Emsisoft выпустила бесплатный декриптор для расшифровки и востановления систем, пострадавших от ransomware Diavol. К нему также прилагается подробная инструкция.
В отличие от других штамов ransomware, которые используют симметричные алгоритмы для значительного ускорения процесса шифрования, процедура шифрования Diavol использует асинхронные вызовы процедур (APC) пользовательского режима с асимметричным алгоритмом шифрования. Diavol также поставляется без обфускации, но прячет свои основные подпрограммы в растровых изображениях.
Перед завершением процесса шифрования Diavol меняет фон скомпрометированных устройств Windows на черный с сообщением «Все ваши файлы зашифрованы! Для получения дополнительной информации см. README-FOR-DECRYPT.txt». С ноября также изменилась записка с условиями выплаты выкупа, сейчас она именуется Warning.txt. Размеры выкупа варьируются в диапазоне от 10 000 до 500 000 долларов США.
Исследователи FortiGuard Labs связывают этот штамм ransomware с бандой TrickBot (также известной как Wizard Spider), а случилось это после того, как в начале июня 2021 года обнаружили, что он развернут в разных системах вместе с полезными нагрузками программы-вымогателя Conti в ходе атаки, но в отличие от последних, Diavol ориентирован в том числе и российские цели. В августе 2021 года исследователи IBM X-Force подтвердили выводы коллег.
Несмотря на то, что программа-вымогатель Diavol существует с июня 2021 года, ее активность оставалась на достаточно низком уровне, в отличие от связанных с TrickBot вымогателей Conti и Ryuk.
Для работы расшифровщику Emsisoft требуется доступ к паре файлов, состоящей из одного зашифрованного файла и исходной незашифрованной версии зашифрованного файла, чтобы извлечь ключи шифрования, которые в последующем будут использованы для дешифрования оставшихся данных.
По умолчанию дешифратор предварительно заполняет места для расшифровки подключенными в данный момент дисками и сетевыми дисками. Кроме того, он имеет возможность производить частичную расшифровку больших файлов, размер которых превышает размер пары файлов, предоставленных для восстановления ключей шифрования. Необходимость в этом возникает, поскольку дешифратор может не восстановить такие файлы из-за технических ограничений.
Эксперты также указали, что дешифратор не может гарантировать, что расшифрованные данные идентичны тем, которые были ранее зашифрованы, поскольку вымогатель не сохраняет никакой информации о незашифрованных файлах.
В отличие от других штамов ransomware, которые используют симметричные алгоритмы для значительного ускорения процесса шифрования, процедура шифрования Diavol использует асинхронные вызовы процедур (APC) пользовательского режима с асимметричным алгоритмом шифрования. Diavol также поставляется без обфускации, но прячет свои основные подпрограммы в растровых изображениях.
Перед завершением процесса шифрования Diavol меняет фон скомпрометированных устройств Windows на черный с сообщением «Все ваши файлы зашифрованы! Для получения дополнительной информации см. README-FOR-DECRYPT.txt». С ноября также изменилась записка с условиями выплаты выкупа, сейчас она именуется Warning.txt. Размеры выкупа варьируются в диапазоне от 10 000 до 500 000 долларов США.
Исследователи FortiGuard Labs связывают этот штамм ransomware с бандой TrickBot (также известной как Wizard Spider), а случилось это после того, как в начале июня 2021 года обнаружили, что он развернут в разных системах вместе с полезными нагрузками программы-вымогателя Conti в ходе атаки, но в отличие от последних, Diavol ориентирован в том числе и российские цели. В августе 2021 года исследователи IBM X-Force подтвердили выводы коллег.
Несмотря на то, что программа-вымогатель Diavol существует с июня 2021 года, ее активность оставалась на достаточно низком уровне, в отличие от связанных с TrickBot вымогателей Conti и Ryuk.
Для работы расшифровщику Emsisoft требуется доступ к паре файлов, состоящей из одного зашифрованного файла и исходной незашифрованной версии зашифрованного файла, чтобы извлечь ключи шифрования, которые в последующем будут использованы для дешифрования оставшихся данных.
По умолчанию дешифратор предварительно заполняет места для расшифровки подключенными в данный момент дисками и сетевыми дисками. Кроме того, он имеет возможность производить частичную расшифровку больших файлов, размер которых превышает размер пары файлов, предоставленных для восстановления ключей шифрования. Необходимость в этом возникает, поскольку дешифратор может не восстановить такие файлы из-за технических ограничений.
Эксперты также указали, что дешифратор не может гарантировать, что расшифрованные данные идентичны тем, которые были ранее зашифрованы, поскольку вымогатель не сохраняет никакой информации о незашифрованных файлах.
Обнаружена критическая ошибка в Western Digital, а точнее в настольном приложения EdgeRover, которое представляет из себя централизованный и удобный набор инструментов для каталогизации, фильтрации, управления файлами и настройками конфиденциальности на накопителях Western Digital и SanDisk.
Ошибка приложения Western Digital создает угрозу повышения привилегии в Windows и macOS, которая в конечном итоге может позволить злоумышленникам получить доступ к конфиденциальной информации и совершать DoS-атаки.
Выявленная уязвимость, представляет собой ошибку обхода каталогов, позволяющую получить несанкционированный доступ к ограниченным каталогам и файлам. Уязвимости присвоен номер CVE-2022-22998 и рейтинг серьезности CVSS v3 9,1, что означает, что угроза классифицируется как критическая.
Учитывая, что Western Digital является одним из самых успешных в мире производителей и розничных продавцов продуктов для хранения цифровых данных, вероятно, значительное число людей использует EdgeRover для управления данными.
Дабы не позволить потенциальным злоумышленникам получить сведения о личных данных в Western Digital рекомендуют своим обеспокоенным клиентам в срочном порядке обновить настольные приложения EdgeRover до версии 1.5.1-594 или более поздней, выпущенной на прошлой неделе, чтобы устранить эту угрозу.
Порой не все что удобно – безопасно и не следует забывать, что каждое приложение сопряжено со своим собственным набором рисков для безопасности и конфиденциальности.
Ошибка приложения Western Digital создает угрозу повышения привилегии в Windows и macOS, которая в конечном итоге может позволить злоумышленникам получить доступ к конфиденциальной информации и совершать DoS-атаки.
Выявленная уязвимость, представляет собой ошибку обхода каталогов, позволяющую получить несанкционированный доступ к ограниченным каталогам и файлам. Уязвимости присвоен номер CVE-2022-22998 и рейтинг серьезности CVSS v3 9,1, что означает, что угроза классифицируется как критическая.
