистан сотрясла разрушительная кибератака, в результате которой рухнула вся инфраструктура Национального банка Пакистана (NBP).
Инцидент затронул все серверные системы банка, в том числе используемые для связи между подразделениями банка, корпоративную сеть, служебные коммуникации, сеть банкоматов и мобильные сервисы. По заверению администрации, финансы не пострадали.
Достаточно оперативно банк провел все восстановительные процедуры и в понедельник более 1000 отделений и банкоматов возобновили обслуживание клиентов в штатном режиме.
Не обошлось, конечно же, без паникеров: напуганные сообщениями о хакерском взломе клиенты в понедельник утром бросились к банкоматам снимать деньги. Страхи вкладчиков также подогрели множественные новостные фейки, согласно которым хакеры помимо NBP атаковали еще 9 банковских учреждений, обнулив счета их клиентов.
В реальности ни один банк, кроме NBP, не подвергался кибератакам, каких-либо финансовых потерь или утечек данных также не фиксировалось.
Вы было подумали, что опять не обошлось без ransomware. Однако это не так, особенно если учитывать, как быстро банку удалось зарекаверить систему. Кроме того, в сеть просочились скрины с одной из рабочих станций Windows из сети NBP, на которых видно, что ОС не запускается из-за ошибки отсутствия файла конфигурации загрузки.
Поэтому инцидент в настоящее время расследуется как попытка саботажа.
Инцидент затронул все серверные системы банка, в том числе используемые для связи между подразделениями банка, корпоративную сеть, служебные коммуникации, сеть банкоматов и мобильные сервисы. По заверению администрации, финансы не пострадали.
Достаточно оперативно банк провел все восстановительные процедуры и в понедельник более 1000 отделений и банкоматов возобновили обслуживание клиентов в штатном режиме.
Не обошлось, конечно же, без паникеров: напуганные сообщениями о хакерском взломе клиенты в понедельник утром бросились к банкоматам снимать деньги. Страхи вкладчиков также подогрели множественные новостные фейки, согласно которым хакеры помимо NBP атаковали еще 9 банковских учреждений, обнулив счета их клиентов.
В реальности ни один банк, кроме NBP, не подвергался кибератакам, каких-либо финансовых потерь или утечек данных также не фиксировалось.
Вы было подумали, что опять не обошлось без ransomware. Однако это не так, особенно если учитывать, как быстро банку удалось зарекаверить систему. Кроме того, в сеть просочились скрины с одной из рабочих станций Windows из сети NBP, на которых видно, что ОС не запускается из-за ошибки отсутствия файла конфигурации загрузки.
Поэтому инцидент в настоящее время расследуется как попытка саботажа.
Twitter
SBP
1/2 Some fake news regarding cybersecurity attack on banks is in circulation including remarks attributed to Chief Spokesman, Mr. Abid Qamar. According to these fake news, 9 banks have been affected by the attack and that money has been withdrawn and data…
Продолжаем обзор новых трендов в работе групп вымогателей, к которым их подталкивает новая реальность: началась буквально настоящая охота за головами и международный прессинг. Все побуждает хакеров повышать ликвидность и эффективность операции с использованием ransomware.
Одним из приемов давления на своих жертв в ближайшей перспективе станет финансовый шантаж, в основе которого будут угрозы занижения цен на акции публичных компаний. Именно об этом предупреждает ФБР США в своем уведомлении для компаний финансового сектора.
Представители спецслужбы заметили, что хакеры начали отслеживать на основе общедоступных и закрытых данных те компании, которым предстоит или уже участвуют в важных финансовых событиях (слияния, поглощения, оценки акций и пр.) или которые приближаются к чувствительным ко времени финансовым событиям (квартальные отчеты о прибылях и убытках, обязательная регистрация SEC, первичное публичное размещение акций и пр.), ставящих их в определённую зависимость от внешних обстоятельств (в том числе и утечек). Все это позволяет злоумышленникам в случае успешной атаки стимулировать выплату выкупа.
Для этого операторы стали более тщательно отбирать потенциальных жертв из пула зараженных брокерами первичного доступа. Выбор осуществляется на основе разведки, в ходе которой собирается непубличная информация для использования в качестве рычага воздействия на этапе вымогательства. В случае промедления выплат - она сливается в сеть, а об утечке информируются соответствующие финансовые регуляторы или участники бирж (NASDAQ), что в итоге негативно сказывается на стоимость акций жертв.
Кроме того, обновляется функционал ПО. Так, технический анализ трояна Pyxie (имплант первого уровня, который доставляет Defray777/RansomEXX) выявил новые возможности для сканирования зараженных сетей по ключевым словам. К ним относятся «10-Q» (связано с ежеквартальным отчетом о финансах); «10-SB» (форма, используемая для регистрации ценных бумаг малых предприятий в США), «N-CSR» (форма, касающаяся годовых и полугодовых отчетов для акционеров), а также: NASDAQ, MarketWired и Newswire.
На самом деле, впервые о такой тактике сообщал небезысвестный Unknown из REvil еще год назад на форуме Exploit. А ФБР ссылается в своем отчете на три инцидента в период с марта по июль 2020 года, когда результаты закрытых переговоров становились достоянием хакеров, атаковавших их участников с использованием ransomware именно в тот финансово уязвимый для жертв период. Операторы Darkside вообще в апреле 2021 года разместили в блоге сообщение о своей заинтересованности влиять на курс акций своих жертв.
Но, все, казавшиеся ранее уделом лишь наиболее продвинутых групп, фишки теперь станут частью повседневной работы вымогателей, для которых вопрос эффективности становится главным способом их выживания в условиях давления спецслужб и политики.