Учитывая, что Western Digital является одним из самых успешных в мире производителей и розничных продавцов продуктов для хранения цифровых данных, вероятно, значительное число людей использует EdgeRover для управления данными.
Дабы не позволить потенциальным злоумышленникам получить сведения о личных данных в Western Digital рекомендуют своим обеспокоенным клиентам в срочном порядке обновить настольные приложения EdgeRover до версии 1.5.1-594 или более поздней, выпущенной на прошлой неделе, чтобы устранить эту угрозу.
Порой не все что удобно – безопасно и не следует забывать, что каждое приложение сопряжено со своим собственным набором рисков для безопасности и конфиденциальности.
Western Digital
WDC-22004 EdgeRover Desktop App Version 1.5.1-594 | Western Digital
Western Digital delivers innovative storage solutions—HDDs, systems & personal data storage—powering innovation, reliability & future-ready performance.
В российском сегменте Telegram активно расходится новость о том, что хакерская группа Anonymous угрожает западным компаниям, которые продолжают свою работу в России и дают им 48 часов на прекращение деятельности. А то...
Ну, во-первых, нынче Анонимусов развелось как тараканов, особенно в Twitter. Конкретно аккаунт @YourAnonTV, который и дал сей "пресс-релиз" , достаточно старый - работает еще с 2015 года. Да вот только до событий на Украине его твиты собирали по несколько лайков и паре ретвитов. А судя по частым сообщениям на турецком языке "долой диктатора Эрдогана" - это не более чем прогюленовская пропагандистская помойка.
Во-вторых, было бы интересно посмотреть на реальные атаки Anonymous на ресурсы западных компаний в поддержку Украины. Полагаем, часть авторитетных западных инфосек экспертов порвало бы как грелку - когнитивный диссонанс штука опасная.
Вдобавок подвезли новостей по некой атаке Anonymous на незащищенные российские принтеры, которые стали печатать антивоенные листовки (типа вот таких).
Сначала шла речь о 156 взломанных принтерах, потом Анонимусы сообщили о распечатанных 100 тыс. копиях листовок. Теперь у компаний, которые не додумались закрыть свои сетевые принтеры, кончилась бумага. А она нынче дорожает!
Режим затрещал и накренился.
Ну, во-первых, нынче Анонимусов развелось как тараканов, особенно в Twitter. Конкретно аккаунт @YourAnonTV, который и дал сей "пресс-релиз" , достаточно старый - работает еще с 2015 года. Да вот только до событий на Украине его твиты собирали по несколько лайков и паре ретвитов. А судя по частым сообщениям на турецком языке "долой диктатора Эрдогана" - это не более чем прогюленовская пропагандистская помойка.
Во-вторых, было бы интересно посмотреть на реальные атаки Anonymous на ресурсы западных компаний в поддержку Украины. Полагаем, часть авторитетных западных инфосек экспертов порвало бы как грелку - когнитивный диссонанс штука опасная.
Вдобавок подвезли новостей по некой атаке Anonymous на незащищенные российские принтеры, которые стали печатать антивоенные листовки (типа вот таких).
Сначала шла речь о 156 взломанных принтерах, потом Анонимусы сообщили о распечатанных 100 тыс. копиях листовок. Теперь у компаний, которые не додумались закрыть свои сетевые принтеры, кончилась бумага. А она нынче дорожает!
Режим затрещал и накренился.
Twitter
Anonymous TV 🇺🇦
Press Release: We call on all companies that continue to operate in Russia by paying taxes to the budget of the Kremlin's criminal regime: Pull out of Russia! We give you 48 hours to reflect and withdraw from Russia or else you will be under our target! #Anonymous…
Lapsus$ продолжают хулиганить.
В понедельник Lapsus$ слили 37 ГБ исходного кода более 250 проектов Microsoft, включая Bing (например, Bing STC SV, Bing Test Agile и Bing UX), Cortana, сведения о которых хакерам удалось получить с внутреннего сервера Azure DevOps. Доступ к нему был наглядно продемонстрирован публикаций соответствующего скрина. Кроме того, некоторые из утекших проектов содержали также электронные письма и документацию.
Разработчик после непродолжительного расследования подтвердил инцидент. Однако по непонятным причинам хакеры удалили первоначальный пост из Telegram-канала и разместили сообщение «Удалено на данный момент, опубликую позже». И свое обещание сдержали, опубликовав соответсвующий архив.
Следующей под раздачу попала компания LG Electronics (LGE), которая, по словам хакеров, уже второй раз за год становится жертвой их кибератак. К настоящему времени слить дамп LGE.com с данными учетных записей сотрудников и служб, анонсирована дальнейшая утечка, которая произойдет в ближайшее время.
Своеобразной изюминкой на торте стала атака на ведущего поставщика услуг аутентификации и решений для управления идентификацией и доступом (IAM) Okta, который после публикации скринов с доступом к внутренним репозиториям с данными клиентов инициировал внутреннее расследование.
Генеральный директор компании Тодд Маккиннон подтвердил инцидент, отметив, что описанные события имели место в январе, что подтверждается также отметками даты и времени на представленных хакерами скринах.
Теперь же разработчику остается только гадать, сколько его клиентов уже стали или вот вот должны стать новыми жертвами Lapsus$, ведь компания с капитализацией более 6 миллиардов долларов и штатом более 5000 человек по всему миру предоставляет услуги крупным организациям, включая Siemens, ITV, Pret a Manger, Starling Bank и другим.
Но на этом Lapsus$ точно не намерены останавливаться и уже объявили набор инсайдеров в крупных технологических гигантах и интернет-провайдерах, таких как Microsoft, Apple, EA Games, IBM, Claro, Telefonica и AT&T, заявив о готовности приобретения удаленного доступа к VPN за вознаграждение.
Такой вот современный ransomware.
В понедельник Lapsus$ слили 37 ГБ исходного кода более 250 проектов Microsoft, включая Bing (например, Bing STC SV, Bing Test Agile и Bing UX), Cortana, сведения о которых хакерам удалось получить с внутреннего сервера Azure DevOps. Доступ к нему был наглядно продемонстрирован публикаций соответствующего скрина. Кроме того, некоторые из утекших проектов содержали также электронные письма и документацию.
Разработчик после непродолжительного расследования подтвердил инцидент. Однако по непонятным причинам хакеры удалили первоначальный пост из Telegram-канала и разместили сообщение «Удалено на данный момент, опубликую позже». И свое обещание сдержали, опубликовав соответсвующий архив.
Следующей под раздачу попала компания LG Electronics (LGE), которая, по словам хакеров, уже второй раз за год становится жертвой их кибератак. К настоящему времени слить дамп LGE.com с данными учетных записей сотрудников и служб, анонсирована дальнейшая утечка, которая произойдет в ближайшее время.
Своеобразной изюминкой на торте стала атака на ведущего поставщика услуг аутентификации и решений для управления идентификацией и доступом (IAM) Okta, который после публикации скринов с доступом к внутренним репозиториям с данными клиентов инициировал внутреннее расследование.
Генеральный директор компании Тодд Маккиннон подтвердил инцидент, отметив, что описанные события имели место в январе, что подтверждается также отметками даты и времени на представленных хакерами скринах.
Теперь же разработчику остается только гадать, сколько его клиентов уже стали или вот вот должны стать новыми жертвами Lapsus$, ведь компания с капитализацией более 6 миллиардов долларов и штатом более 5000 человек по всему миру предоставляет услуги крупным организациям, включая Siemens, ITV, Pret a Manger, Starling Bank и другим.
Но на этом Lapsus$ точно не намерены останавливаться и уже объявили набор инсайдеров в крупных технологических гигантах и интернет-провайдерах, таких как Microsoft, Apple, EA Games, IBM, Claro, Telefonica и AT&T, заявив о готовности приобретения удаленного доступа к VPN за вознаграждение.
Такой вот современный ransomware.
Twitter
Todd McKinnon
We believe the screenshots shared online are connected to this January event. Based on our investigation to date, there is no evidence of ongoing malicious activity beyond the activity detected in January. (2 of 2)
Всем пессимистам, которые говорили, что инфосек - всё, хотим дать свой решительный ответ. Похоже вы правы!
Намедни Джен Истерли, Директор американского Агентства кибербезопасности aka CISA, выступая на мероприятии Women in CyberSecurity 2022 заявила, что ее цель - добиться к 2030 году 50% женщин в американском инфосеке (сейчас - 24%). Начнется сей раскардаш, естественно, с CISA.
Главная черта в инфосек специалистах, по словам Истерли, - это "эмоциональный интеллект", по части которого "женщины превосходят мужчин". Эмоциональный интеллект - это будущее кибербезопасности (по словам сестры Джен)!
Все наши подписчики знают наше трепетное отношение к девушкам в инфосеке. Мы их очень любим и ценим.
Но, да простят нас боевые подруги, информационная безопасность, похоже, накрывается известно чем.
Намедни Джен Истерли, Директор американского Агентства кибербезопасности aka CISA, выступая на мероприятии Women in CyberSecurity 2022 заявила, что ее цель - добиться к 2030 году 50% женщин в американском инфосеке (сейчас - 24%). Начнется сей раскардаш, естественно, с CISA.
Главная черта в инфосек специалистах, по словам Истерли, - это "эмоциональный интеллект", по части которого "женщины превосходят мужчин". Эмоциональный интеллект - это будущее кибербезопасности (по словам сестры Джен)!
Все наши подписчики знают наше трепетное отношение к девушкам в инфосеке. Мы их очень любим и ценим.
Но, да простят нас боевые подруги, информационная безопасность, похоже, накрывается известно чем.
The Record
CISA’s Easterly calls on industry leaders to close gender gap
Cybersecurity and Infrastructure Security Agency Director Jen Easterly strutted onto the stage at the 2022 Women in Cybersecurity conference Friday — wearing a t-shirt displaying the Ukrainian flag as AC/DC’s hard rock anthem Thunderstruck blared in the background…
Forwarded from Positive Events
🚨 Долгожданные новости о майской кибербитве
Для синих и красных команд The Standoff начнётся 16 мая, а закончится 19 мая — 4 дня с перерывами на сон (как вы просили 😉). Три команды пригласим в ЦМТ, остальные — онлайн.
Защитникам будут противостоять 15 команд хакеров. Топ-5 по итогам ноябрьской кибербитвы мы пригласим напрямую, минуя отборочный тур. Напомним этих героев:
🔺 Codeby&NitroTeam
🔺 True0xA3
🔺 SPbCTF
🔺 Invuls
🔺 Bulba Hackers
📊 Оставшиеся 10 слотов могут занять команды из любой точки мира. Отбирать команды мы будем по «резюме». Если у вас есть опыт в Offensive Security и пентесте, точно подавайте заявку. Можно писать на русском или английском, как вам комфортнее.
👉 Для русскоговорящих команд форма регистрации — forms.gle/zPvrpadk9VfRWYBHA
👉 Red teams registration for participating in The Standoff — forms.gle/Vg1BH1Duj3hrDVaZ8
Регистрация открыта до 3 апреля. Жюри рассмотрит все заявки, мы свяжемся с капитанами до 15 апреля и опубликуем список приглашённых команд. Удачи! 💪
Для синих и красных команд The Standoff начнётся 16 мая, а закончится 19 мая — 4 дня с перерывами на сон (как вы просили 😉). Три команды пригласим в ЦМТ, остальные — онлайн.
Защитникам будут противостоять 15 команд хакеров. Топ-5 по итогам ноябрьской кибербитвы мы пригласим напрямую, минуя отборочный тур. Напомним этих героев:
🔺 Codeby&NitroTeam
🔺 True0xA3
🔺 SPbCTF
🔺 Invuls
🔺 Bulba Hackers
📊 Оставшиеся 10 слотов могут занять команды из любой точки мира. Отбирать команды мы будем по «резюме». Если у вас есть опыт в Offensive Security и пентесте, точно подавайте заявку. Можно писать на русском или английском, как вам комфортнее.
👉 Для русскоговорящих команд форма регистрации — forms.gle/zPvrpadk9VfRWYBHA
👉 Red teams registration for participating in The Standoff — forms.gle/Vg1BH1Duj3hrDVaZ8
Регистрация открыта до 3 апреля. Жюри рассмотрит все заявки, мы свяжемся с капитанами до 15 апреля и опубликуем список приглашённых команд. Удачи! 💪
Microsoft в очередной раз уступает частным специалистам в вопросах исправления уязвимостей, над которыми IT-гигант тщетно работает месяцами, даже с учетом того, что в паблике появляются эксплойты под них.
0-day CVE-2021-34484 с оценкой CVSS v3 7,8 в службе профилей пользователей, связанная с локальным повышением привилегий в Windows 10, Windows 11 и Windows Server, наконец-то обрела свой патч. Эта та самая ошибка, которую раскрыл исследователь Абдельхамид Насери и выпустил PoC, обходивший исправления Microsoft.