Одним из приемов давления на своих жертв в ближайшей перспективе станет финансовый шантаж, в основе которого будут угрозы занижения цен на акции публичных компаний. Именно об этом предупреждает ФБР США в своем уведомлении для компаний финансового сектора.
Представители спецслужбы заметили, что хакеры начали отслеживать на основе общедоступных и закрытых данных те компании, которым предстоит или уже участвуют в важных финансовых событиях (слияния, поглощения, оценки акций и пр.) или которые приближаются к чувствительным ко времени финансовым событиям (квартальные отчеты о прибылях и убытках, обязательная регистрация SEC, первичное публичное размещение акций и пр.), ставящих их в определённую зависимость от внешних обстоятельств (в том числе и утечек). Все это позволяет злоумышленникам в случае успешной атаки стимулировать выплату выкупа.
Для этого операторы стали более тщательно отбирать потенциальных жертв из пула зараженных брокерами первичного доступа. Выбор осуществляется на основе разведки, в ходе которой собирается непубличная информация для использования в качестве рычага воздействия на этапе вымогательства. В случае промедления выплат - она сливается в сеть, а об утечке информируются соответствующие финансовые регуляторы или участники бирж (NASDAQ), что в итоге негативно сказывается на стоимость акций жертв.
Кроме того, обновляется функционал ПО. Так, технический анализ трояна Pyxie (имплант первого уровня, который доставляет Defray777/RansomEXX) выявил новые возможности для сканирования зараженных сетей по ключевым словам. К ним относятся «10-Q» (связано с ежеквартальным отчетом о финансах); «10-SB» (форма, используемая для регистрации ценных бумаг малых предприятий в США), «N-CSR» (форма, касающаяся годовых и полугодовых отчетов для акционеров), а также: NASDAQ, MarketWired и Newswire.
На самом деле, впервые о такой тактике сообщал небезысвестный Unknown из REvil еще год назад на форуме Exploit. А ФБР ссылается в своем отчете на три инцидента в период с марта по июль 2020 года, когда результаты закрытых переговоров становились достоянием хакеров, атаковавших их участников с использованием ransomware именно в тот финансово уязвимый для жертв период. Операторы Darkside вообще в апреле 2021 года разместили в блоге сообщение о своей заинтересованности влиять на курс акций своих жертв.
Но, все, казавшиеся ранее уделом лишь наиболее продвинутых групп, фишки теперь станут частью повседневной работы вымогателей, для которых вопрос эффективности становится главным способом их выживания в условиях давления спецслужб и политики.
Поскольку на Украине нету длинных праздников, связанных с примирениями и согласиями, то тамошняя кровавая гебня в лице СБУ в конце прошлой недели решила вдарить по "клятим москалям" и выпустила отчет, раскрывающий бэкграунд APT Gamaredon (прямую ссылку на отчет СБУ давать не будем, а то еще обвинят в госизмене не ровен час; можете сами найти, к примеру, в статье BleepingComputer).
С трудом продираясь сквозь написанный на мове отчет (ребят, украинцы, не обижайтесь, но от "з урахуванням отримання облiкових даних адмiнiстраторiв та користувачiв мережi" у нас сели глаза) мы уяснили следующее.
APT Gamaredon - это проект ФСБ по Крыму потому что:
- фишинговые письма с ящиков на i. ua рассылались с российских IP-адресов, в том числе из Симферополя;
- С2 (тысячи их!, это не наши слова, так в отчете СБУ написано) находятся в Москве.
На этом все.
Мы вот не знаем как на это реагировать, либо в ФСБ сидят дундуки, либо СБУ нас считает за таковых. Потому что APT, организующая управляющий центр в столице государства, на которое она работает, это нонсенс.
В остальном отчет неплохой и местами даже интересный.
Приведенную в качестве доказательства аудиозапись разговоров двух товарищей, которые обсуждают как утащить у кого-то когда-то какой-то криптоконтейнер, а следом "песочные медали", за таковое принять трудно. Разве что как доказательство, что у ФСБ плохо с OpSec. Или не у ФСБ. Или вообще не плохо. Как лихо СБУ редактирует аудиозаписи мы помним по кейсу с Безлером и голландским судом.
В остатке - пусть СБУ ловит вымогателей, а не APT. Это у них получается эффективнее.
P.S. Кто-то скажет, что ФСБ и таких-то отчетов не делает. Согласны, не делает. Но лучше никаких, чем такие.
P.S.S. Слышь, СБУ, не надо пытаться нас ломать. Ребята, не стоит вскрывать эту тему. Вы молодые, шутливые, вам все легко. Это не то. Это не Чикатило и даже не архивы спецслужб. Сюда лучше не лезть...
С трудом продираясь сквозь написанный на мове отчет (ребят, украинцы, не обижайтесь, но от "з урахуванням отримання облiкових даних адмiнiстраторiв та користувачiв мережi" у нас сели глаза) мы уяснили следующее.
APT Gamaredon - это проект ФСБ по Крыму потому что:
- фишинговые письма с ящиков на i. ua рассылались с российских IP-адресов, в том числе из Симферополя;
- С2 (тысячи их!, это не наши слова, так в отчете СБУ написано) находятся в Москве.
На этом все.
Мы вот не знаем как на это реагировать, либо в ФСБ сидят дундуки, либо СБУ нас считает за таковых. Потому что APT, организующая управляющий центр в столице государства, на которое она работает, это нонсенс.
В остальном отчет неплохой и местами даже интересный.
Приведенную в качестве доказательства аудиозапись разговоров двух товарищей, которые обсуждают как утащить у кого-то когда-то какой-то криптоконтейнер, а следом "песочные медали", за таковое принять трудно. Разве что как доказательство, что у ФСБ плохо с OpSec. Или не у ФСБ. Или вообще не плохо. Как лихо СБУ редактирует аудиозаписи мы помним по кейсу с Безлером и голландским судом.