Впрочем, это разработчиков не интересовало - они просто пометили багу исправленной, и сделали это несколько раз.
Первоначально на помощь микромягким пришла команда 0patch, выпустив неофициальное обновление безопасности для всех версий Windows. В свою очередь, разработчик выкатил второе обновление безопасности в рамках PatchTuesday в январе 2022 года, присвоив обходу новый идентификатор CVE-2022-21919 и пометив уязвимость исправленной.
Но Насери вновь нашел способ обойти исправление, добавив, что эта попытка была «хуже первой». При этом после тестов еще прошлого патча для profext.dll исследователи 0patch обнаружили, что он по-прежнему защищает пользователей от нового метода эксплуатации, позволяя этим системам оставаться безопасными. Однако медвежья услуга в виде нового исправления от Microsoft привела к удалению неофициального исправления.
После чего 0patch вновь выручили пользователей, выпустив уже новый микропатч для всех зарегистрированных пользователей последних версий Windows. Следует отметить, что Windows 10 1803, Windows 10 1809 и Windows 10 2004 по-прежнему защищены исходным патчем 0patch, так как поддержка этих устройств закончилась и они не получили обновления Microsoft, заменяющего DLL.
Сами Microsoft оказались даже не в курсе всех событий и вообще каких-либо проблем LPE, но обещали заняться этим вопросом, что вызывает, пожалуй, только боль.
Собственно это все, что вам нужно знать о Microsoft.
0-day CVE-2021-34484 с оценкой CVSS v3 7,8 в службе профилей пользователей, связанная с локальным повышением привилегий в Windows 10, Windows 11 и Windows Server, наконец-то обрела свой патч. Эта та самая ошибка, которую раскрыл исследователь Абдельхамид Насери и выпустил PoC, обходивший исправления Microsoft.
Впрочем, это разработчиков не интересовало - они просто пометили багу исправленной, и сделали это несколько раз.
Первоначально на помощь микромягким пришла команда 0patch, выпустив неофициальное обновление безопасности для всех версий Windows. В свою очередь, разработчик выкатил второе обновление безопасности в рамках PatchTuesday в январе 2022 года, присвоив обходу новый идентификатор CVE-2022-21919 и пометив уязвимость исправленной.
Но Насери вновь нашел способ обойти исправление, добавив, что эта попытка была «хуже первой». При этом после тестов еще прошлого патча для profext.dll исследователи 0patch обнаружили, что он по-прежнему защищает пользователей от нового метода эксплуатации, позволяя этим системам оставаться безопасными. Однако медвежья услуга в виде нового исправления от Microsoft привела к удалению неофициального исправления.
После чего 0patch вновь выручили пользователей, выпустив уже новый микропатч для всех зарегистрированных пользователей последних версий Windows. Следует отметить, что Windows 10 1803, Windows 10 1809 и Windows 10 2004 по-прежнему защищены исходным патчем 0patch, так как поддержка этих устройств закончилась и они не получили обновления Microsoft, заменяющего DLL.
Сами Microsoft оказались даже не в курсе всех событий и вообще каких-либо проблем LPE, но обещали заняться этим вопросом, что вызывает, пожалуй, только боль.
Собственно это все, что вам нужно знать о Microsoft.
0Patch
A Bug That Doesn't Want To Die (CVE-2021-34484, CVE-2022-21919, CVE-2022-26904)
Twice Bypassed and Twice Micropatched, Will Third Time be a Charm? by Mitja Kolsek, the 0patch Team Update 8/10/2022: April 2022 Windows...
Нас спрашивают - почему мы не пишем об кибератаке на Мираторг и кучу его дочек с использованием Windows BitLocker?
А потому что мы писали про это все последние годы. Вот эти все "инфомационная безопасность за мелкий прайс" и прочее.
В условиях активного внешнего противодействия, обусловленного событиями на Украине и фактически открытой пропагандой и поддержкой на Западе кибератак на российские организации (по этому поводу мы еще напишем отдельный пост), отечественные государственные учреждения и коммерческие компании оказались не готовы защищать свои информационные ресурсы. Потому что жадные и недалекие.
И все это при том, что Россия является одним из мировых лидеров в области инфосека и качество кадровой составляющей у нас прекрасное (другой вопрос - не всегда хватает количества).
Печально это все...
А потому что мы писали про это все последние годы. Вот эти все "инфомационная безопасность за мелкий прайс" и прочее.
В условиях активного внешнего противодействия, обусловленного событиями на Украине и фактически открытой пропагандой и поддержкой на Западе кибератак на российские организации (по этому поводу мы еще напишем отдельный пост), отечественные государственные учреждения и коммерческие компании оказались не готовы защищать свои информационные ресурсы. Потому что жадные и недалекие.
И все это при том, что Россия является одним из мировых лидеров в области инфосека и качество кадровой составляющей у нас прекрасное (другой вопрос - не всегда хватает количества).
Печально это все...
Компания Dell бьет тревогу и рекомендуют своим клиентам (не всем, но об этом позже) как можно скорее обновить BIOS на компьютерах Alienware, Inspiron, Vostro и Edge Gateway серии 3000.
Дело в том что было обнаружено пять новых уязвимостей безопасности, которые в случае успешного использования могут привести к выполнению кода в уязвимых системах, коих счет идет на миллионы. Отслеживаемые как CVE-2022-24415, CVE-2022-24416, CVE-2022-24419, CVE-2022-24420 и CVE-2022-24421 уязвимости имеют высокой рейтинг степени опасности и оцениваются в 8,2 из 10 по CVSS.
Все недостатки связаны с неправильной проверкой ввода, которая влияет на режим управления системой (SMM) прошивки, что фактически позволяет злоумышленнику, прошедшему проверку подлинности, использовать прерывание управления системой (SMI) для выполнения произвольного кода.
SMM относится к специальному режиму ЦП в микроконтроллерах x86, который предназначен для обработки общесистемных функций, таких как управление питанием, контроль системного оборудования, мониторинг температуры и т.д. Собственно всякий раз, когда запрашивается одна из этих операций, во время выполнения вызывается немаскируемое прерывание (SMI), которое выполняет код SMM, установленный в BIOS. Учитывая, что этот код выполняется с наивысшим уровнем привилегий и невидим для базовой операционной системы, то данный метод делает возможным запуск малвари до загрузки системы.
Но во всей этой истории есть одно НО! Ввиду политических интриг и повсеместной русофобии придется потанцевать с бубном чтоб накатить обновление, так как позиция производителя на официальном сайте следующая "В настоящее время компания Dell не может оказывать техническую поддержку на территории России. Приносим извинения за доставленные неудобства."
Дело в том что было обнаружено пять новых уязвимостей безопасности, которые в случае успешного использования могут привести к выполнению кода в уязвимых системах, коих счет идет на миллионы. Отслеживаемые как CVE-2022-24415, CVE-2022-24416, CVE-2022-24419, CVE-2022-24420 и CVE-2022-24421 уязвимости имеют высокой рейтинг степени опасности и оцениваются в 8,2 из 10 по CVSS.
Все недостатки связаны с неправильной проверкой ввода, которая влияет на режим управления системой (SMM) прошивки, что фактически позволяет злоумышленнику, прошедшему проверку подлинности, использовать прерывание управления системой (SMI) для выполнения произвольного кода.
SMM относится к специальному режиму ЦП в микроконтроллерах x86, который предназначен для обработки общесистемных функций, таких как управление питанием, контроль системного оборудования, мониторинг температуры и т.д. Собственно всякий раз, когда запрашивается одна из этих операций, во время выполнения вызывается немаскируемое прерывание (SMI), которое выполняет код SMM, установленный в BIOS. Учитывая, что этот код выполняется с наивысшим уровнем привилегий и невидим для базовой операционной системы, то данный метод делает возможным запуск малвари до загрузки системы.
Но во всей этой истории есть одно НО! Ввиду политических интриг и повсеместной русофобии придется потанцевать с бубном чтоб накатить обновление, так как позиция производителя на официальном сайте следующая "В настоящее время компания Dell не может оказывать техническую поддержку на территории России. Приносим извинения за доставленные неудобства."
Forwarded from SecurityLab.ru
Security-новости от Александра Антипова. Выпуск #53
— Сайты властей Израиля подверглись беспрецедентной кибератаке, найдены новые уязвимости спекулятивного выполнения в ЦП Intel, AMD и Arm, Китай получил шпионский инструмент АНБ США, а в портах страны — опасная утечка данных. Смотрите 53-й выпуск наших новостей.
— Для подписчиков канала еженедельный конкурс в котором каждый может выиграть обучение в УЦ Информзащита курс "Защита сетевого периметра ". А так же раздаем подписчикам канала годовую подписку на лучший, по нашему мнению, VPN сервис - hidemy.name.
— Смотрите наши ролики, подписывайтесь на канал, жмите на колокольчик. Мы рады видеть новых подписчиков. Вместе мы сделаем мир безопаснее и спасем его от киберхаоса!
https://www.youtube.com/watch?v=1pjsS2NgwxQ
— Сайты властей Израиля подверглись беспрецедентной кибератаке, найдены новые уязвимости спекулятивного выполнения в ЦП Intel, AMD и Arm, Китай получил шпионский инструмент АНБ США, а в портах страны — опасная утечка данных. Смотрите 53-й выпуск наших новостей.
— Для подписчиков канала еженедельный конкурс в котором каждый может выиграть обучение в УЦ Информзащита курс "Защита сетевого периметра ". А так же раздаем подписчикам канала годовую подписку на лучший, по нашему мнению, VPN сервис - hidemy.name.
— Смотрите наши ролики, подписывайтесь на канал, жмите на колокольчик. Мы рады видеть новых подписчиков. Вместе мы сделаем мир безопаснее и спасем его от киберхаоса!
https://www.youtube.com/watch?v=1pjsS2NgwxQ
YouTube
Wildberries атакован, введен режим ЧС в Израиле из-за DDoS-атаки. Security-новости #53 | 12+
👉 Новости об инвестициях в кибербезопасность предоставлены каналом IT’s positive investing - https://news.1rj.ru/str/positive_investing
0:00 Security-новости
0:21 Розыгрыш VPN, ставьте #Positive и пишите в комментариях фрагменты из песен, которые поднимают настроение)…
0:00 Security-новости
0:21 Розыгрыш VPN, ставьте #Positive и пишите в комментариях фрагменты из песен, которые поднимают настроение)…
Тем временем, Hive пополнили свой DLS новой строчкой - жертвой атаки ransomware стало Министерство иностранных дел Индонезии.
Куда больше не повезло Греции, где государственный почтовый оператор ELTA вынужден был прекратить работу после атаки с использованием ransomware.
Государственная почтовая служба Греции сообщила об обнаруженном инциденте в воскресенье. Как выяснили специалисты, злоумышленники использовали неисправленную уязвимость, чтобы сбросить вредоносное ПО, позволяющее получить доступ к одной рабочей станции, после чего пошифровали всех критически важные для бизнес-операций системы ELTA.
При этом представители ELTA не поделились условиями выкупа, равно как и не подтвердили возможность утечки данных клиентов. До тех пор, пока все системы не будут проверены и восстановлены, агентство советует клиентам использовать дочернюю компанию ELTA Courier, которая не пострадала от кибератаки.
Куда больше не повезло Греции, где государственный почтовый оператор ELTA вынужден был прекратить работу после атаки с использованием ransomware.
Государственная почтовая служба Греции сообщила об обнаруженном инциденте в воскресенье. Как выяснили специалисты, злоумышленники использовали неисправленную уязвимость, чтобы сбросить вредоносное ПО, позволяющее получить доступ к одной рабочей станции, после чего пошифровали всех критически важные для бизнес-операций системы ELTA.
При этом представители ELTA не поделились условиями выкупа, равно как и не подтвердили возможность утечки данных клиентов. До тех пор, пока все системы не будут проверены и восстановлены, агентство советует клиентам использовать дочернюю компанию ELTA Courier, которая не пострадала от кибератаки.
В новый раунд вступили DeadBolt с производителем QNAP.
Как удалось обнаружить Censys, новая волна атак ransomware нацелена на сетевые хранилища (NAS). Жертвам атак выставляется требование выкупа в размере 0,03 биткойна (1200 долларов США) для восстановления зашифрованных файлов.
Операторы вредоносного ПО по-прежнему предлагают производителю сделку в надежде получить 5 биткойнов (200 000 долларов США) за информацию, связанную с уязвимостями, которые они используют в атаках, и 50 биткойнов (2 миллиона долларов США) за мастер-ключ, который можно использовать для восстановления файлов всех жертв.
QNAP предупредила клиентов о новых атаках DeadBolt в январе, посоветовав им немедленно обновить операционную систему QTS до последней версии и уменьшить уязвимость своих устройств. В феврале стало известно, что Deadbolt также нацелен на устройства NAS производства Asustor.