В остатке - пусть СБУ ловит вымогателей, а не APT. Это у них получается эффективнее.
P.S. Кто-то скажет, что ФСБ и таких-то отчетов не делает. Согласны, не делает. Но лучше никаких, чем такие.
P.S.S. Слышь, СБУ, не надо пытаться нас ломать. Ребята, не стоит вскрывать эту тему. Вы молодые, шутливые, вам все легко. Это не то. Это не Чикатило и даже не архивы спецслужб. Сюда лучше не лезть...
BleepingComputer
Ukraine links members of Gamaredon hacker group to Russian FSB
SSU and the Ukrainian secret service say they have identified five members of the Gamaredon hacking group, a Russian state-sponsored operation known for targeting Ukraine since 2014.
Сезон охоты официально открыт. А неофициально: мы уже неоднократно говорили, что фронт борьбы с ransomware может быть реализован двумя способами.
И, стало быть, пока решили обойтись без треша и гуро, а просто объявить за головы вознаграждение в размере до 10 000 000 долларов за информацию, позволяющую идентифицировать или установить местонахождение хакеров, стоящих за DarkSide, ну и собственно, BlackMatter. Предложение озвучено Госдепартаментом США.
Кроме того, назначена награда в размере 5 000 000 долларов за информацию, которая позволит арестовать или осудить любого участника, причастного (и даже попытавшегося поучаствовать) к атакам Darkside. При этом неважно, в какой стране разыскиваемый будет привлечен к уголовной ответственности.
Видимо, не зря, на прошлой неделе хакеры так быстро запаковали чемоданы и слились.
И, стало быть, пока решили обойтись без треша и гуро, а просто объявить за головы вознаграждение в размере до 10 000 000 долларов за информацию, позволяющую идентифицировать или установить местонахождение хакеров, стоящих за DarkSide, ну и собственно, BlackMatter. Предложение озвучено Госдепартаментом США.
Кроме того, назначена награда в размере 5 000 000 долларов за информацию, которая позволит арестовать или осудить любого участника, причастного (и даже попытавшегося поучаствовать) к атакам Darkside. При этом неважно, в какой стране разыскиваемый будет привлечен к уголовной ответственности.
Видимо, не зря, на прошлой неделе хакеры так быстро запаковали чемоданы и слились.
Telegram
SecAtor
Ну и закончим новостную ленту ransomware постом про взлом FujiFilm, которая сделала вчера об этом официальное заявление.
Рассказывать про Fuji долго не будем, про них и так все знают. Отметим лишь, что наряду с различной периферией и оргтехникой (например…
Рассказывать про Fuji долго не будем, про них и так все знают. Отметим лишь, что наряду с различной периферией и оргтехникой (например…
История с лондонской ювелиркой Graff и хакерской группировкой Conti принимает интересный поворот.
По неведанному стечению обстоятельств, может из солидарности, а может из-за банального страха быть публично забитыми камнями, представители банды вымогателей решили принести официальные извинения...Хм, дежавю.
Как мы писали ранее, Conti опубликовали образец базы данных всемирно известных ювелиров, в которой находилось более 69 000 конфиденциальных документов, списков клиентов, счетов-фактур и кредитовых авизо. Чтобы доказать, что утечка содержит реальные данные были обнародованы покупки Дэвида Бекхэма и Дональда Трампа, но как известно, в базе было очень много и других не менее именитых имен, в том числе и данные о членах королевских семей из Саудовской Аравии, ОАЭ и Катара.
«Наша команда приносит свои извинения Его Королевскому Высочеству принцу Мохаммеду бен Салману и любым другим членам королевских семей, чьи имена были упомянуты в обществе…»
Хакеры пообещали защитить конфиденциальность правителей с Ближнего Востока, а отыграться на гражданах ЕС, США и Великобритании. Видимо Европол и ФБР нынче не в фаворе.
PS: Но мы прекрасно знаем, кто заставил хакеров извиниться…
По неведанному стечению обстоятельств, может из солидарности, а может из-за банального страха быть публично забитыми камнями, представители банды вымогателей решили принести официальные извинения...Хм, дежавю.
Как мы писали ранее, Conti опубликовали образец базы данных всемирно известных ювелиров, в которой находилось более 69 000 конфиденциальных документов, списков клиентов, счетов-фактур и кредитовых авизо. Чтобы доказать, что утечка содержит реальные данные были обнародованы покупки Дэвида Бекхэма и Дональда Трампа, но как известно, в базе было очень много и других не менее именитых имен, в том числе и данные о членах королевских семей из Саудовской Аравии, ОАЭ и Катара.
«Наша команда приносит свои извинения Его Королевскому Высочеству принцу Мохаммеду бен Салману и любым другим членам королевских семей, чьи имена были упомянуты в обществе…»
Хакеры пообещали защитить конфиденциальность правителей с Ближнего Востока, а отыграться на гражданах ЕС, США и Великобритании. Видимо Европол и ФБР нынче не в фаворе.
PS: Но мы прекрасно знаем, кто заставил хакеров извиниться…
Twitter
DarkFeed
🌐 Cnoti (Ryuk) #Ransomware group just apologized for attacking the wrong target 🤣 "Our Team apologizes to His Royal Highness Prince Mohammed bin Salman and any other members of the Royal Families whose names were mentioned in the publication for any inconvenience"…
Мода на атаки на цепочки поставок среди хакеров набирает популярность.
После нашумевшей в конце октября истории с удалением из репозитория NPM трёх вредоносных пакетов, копировавших код библиотеки UAParser.js, оказались скомпрометированы и оснащены вредоносным ПО для кражи паролей два популярных менеджера npm - парсер Command-Option-Argument и загрузчик конфигурации rc.