По данным Censys, количество устройств QNAP, зараженных DeadBolt, достигло пика 26 января, когда почти 5000 из 130 000 систем, доступных из Интернет, были заражены вредоносным ПО. QNAP в то время развернула принудительное обновление прошивки для защищенных устройств, что привело к значительному снижению числа заражений в течение следующих недель и к марту опустилось до 300 заражений.
Однако за последние дни произошел новый всплеск заражений устройств QNAP: 19 марта было взломано 1146 устройств, на 22 марта это число увеличилось почти до 1500.
Censys пока не располагают данными, является ли это новой атакой, нацеленной на разные версии операционной системы QTS, или же это последствия использования эксплойта, нацеленного на непропатченные устройства QNAP.
Однако ответ станет понятен исходя из того, чем ответит QNAP, и случится это достаточно скоро, ведь идти на сделку с DeadBolt напрочь отказались и уже не раз демонстрировали свою принципиальную позицию.
Как удалось обнаружить Censys, новая волна атак ransomware нацелена на сетевые хранилища (NAS). Жертвам атак выставляется требование выкупа в размере 0,03 биткойна (1200 долларов США) для восстановления зашифрованных файлов.
Операторы вредоносного ПО по-прежнему предлагают производителю сделку в надежде получить 5 биткойнов (200 000 долларов США) за информацию, связанную с уязвимостями, которые они используют в атаках, и 50 биткойнов (2 миллиона долларов США) за мастер-ключ, который можно использовать для восстановления файлов всех жертв.
QNAP предупредила клиентов о новых атаках DeadBolt в январе, посоветовав им немедленно обновить операционную систему QTS до последней версии и уменьшить уязвимость своих устройств. В феврале стало известно, что Deadbolt также нацелен на устройства NAS производства Asustor.
По данным Censys, количество устройств QNAP, зараженных DeadBolt, достигло пика 26 января, когда почти 5000 из 130 000 систем, доступных из Интернет, были заражены вредоносным ПО. QNAP в то время развернула принудительное обновление прошивки для защищенных устройств, что привело к значительному снижению числа заражений в течение следующих недель и к марту опустилось до 300 заражений.
Однако за последние дни произошел новый всплеск заражений устройств QNAP: 19 марта было взломано 1146 устройств, на 22 марта это число увеличилось почти до 1500.
Censys пока не располагают данными, является ли это новой атакой, нацеленной на разные версии операционной системы QTS, или же это последствия использования эксплойта, нацеленного на непропатченные устройства QNAP.
Однако ответ станет понятен исходя из того, чем ответит QNAP, и случится это достаточно скоро, ведь идти на сделку с DeadBolt напрочь отказались и уже не раз демонстрировали свою принципиальную позицию.
В компания HP предупреждают об уязвимостях, которые затрагивают сотни моделей принтеров LaserJet Pro, Pagewide Pro, OfficeJet, Enterprise, Large Format и DeskJet.
О первой проблеме сообщили специалисты из Trend Micro Zero Day Initiative. Угроза, отслеживаемой как CVE-2022-3942 связана с переполнением буфера и может привести к удаленному выполнению кода на уязвимом компьютере. Несмотря на то, что бага получила оценку серьезности 8,4 (высокая по CVSS) в HP ее определили как критическую. Видимо потому, что в Okta подтвердили информацию о 2,5% пострадавших от взлома клиентов в начале этого года.
Следующие угрозы безопасности, о которых предупреждают в компании, могут быть использованы для раскрытия информации, удаленного выполнения кода и отказа в обслуживании. Речь идет об ошибках CVE-2022-24291 (оценка 7,5 по CVSS), CVE-2022-24292 (9,8) и CVE-2022-24293 (9,8) о которых также поведали исследователи из Zero Day Initiative.
Компания HP выпустила обновления безопасности для большинства уязвимых продуктов, но увы не для всех. Для моделей без исправления компания предоставляет инструкции по смягчению последствий, которые в основном связаны с отключением LLMNR (разрешение имен Link-Local Multicast) в настройках сети. Также нет рекомендаций по устранению проблемы для одной из перечисленных моделей LaserJet Pro, но она помечена как ожидающая рассмотрения, поэтому обновления безопасности для нее должны стать доступными в ближайшее время.
Пользователи большинства девайсов могут посетить официальный портал загрузки программного обеспечения и драйверов HP, перейти к выбору своей модели устройства и установить последнюю доступную версию. Благо пока для наших соотечественников эта возможность имеется.
О первой проблеме сообщили специалисты из Trend Micro Zero Day Initiative. Угроза, отслеживаемой как CVE-2022-3942 связана с переполнением буфера и может привести к удаленному выполнению кода на уязвимом компьютере. Несмотря на то, что бага получила оценку серьезности 8,4 (высокая по CVSS) в HP ее определили как критическую. Видимо потому, что в Okta подтвердили информацию о 2,5% пострадавших от взлома клиентов в начале этого года.
Следующие угрозы безопасности, о которых предупреждают в компании, могут быть использованы для раскрытия информации, удаленного выполнения кода и отказа в обслуживании. Речь идет об ошибках CVE-2022-24291 (оценка 7,5 по CVSS), CVE-2022-24292 (9,8) и CVE-2022-24293 (9,8) о которых также поведали исследователи из Zero Day Initiative.
Компания HP выпустила обновления безопасности для большинства уязвимых продуктов, но увы не для всех. Для моделей без исправления компания предоставляет инструкции по смягчению последствий, которые в основном связаны с отключением LLMNR (разрешение имен Link-Local Multicast) в настройках сети. Также нет рекомендаций по устранению проблемы для одной из перечисленных моделей LaserJet Pro, но она помечена как ожидающая рассмотрения, поэтому обновления безопасности для нее должны стать доступными в ближайшее время.
Пользователи большинства девайсов могут посетить официальный портал загрузки программного обеспечения и драйверов HP, перейти к выбору своей модели устройства и установить последнюю доступную версию. Благо пока для наших соотечественников эта возможность имеется.
Forwarded from Social Engineering
👁 Конференции 2021. Что посмотреть?
• Black Hat — ежегодная конференция, которая объединяет в себе множество специалистов по информационной безопасности. Конференцию посещают как представители федеральных агентств и корпораций, так и хакеры. Видео докладов с Black Hat 2021 ты можешь найти на YT:
• SANS Threat Hunting & Incident Response Summit 2021. Отличный плейлист, где ведущие специалисты по #ИБ делятся инструментами и методами, которые используются для выявления злоумышленников, которые нацелены на конфиденциальную информацию в различных организациях. Плейлист.
• The SANS Pen Test Hackfest Summit & Training. Цель этой конференции — решение различных CTF задач и проведение пентеста. В плейлисте собраны крутые лекции которые будут полезны тем, кто интересуется CTF.
https://www.youtube.com/c/SANSOffensiveOperations/playlists
Если тебе интересна тема #CTF, то обрати внимание на нашу подборку CTF площадок и инструментов:
🚩 Игры с неведомым. Список CTF площадок.
🔑 CTF - Инструментарий.
• SANS DFIR Summit 2021. Конференция в которой освещается тема цифровой криминалистики (Форензики) и реагированию на инциденты. Кладезь полезной информации для тех, кто интересуется о новых инструментах и методах, применяемых в расследованиях. Плейлист.
Большое кол-во материала на тему форензики, ты можешь найти в нашем канале по хэштегу #Форензика.
• Blue Team Summit 2021. Конференция для Blue Team специалистов с огромным количеством полезной информации. Плейлист.
• Black Hat и DEF CON — эти две легендарные конференции собирают если и не всю хакерскую тусовку, то совершенно точно ошеломляющее количество легендарных людей. DEF CON Conference. Сборник различных плейлистов, на любой вкус.
‼️ Не забывай про полезный репозиторий, в котором собран cписок конференций по информационной безопасности с 2012 по 2020 года. https://github.com/PaulSec/awesome-sec-talks. Хоть этот репо не обновляется, в нем все равно можно найти полезную информацию а дополнительный материал в нашем канале, ты можешь найти по хештегу #ИБ. Твой S.E.
🖖🏻 Приветствую тебя user_name.
• Сегодня делюсь с тобой полезным видеоматериалом с крутых конференций, которые прошли в 2021 году и доступы на YT. Первое с чего мы начнем, это Black Hat.• Black Hat — ежегодная конференция, которая объединяет в себе множество специалистов по информационной безопасности. Конференцию посещают как представители федеральных агентств и корпораций, так и хакеры. Видео докладов с Black Hat 2021 ты можешь найти на YT:
• Black Hat USA 2021.• Black Hat Asia 2021.• Black Hat Europe 2021.• Обязательно ознакомься со статьей: 7 интересных хаков с Black Hat / DEF CON 2020• SANS Threat Hunting & Incident Response Summit 2021. Отличный плейлист, где ведущие специалисты по #ИБ делятся инструментами и методами, которые используются для выявления злоумышленников, которые нацелены на конфиденциальную информацию в различных организациях. Плейлист.
• The SANS Pen Test Hackfest Summit & Training. Цель этой конференции — решение различных CTF задач и проведение пентеста. В плейлисте собраны крутые лекции которые будут полезны тем, кто интересуется CTF.
https://www.youtube.com/c/SANSOffensiveOperations/playlists
Если тебе интересна тема #CTF, то обрати внимание на нашу подборку CTF площадок и инструментов:
🚩 Игры с неведомым. Список CTF площадок.
🔑 CTF - Инструментарий.
• SANS DFIR Summit 2021. Конференция в которой освещается тема цифровой криминалистики (Форензики) и реагированию на инциденты. Кладезь полезной информации для тех, кто интересуется о новых инструментах и методах, применяемых в расследованиях. Плейлист.
Большое кол-во материала на тему форензики, ты можешь найти в нашем канале по хэштегу #Форензика.
• Blue Team Summit 2021. Конференция для Blue Team специалистов с огромным количеством полезной информации. Плейлист.
• Black Hat и DEF CON — эти две легендарные конференции собирают если и не всю хакерскую тусовку, то совершенно точно ошеломляющее количество легендарных людей. DEF CON Conference. Сборник различных плейлистов, на любой вкус.
‼️ Не забывай про полезный репозиторий, в котором собран cписок конференций по информационной безопасности с 2012 по 2020 года. https://github.com/PaulSec/awesome-sec-talks. Хоть этот репо не обновляется, в нем все равно можно найти полезную информацию а дополнительный материал в нашем канале, ты можешь найти по хештегу #ИБ. Твой S.E.
VMware выпустили исправления для критических уязвимостей в системе безопасности, затрагивающих платформу Carbon Black App Control, которые могут быть использованы злоумышленником для выполнения произвольного кода на уязвимых установках в системах Windows.
VMware Carbon Black App Control — это решение для создания списка приложений, которое используется для блокировки серверов и критически важных систем, предотвращения нежелательных изменений и обеспечения постоянного соответствия нормативным требованиям.
Обе уязвимости CVE-2022-22951 и CVE-2022-22952 были обнаружены исследователем Яри Яаскеля и получили рейтинг 9,1 из 10 возможных в системе оценки CVSS. Вместе с тем, успешная эксплуатация уязвимостей требует того, чтобы злоумышленник уже вошел в систему как администратор или пользователь с высокими привилегиями.
CVE-2022-22951 описывается как уязвимость внедрения команд, которая может позволить аутентифицированному субъекту с высокими привилегиями, имеющему сетевой доступ к интерфейсу администрирования VMware App Control, выполнять команды на сервере из-за неправильной проверки ввода, что приводит к удаленному выполнению кода.
CVE-2022-22952 относится к уязвимости загрузки файлов, которая может быть использована злоумышленником с административным доступом к административному интерфейсу VMware App Control для загрузки специально созданного файла и выполнения кода в экземпляре Windows.
Недостатки затрагивают версии Carbon Black App Control 8.5.x, 8.6.x, 8.7.x и 8.8.x и устранены в версиях 8.5.14, 8.6.6, 8.7.4 и 8.8.2. Поскольку неисправленные ошибки VMware становятся востребованным вектором атаки, пользователям рекомендуется применить обновления, чтобы предотвратить потенциальную эксплуатацию.
VMware Carbon Black App Control — это решение для создания списка приложений, которое используется для блокировки серверов и критически важных систем, предотвращения нежелательных изменений и обеспечения постоянного соответствия нормативным требованиям.
Обе уязвимости CVE-2022-22951 и CVE-2022-22952 были обнаружены исследователем Яри Яаскеля и получили рейтинг 9,1 из 10 возможных в системе оценки CVSS. Вместе с тем, успешная эксплуатация уязвимостей требует того, чтобы злоумышленник уже вошел в систему как администратор или пользователь с высокими привилегиями.
CVE-2022-22951 описывается как уязвимость внедрения команд, которая может позволить аутентифицированному субъекту с высокими привилегиями, имеющему сетевой доступ к интерфейсу администрирования VMware App Control, выполнять команды на сервере из-за неправильной проверки ввода, что приводит к удаленному выполнению кода.