Сoa - это синтаксический анализатор параметров командной строки для проектов Node.js. Последняя стабильная версия 2.0.2 для проекта вышла в декабре 2018 года. Но несколько подозрительных версий 2.0.3, 2.0.4, 2.1.1, 2.1.3 и 3.1.3 начали появляться на npm совсем недавно, влияя на пакеты React, которые зависят от coa. Библиотека используется почти 5 миллионами репозиториев с открытым исходным кодом на GitHub и имеет около 8,8 миллионов загрузок в неделю.
В свою очередь, в пакете rc также были опубликованы версии с вредоносным кодом (1.2.9, 1.3.9 и 2.3.9), при том, что библиотека широко распространена в среде крупных IT-компаний и насчитывает более 14 миллионов загрузок в неделю.
Согласно чрезвычайно срочному предупреждению GitHub, в результате атаки любой компьютер, на котором установлен или запущен вредоносный пакет, следует считать полностью скомпрометированным. Пакет должен быть удален, все важные данные, токены и ключи, хранящиеся на этом компьютере, должны быть немедленно заменены с другого компьютера.
Будем считать произошедшее вторым серьезным прецедентом с npm, связанным распространением вредоносного ПО через популярные библиотеки JavaScript.
Но вот, что выяснилось в ходе расследования: вредоносная программа, содержащаяся во взломанных версиях библиотек является троянцем Danabot для кражи паролей для Windows и практически идентична коду, обнаруженному в скомпрометированных версиях UAParser.js, что потенциально указывает на единого актора атак, которые стали возможны после взлома учетной записи npm.
К настоящему времени NPM удалил скомпрометированные версии, исправлений не требуется, безопасными считаются версии: для rc - 1.2.8, для coa - 2.0.2.
После нашумевшей в конце октября истории с удалением из репозитория NPM трёх вредоносных пакетов, копировавших код библиотеки UAParser.js, оказались скомпрометированы и оснащены вредоносным ПО для кражи паролей два популярных менеджера npm - парсер Command-Option-Argument и загрузчик конфигурации rc.
Сoa - это синтаксический анализатор параметров командной строки для проектов Node.js. Последняя стабильная версия 2.0.2 для проекта вышла в декабре 2018 года. Но несколько подозрительных версий 2.0.3, 2.0.4, 2.1.1, 2.1.3 и 3.1.3 начали появляться на npm совсем недавно, влияя на пакеты React, которые зависят от coa. Библиотека используется почти 5 миллионами репозиториев с открытым исходным кодом на GitHub и имеет около 8,8 миллионов загрузок в неделю.
В свою очередь, в пакете rc также были опубликованы версии с вредоносным кодом (1.2.9, 1.3.9 и 2.3.9), при том, что библиотека широко распространена в среде крупных IT-компаний и насчитывает более 14 миллионов загрузок в неделю.
Согласно чрезвычайно срочному предупреждению GitHub, в результате атаки любой компьютер, на котором установлен или запущен вредоносный пакет, следует считать полностью скомпрометированным. Пакет должен быть удален, все важные данные, токены и ключи, хранящиеся на этом компьютере, должны быть немедленно заменены с другого компьютера.
Будем считать произошедшее вторым серьезным прецедентом с npm, связанным распространением вредоносного ПО через популярные библиотеки JavaScript.
Но вот, что выяснилось в ходе расследования: вредоносная программа, содержащаяся во взломанных версиях библиотек является троянцем Danabot для кражи паролей для Windows и практически идентична коду, обнаруженному в скомпрометированных версиях UAParser.js, что потенциально указывает на единого актора атак, которые стали возможны после взлома учетной записи npm.
К настоящему времени NPM удалил скомпрометированные версии, исправлений не требуется, безопасными считаются версии: для rc - 1.2.8, для coa - 2.0.2.
Twitter
npm
following ongoing investigations, we identified in real time multiple versions of the “rc” package containing identical malware to the “coa” package. malicious versions of “rc” were immediately removed from the registry and we have published an advisory:…
Linux Foundation выпустила исправление ошибки безопасности в модуле ядра , который поставляется со всеми основными дистрибутивами ОС и и затрагивает версии ядра между 5.10 и 5.15.
Уязвимостью CVE-2021-43267 можно воспользоваться как локально, так и удаленно, в случае успешной эксплуатации она позволяет злоумышленнику получить полный контроль над уязвимой системой.
Проблема кроется в модуле TIPC (Transparent Inter-Process Communication) ядра Linux, который обеспечивает обмен данными между узлами в кластерах в отказоустойчивом режиме.
Дыру в ядре Linux обнаружил Ван Амеронген из SentinelOne еще в сентябре 2020 года, когда был добавлен новый тип пользовательского сообщения под названием MSG_CRYPTO, позволяющий одноранговым узлам отправлять криптографические ключи. Используя механизм семантического анализа кода от Microsoft CodeQL, исследователь почти случайно смог заметить «явное переполнение буфера кучи ядра» с последствиями для удаленного использования.
В то время как локальная эксплуатация достаточно проста благодаря большему контролю над объектами, размещенными в куче ядра, удаленная эксплуатация может быть достигнута благодаря TIPC.
Немного при этом спасает положение то, что уязвимый модуль TIPC не загружается системой автоматически и требует предварительной активации в системе конечным пользователем, а доказательств эксплуатации в дикой природе до настоящего времени не получено.
Вместе с тем, существующая возможность для непривилегированного злоумышленника локально настроить TIPC и в последующем удаленно проэксплуатировать - все же делает эту уязвимость опасной в сетевом исполнении.
Но лучше не испытывать судьбу, а сразу накатить обновления.
Уязвимостью CVE-2021-43267 можно воспользоваться как локально, так и удаленно, в случае успешной эксплуатации она позволяет злоумышленнику получить полный контроль над уязвимой системой.
Проблема кроется в модуле TIPC (Transparent Inter-Process Communication) ядра Linux, который обеспечивает обмен данными между узлами в кластерах в отказоустойчивом режиме.
Дыру в ядре Linux обнаружил Ван Амеронген из SentinelOne еще в сентябре 2020 года, когда был добавлен новый тип пользовательского сообщения под названием MSG_CRYPTO, позволяющий одноранговым узлам отправлять криптографические ключи. Используя механизм семантического анализа кода от Microsoft CodeQL, исследователь почти случайно смог заметить «явное переполнение буфера кучи ядра» с последствиями для удаленного использования.
В то время как локальная эксплуатация достаточно проста благодаря большему контролю над объектами, размещенными в куче ядра, удаленная эксплуатация может быть достигнута благодаря TIPC.
Немного при этом спасает положение то, что уязвимый модуль TIPC не загружается системой автоматически и требует предварительной активации в системе конечным пользователем, а доказательств эксплуатации в дикой природе до настоящего времени не получено.
Вместе с тем, существующая возможность для непривилегированного злоумышленника локально настроить TIPC и в последующем удаленно проэксплуатировать - все же делает эту уязвимость опасной в сетевом исполнении.
Но лучше не испытывать судьбу, а сразу накатить обновления.
Не можем пройти мимо и не порадоваться за участников Pwn2Own Austin 2021, традиционно проводимого Trend Micro в рамках инициативы Zero Day Initiative. В этом году было получено 58 заявок и зарегистрировано 22 участника.
По факту Pwn2Own - это самый крупный турнир Pwn2Own на сегодняшний день. Призовой фонд в общей сложности составил 1 081 250 долларов: 362 500 - в первый день конкурса, 415 000 - во второй, 238 750 - в третий и 60 000 - в последний.
Участником удалось успешно проэксплуатировать 61 уязвимость нулевого дня, взломав NAS-устройства, мобильные телефоны, принтеры, маршрутизаторы и динамики от Canon, Cisco, HP, NETGEAR, Samsung, Sonos, TP-Link и Western Digital.
Победу одержала команда Synacktiv с 20 очками и выигрышем 197 000 долларов наличными за свои 0-day, опередив команду DEVCORE на шесть очков, которая заработала в общей сложности 140 000 долларов. Самые высокие награды были выплачены за 0-day эксплойты для smart-колонки Sonos One, две команды заработали по 60 000 долларов каждая за проблемы с выполнением кода.
Впервые в истории хакерских соревнований участники продемонстрировали эксплойты под принтеры, опробовав 11 различных способов взлома устройств, а на третий день хакеры смогли воспроизвести композицию AC/DC «Thunderstruck» на HP LaserJet, используя переполнение буфера на основе стека.
Samsun Galaxy S21 вовсе был дважды взломан (из трех попыток). Первый раз Сэмом Томасом из Pentest Limited, который для этого использовал цепочку эксплойтов для последней версии Android 11, заработав 50 000 долларов. Вторая попытка, правда с использованием известной производителю ошибки была также успешно реализована представителями команды STARLabs Team (занявшей по итогу 3 место в турнире), которым также был вручен гонорар в размере 25000 долларов.
Теперь у поставщиков есть 120 дней на то, чтобы исправить все обнаруженные уязвимости. Всем читателям настоятельно рекомендуем увидеть все своими глазами: видеообзоры легендарного Pwn2Own доступны по ссылкам: 1 день, 2 день, 3 день и 4 день.
По факту Pwn2Own - это самый крупный турнир Pwn2Own на сегодняшний день. Призовой фонд в общей сложности составил 1 081 250 долларов: 362 500 - в первый день конкурса, 415 000 - во второй, 238 750 - в третий и 60 000 - в последний.
Участником удалось успешно проэксплуатировать 61 уязвимость нулевого дня, взломав NAS-устройства, мобильные телефоны, принтеры, маршрутизаторы и динамики от Canon, Cisco, HP, NETGEAR, Samsung, Sonos, TP-Link и Western Digital.
Победу одержала команда Synacktiv с 20 очками и выигрышем 197 000 долларов наличными за свои 0-day, опередив команду DEVCORE на шесть очков, которая заработала в общей сложности 140 000 долларов. Самые высокие награды были выплачены за 0-day эксплойты для smart-колонки Sonos One, две команды заработали по 60 000 долларов каждая за проблемы с выполнением кода.
Впервые в истории хакерских соревнований участники продемонстрировали эксплойты под принтеры, опробовав 11 различных способов взлома устройств, а на третий день хакеры смогли воспроизвести композицию AC/DC «Thunderstruck» на HP LaserJet, используя переполнение буфера на основе стека.
Samsun Galaxy S21 вовсе был дважды взломан (из трех попыток). Первый раз Сэмом Томасом из Pentest Limited, который для этого использовал цепочку эксплойтов для последней версии Android 11, заработав 50 000 долларов. Вторая попытка, правда с использованием известной производителю ошибки была также успешно реализована представителями команды STARLabs Team (занявшей по итогу 3 место в турнире), которым также был вручен гонорар в размере 25000 долларов.
Теперь у поставщиков есть 120 дней на то, чтобы исправить все обнаруженные уязвимости. Всем читателям настоятельно рекомендуем увидеть все своими глазами: видеообзоры легендарного Pwn2Own доступны по ссылкам: 1 день, 2 день, 3 день и 4 день.
Twitter
Zero Day Initiative
That brings #Pwn2Own Austin to a close. In total, we awarded $1,081,250 for 61 unique 0-days. It's been an amazing 4 days of pwnage. Thanks again to our partner Western Digital, sponsor Synology, and all the contestants who participated. See in you Miami!
Вчера уважаемые коллеги из SecurityLab сделали репост нашего мнения по поводу опубликованного СБУ отчета в отношении принадлежности APT Gamaredon одному из подразделений ФСБ по Крыму. За что отдельное им спасибо.
И мы пожалели, что не открыли в свое время у себя на канале комменты, как это сделали SecurityLab, Потому что там начался Адъ и Израиль.
Так вот, отвечаем выборочно на сделанные предъявы.
Во-первых, мы никогда не говорили, что в России нет APT. Более того, мы считали и продолжаем считать, о чем не раз писали, что наличие прогосударственных хакерских групп - это в современных реалиях то, что отличает серьезных технологичных мировых игроков от полупокеров. И если ты хочешь занять роль в геополитическом партере, то тебе просто необходимо заиметь свое ламповое APT. А лучше несколько.
Во-вторых, мы за свою бытность данных по APT перевидали больше, чем все вместе взятые комментаторы прочитали статей по ИБ. Потому заявляем ответственно, что серьезные APT в своей стране C2 не держат.
А то ишь ты, "APT группы работающие на гос сектор не будут размещать свои активы (активы, Карл!) на территории других стран, слишком много переменных, которые они там не контролируют". Ага, видимо, целых две - X и Y. Инфосек-специалисты, my ass. Идите диффуры учите.
Ну и в-третьих, там в комментах похоже ДКИБ СБУ порвался по поводу того, что мы им "угрожаем".
Товарищи, учитесь военному делу настоящим образом, а ньюфагов гоните прочь! (с) В.И. Ленин.
А именно - прежде чем начинать работать в информационном пространстве, необходимо его изучить. Там, например, присутствуют такие интересные штуки, как мемы и копипасты.
Dixi.
И мы пожалели, что не открыли в свое время у себя на канале комменты, как это сделали SecurityLab, Потому что там начался Адъ и Израиль.
Так вот, отвечаем выборочно на сделанные предъявы.
Во-первых, мы никогда не говорили, что в России нет APT. Более того, мы считали и продолжаем считать, о чем не раз писали, что наличие прогосударственных хакерских групп - это в современных реалиях то, что отличает серьезных технологичных мировых игроков от полупокеров. И если ты хочешь занять роль в геополитическом партере, то тебе просто необходимо заиметь свое ламповое APT. А лучше несколько.
Во-вторых, мы за свою бытность данных по APT перевидали больше, чем все вместе взятые комментаторы прочитали статей по ИБ. Потому заявляем ответственно, что серьезные APT в своей стране C2 не держат.
А то ишь ты, "APT группы работающие на гос сектор не будут размещать свои активы (активы, Карл!) на территории других стран, слишком много переменных, которые они там не контролируют". Ага, видимо, целых две - X и Y. Инфосек-специалисты, my ass. Идите диффуры учите.
Ну и в-третьих, там в комментах похоже ДКИБ СБУ порвался по поводу того, что мы им "угрожаем".
Товарищи, учитесь военному делу настоящим образом, а ньюфагов гоните прочь! (с) В.И. Ленин.
А именно - прежде чем начинать работать в информационном пространстве, необходимо его изучить. Там, например, присутствуют такие интересные штуки, как мемы и копипасты.
Dixi.
Lurkmore
Не стоит вскрывать эту тему
Ребята, не стоит вскрывать эту тему. Вы молодые, шутливые, вам все легко. Это не то. Это не Чикатило и даже не архивы спецслужб. Сюда лучше не лезть. Серьезно, любой из вас будет жалеть. Лучше закройте тему и забудьте, что тут писалось. Я вполне понимаю,…
Forwarded from SecurityLab.ru
Новый спецвыпуск security-новостей с Александром Антиповым, главредом Securitylab.ru 🚀
Темы нового ролика:
🔸Поставщики ПО до сих пор угрожают ИБ-специалистам судом из-за обнаружения уязвимостей. Как меняется ситуация?
🔸Что значит «хакер»? Варианты ответов: клевый журнал, киберпреступник, пентестер, исследователь уязвимостей;
🔸Почему крупным корпорациям выгодно поощрять деятельность «белых» хакеров и самим создавать такие команды исследователей безопасности?
🔸Кто и как может стать этичным хакером? Как попасть в «команду мечты»?
🔸Этический выбор: как избежать соблазнов темной стороны? Серая зона хакерства;
🔸Конкурс: самое интересное мошенничество в сфере финансов.
https://www.youtube.com/watch?v=JnCl3qBU8U8
Темы нового ролика:
🔸Поставщики ПО до сих пор угрожают ИБ-специалистам судом из-за обнаружения уязвимостей. Как меняется ситуация?
🔸Что значит «хакер»? Варианты ответов: клевый журнал, киберпреступник, пентестер, исследователь уязвимостей;
🔸Почему крупным корпорациям выгодно поощрять деятельность «белых» хакеров и самим создавать такие команды исследователей безопасности?
🔸Кто и как может стать этичным хакером? Как попасть в «команду мечты»?
🔸Этический выбор: как избежать соблазнов темной стороны? Серая зона хакерства;
🔸Конкурс: самое интересное мошенничество в сфере финансов.
https://www.youtube.com/watch?v=JnCl3qBU8U8
YouTube
Спецвыпуск самых жарких новостей #2. Этичный хакер - кто он и в чем его польза? | 12+
💰📊👉 Новости об инвестициях в кибербезопасность предоставлены каналом It’s positive investing - https://news.1rj.ru/str/positive_investing
В новом спецвыпуске «Security-новостей» главред SecurityLab.ru Александр Антипов и старший эксперт Positive Technologies Тимур…
В новом спецвыпуске «Security-новостей» главред SecurityLab.ru Александр Антипов и старший эксперт Positive Technologies Тимур…
День ransomware на канале SecAtor.
Чуть позже мы дадим большой обзорный пост на тему последних модных трендов из мира вымогательских банд, а сейчас срочная новость от японцев из DarkTracer .
По их данным, в списке жертв на сайте для утечек ransomware Pysa появились правительство Великобритании и ЮАР. Видимо в качестве выкупа потребуют Мэри Поппинс и немножечко апартеида.
А если без шуток - тенденция неприятная.
Чуть позже мы дадим большой обзорный пост на тему последних модных трендов из мира вымогательских банд, а сейчас срочная новость от японцев из DarkTracer .
По их данным, в списке жертв на сайте для утечек ransomware Pysa появились правительство Великобритании и ЮАР. Видимо в качестве выкупа потребуют Мэри Поппинс и немножечко апартеида.
А если без шуток - тенденция неприятная.
Twitter
DarkTracer : DarkWeb Criminal Intelligence
[ALERT] Pysa ransomware gang has announced South Africa and UK government sites on the victim list.
Сегодня последовало продолжение вчерашней истории c вознаграждением размером в 10 млн. долларов за информацию о хакерах, связанных с бандой ransomware DarkSide (aka BlackMatter). Такой же прайс в рамках специализированной американской программы TOCRP был назначен информацию, которая может привести к установлению личности или местонахождения руководителей группировки REvil (Sodinokibi).
Как мы преполагали почти полгода назад, за головы хакеров, наносящих колоссальные убытки крупным корпорациям стали назначать не менее колоссальные награды. Правда, мы думали, что это будут все-таки частный капитал, но в реале деньги обещают госструктуры.
Параллельно с этим США в составе широкой коалиции со своими традиционными партнерами начали фактически крестовый поход против вымогателей в рамках операции под условным наименованием GoldDust.
По наводке американских спецслужб румынские спецслужбы при поддержке полиции арестовали в Констанце двух операторов REvil, ответственных приблизительно за 5000 атак с общей суммой выкупа до полумиллиона евро. В тот же день правоохранители Кувейта арестовали еще одного злоумышленника, подозреваемого в партнерстве с вымогателями. Ему вменяется около 7000 кибератак с общим объемом выкупа на сумму более 200 млн. евро.
Всего в мероприятиях были задействованы силовики из 17 стран, Европола, Евроюста и Интерпола, которым удалось установить личности хакеров, взять под их наблюдение и прослушивать коммуникации. Ранее в октябре подозреваемый в связях с REvil был также захвачен в Южной Корее.
Помимо текущих арестов, в прошлом месяце на основании ордера США при переходе из Украины в Польшу был задержан 22-летний украинец Ярослав Васинский, который работал в качестве оператора REvil еще с 2019 года. Именно он был виновником серии резонансных атак: на его счету инциденты с мясоперерабатывающей компанией JBS SA и поставщиком ПО Kaseya. В ходе последнего хакер смог пошифровать тысячи ее клиентов, что фактически равносильно военной агрессии и было воспринято Белым домом как соответствующий вызов.
ФБР объявили в розыск также его подельника - гражданина России, 28-летнего жителя Барнаула Евгения Полянина, помогавшего накатывать полезные нагрузки в виде ransomware в зараженных системах. Ему вменяют около 3000 атак, в том числе эпизод со взломом в 2019 году провайдера управляемых услуг из Техаса TSM Consulting, который позволил ему пошифровать более двух десятков местных правительственных учреждений. Кроме того, на основании требования Минюста США спецслужбам удалось конфисковать активы Полянина в криптовалюте на сумму 6,1 миллиона долларов, которые он хранил на счете FTX.
Все это подтверждает нашу версию о том, что возрождение инфраструктуры REvil было четко спланированной операцией американских спецслужб совместно со специалистами из частного сектора, нацеленная на вскрытие операторов и иных связанных с вымогателями лиц.
Параллельно удары наносятся по карманам вымогателей, в связи с чем США также объявили о второй волне санкций (первая накрыла биржу SUEX OTC) против криптобиржи Chatex, которая, по мнению финрегулятора, используется в интересах для обналичивания средств хакеров. В число будущих черносписочников также относят фигурантов недавнего расследования Bloomberg - EggChange и CashBank.
Вместе с тем, по последним данным, вымогатели из Hive объявили невиданный размер первоначального выкупа в рекордные 240 миллионов долларов, счет был выставлен торговому гиганту электроники MediaMarkt, ИТ-системы которого после атаки были зашифрованы и отключены.
Вы удивлены, мы нет: это является подтверждением нашего мнения о том, что вымогатели будут хеджировать риски, связанные с высокой активностью властей по их поиску, выкупы будут и дальше расти. По всей видимости, уходить с темы хакеры не намерены и уже задали новый тренд совершения кибератак.
Как мы преполагали почти полгода назад, за головы хакеров, наносящих колоссальные убытки крупным корпорациям стали назначать не менее колоссальные награды. Правда, мы думали, что это будут все-таки частный капитал, но в реале деньги обещают госструктуры.
Параллельно с этим США в составе широкой коалиции со своими традиционными партнерами начали фактически крестовый поход против вымогателей в рамках операции под условным наименованием GoldDust.
По наводке американских спецслужб румынские спецслужбы при поддержке полиции арестовали в Констанце двух операторов REvil, ответственных приблизительно за 5000 атак с общей суммой выкупа до полумиллиона евро. В тот же день правоохранители Кувейта арестовали еще одного злоумышленника, подозреваемого в партнерстве с вымогателями. Ему вменяется около 7000 кибератак с общим объемом выкупа на сумму более 200 млн. евро.
Всего в мероприятиях были задействованы силовики из 17 стран, Европола, Евроюста и Интерпола, которым удалось установить личности хакеров, взять под их наблюдение и прослушивать коммуникации. Ранее в октябре подозреваемый в связях с REvil был также захвачен в Южной Корее.
Помимо текущих арестов, в прошлом месяце на основании ордера США при переходе из Украины в Польшу был задержан 22-летний украинец Ярослав Васинский, который работал в качестве оператора REvil еще с 2019 года. Именно он был виновником серии резонансных атак: на его счету инциденты с мясоперерабатывающей компанией JBS SA и поставщиком ПО Kaseya. В ходе последнего хакер смог пошифровать тысячи ее клиентов, что фактически равносильно военной агрессии и было воспринято Белым домом как соответствующий вызов.
ФБР объявили в розыск также его подельника - гражданина России, 28-летнего жителя Барнаула Евгения Полянина, помогавшего накатывать полезные нагрузки в виде ransomware в зараженных системах. Ему вменяют около 3000 атак, в том числе эпизод со взломом в 2019 году провайдера управляемых услуг из Техаса TSM Consulting, который позволил ему пошифровать более двух десятков местных правительственных учреждений. Кроме того, на основании требования Минюста США спецслужбам удалось конфисковать активы Полянина в криптовалюте на сумму 6,1 миллиона долларов, которые он хранил на счете FTX.
Все это подтверждает нашу версию о том, что возрождение инфраструктуры REvil было четко спланированной операцией американских спецслужб совместно со специалистами из частного сектора, нацеленная на вскрытие операторов и иных связанных с вымогателями лиц.
Параллельно удары наносятся по карманам вымогателей, в связи с чем США также объявили о второй волне санкций (первая накрыла биржу SUEX OTC) против криптобиржи Chatex, которая, по мнению финрегулятора, используется в интересах для обналичивания средств хакеров. В число будущих черносписочников также относят фигурантов недавнего расследования Bloomberg - EggChange и CashBank.
Вместе с тем, по последним данным, вымогатели из Hive объявили невиданный размер первоначального выкупа в рекордные 240 миллионов долларов, счет был выставлен торговому гиганту электроники MediaMarkt, ИТ-системы которого после атаки были зашифрованы и отключены.
Вы удивлены, мы нет: это является подтверждением нашего мнения о том, что вымогатели будут хеджировать риски, связанные с высокой активностью властей по их поиску, выкупы будут и дальше расти. По всей видимости, уходить с темы хакеры не намерены и уже задали новый тренд совершения кибератак.
Europol
Five affiliates to Sodinokibi/REvil unplugged – Suspected of about 7 000 infections, the arrested affiliates asked for more than…
Updated on 8 November at 18:30 On 4 November, Romanian authorities arrested two individuals suspected of cyber-attacks deploying the Sodinokibi/REvil ransomware. They are allegedly responsible for 5 000 infections, which in total pocketed half a million euros…
И один в поле воин!
Немного смелости, смекалки и душевного разговора со службой поддержки достаточно чтоб получить миллионы персональных данных от известной американской торговой платформы Robinhood Markets, Inc.
Как известно хакер, обнаружил уязвимость в мобильной платформе для торговли акциями Robinhood и путем социальной инженерии смог развести сотрудника службы поддержки клиентов, чтобы заиметь в своем активе миллионы имен и адреса электронных почт пользователей, а также более подробные сведения о зарегистрированных учетных записях.
После успешной реализации своего коварного замысла, разумеется злоумышленник стал вымогать положенный ему за это гонорар.
Представителей компании такой расклад явно не устроил и они уведомили правоохранительные органы, а также обратились за помощью в расследовании инцидента к специалистам из Mandiant. Идти на поводу у вымогателей нынче не в моде, да и хакер понимал, что тут либо много, либо ноль.
Может вовсе замысел был шортить на бирже и сыграть на понижение, так как после публикации акции самой компании упали на 3% (NASDAQ: HOOD).
Компания явно преуменьшает масштабы бедствия и уверяет, что был украден только ограниченный объем личной информации для небольшой части клиентов, номера банковских карт не были раскрыты и финансовых потерь для клиентов пока не зафиксировано.
Но как мы знаем в умелых руках и полученных данных будет достаточно, чтоб минимально монетизировать добытую утечку.
Немного смелости, смекалки и душевного разговора со службой поддержки достаточно чтоб получить миллионы персональных данных от известной американской торговой платформы Robinhood Markets, Inc.
Как известно хакер, обнаружил уязвимость в мобильной платформе для торговли акциями Robinhood и путем социальной инженерии смог развести сотрудника службы поддержки клиентов, чтобы заиметь в своем активе миллионы имен и адреса электронных почт пользователей, а также более подробные сведения о зарегистрированных учетных записях.
После успешной реализации своего коварного замысла, разумеется злоумышленник стал вымогать положенный ему за это гонорар.
Представителей компании такой расклад явно не устроил и они уведомили правоохранительные органы, а также обратились за помощью в расследовании инцидента к специалистам из Mandiant. Идти на поводу у вымогателей нынче не в моде, да и хакер понимал, что тут либо много, либо ноль.
Может вовсе замысел был шортить на бирже и сыграть на понижение, так как после публикации акции самой компании упали на 3% (NASDAQ: HOOD).
Компания явно преуменьшает масштабы бедствия и уверяет, что был украден только ограниченный объем личной информации для небольшой части клиентов, номера банковских карт не были раскрыты и финансовых потерь для клиентов пока не зафиксировано.
Но как мы знаем в умелых руках и полученных данных будет достаточно, чтоб минимально монетизировать добытую утечку.