CVE-2022-22952 относится к уязвимости загрузки файлов, которая может быть использована злоумышленником с административным доступом к административному интерфейсу VMware App Control для загрузки специально созданного файла и выполнения кода в экземпляре Windows.
Недостатки затрагивают версии Carbon Black App Control 8.5.x, 8.6.x, 8.7.x и 8.8.x и устранены в версиях 8.5.14, 8.6.6, 8.7.4 и 8.8.2. Поскольку неисправленные ошибки VMware становятся востребованным вектором атаки, пользователям рекомендуется применить обновления, чтобы предотвратить потенциальную эксплуатацию.
VMware
VMSA-2022-0008
VMware Carbon Black App Control update addresses multiple vulnerabilities (CVE-2022-22951, CVE-2022-22952)
Исследователи из Splunk установили, сколько времени требуется различным штаммам ransomware для шифрования файлов на скомпрометированных системах.
В основу исследования были взяты 10 основных семейств ransomware, среди которых: Avaddon, Babuk, BlackMatter, Conti, DarkSide, LockBit, Maze, Mespinoza (PYSA), REvil и Ryuk. Шифровался подопытный массив из 98 561 файла общим размером около 53 Гб. Для чистоты эксперимента файлы хранились на четырех хостах — двух под управлением Windows 10 и двух под управлением Windows Server 2019.
Исследователи из Splunk провели 400 тестов шифрования с использованием различных инструментов, таких как собственное ведение журналов Windows, статистика Windows Perfmon, Microsoft Sysmon, Zeek и stoQ.
Замеры проходили по 10 образцам каждого семейства вредоносного ПО. Исследователи измерили время, которое потребовалось каждому образцу для шифрования 100 000 файлов, а в качестве итогового показателя того или иного штамма использовали усредненное значение. Помимо скорости и продолжительности шифрования, исследователи также изучали, как программа-вымогатель использует системные ресурсы.
Результаты показали, что LockBit стал самым быстрым со значением в 5 минут 50 секунд, за ним следует Babuk, у которого 6 минут 34 секунды. Avaddon достиг в среднем чуть более 13 минут, REvil зашифровал файлы примерно за 24 минуты, а BlackMatter и Darkside завершили шифрование за 45 минут. Conti зашифровал файлы менее чем за час, а Maze и Mespinoza показали самый худший результат - почти 2 часа. Среднее время по всем штаммам составило 43 минуты. Кстати, самый быстрый вариант LockBit шифровал 25 000 файлов в минуту.
Таким образом, после того, как процесс шифрования запущен у специалистов по ИБ есть не так много времени для реагирования, что указывает, по мнению Splunk, на чрезвычайную сложность реального противодействия угрозам ransomware. Кроме того, критические данные уже на начальном этапе могут оказаться зашифрованы.
С другой стороны, время является важным фактором обнаружения атак, это не единственным: существуют также периоды разведки, горизонтальное перемещение, кражу учетных данных, повышение привилегий, эксфильтрацию данных, отключение теневых копий и многое другое.
Анализ также показал, что объем памяти устройства, по-видимому, не оказывает существенного влияния на процесс. Однако скорость диска может привести к более быстрому шифрованию, но это реализуемо, если вредоносное ПО также может в полной мере использовать возможности ЦП.
Некоторые из штаммов были весьма эффективны, в то время как другие, как правило, использовали значительный объем ресурса процессора наряду с очень высокой скоростью доступа к диску.
При этом какой-либо прямой корреляции между использованием системных ресурсов и скоростью шифрования не обнаружено. Исследователи также отметили, что некоторые образцы ransomware работали хуже или даже аварийно завершали работу при развертывании на более быстрых тестовых системах.
В целом результаты Splunk демонстрируют, что необходимо сместить акцент с реагирования на инциденты на предотвращение заражения ransomware.
В основу исследования были взяты 10 основных семейств ransomware, среди которых: Avaddon, Babuk, BlackMatter, Conti, DarkSide, LockBit, Maze, Mespinoza (PYSA), REvil и Ryuk. Шифровался подопытный массив из 98 561 файла общим размером около 53 Гб. Для чистоты эксперимента файлы хранились на четырех хостах — двух под управлением Windows 10 и двух под управлением Windows Server 2019.
Исследователи из Splunk провели 400 тестов шифрования с использованием различных инструментов, таких как собственное ведение журналов Windows, статистика Windows Perfmon, Microsoft Sysmon, Zeek и stoQ.
Замеры проходили по 10 образцам каждого семейства вредоносного ПО. Исследователи измерили время, которое потребовалось каждому образцу для шифрования 100 000 файлов, а в качестве итогового показателя того или иного штамма использовали усредненное значение. Помимо скорости и продолжительности шифрования, исследователи также изучали, как программа-вымогатель использует системные ресурсы.
Результаты показали, что LockBit стал самым быстрым со значением в 5 минут 50 секунд, за ним следует Babuk, у которого 6 минут 34 секунды. Avaddon достиг в среднем чуть более 13 минут, REvil зашифровал файлы примерно за 24 минуты, а BlackMatter и Darkside завершили шифрование за 45 минут. Conti зашифровал файлы менее чем за час, а Maze и Mespinoza показали самый худший результат - почти 2 часа. Среднее время по всем штаммам составило 43 минуты. Кстати, самый быстрый вариант LockBit шифровал 25 000 файлов в минуту.
Таким образом, после того, как процесс шифрования запущен у специалистов по ИБ есть не так много времени для реагирования, что указывает, по мнению Splunk, на чрезвычайную сложность реального противодействия угрозам ransomware. Кроме того, критические данные уже на начальном этапе могут оказаться зашифрованы.
С другой стороны, время является важным фактором обнаружения атак, это не единственным: существуют также периоды разведки, горизонтальное перемещение, кражу учетных данных, повышение привилегий, эксфильтрацию данных, отключение теневых копий и многое другое.
Анализ также показал, что объем памяти устройства, по-видимому, не оказывает существенного влияния на процесс. Однако скорость диска может привести к более быстрому шифрованию, но это реализуемо, если вредоносное ПО также может в полной мере использовать возможности ЦП.
Некоторые из штаммов были весьма эффективны, в то время как другие, как правило, использовали значительный объем ресурса процессора наряду с очень высокой скоростью доступа к диску.
При этом какой-либо прямой корреляции между использованием системных ресурсов и скоростью шифрования не обнаружено. Исследователи также отметили, что некоторые образцы ransomware работали хуже или даже аварийно завершали работу при развертывании на более быстрых тестовых системах.
В целом результаты Splunk демонстрируют, что необходимо сместить акцент с реагирования на инциденты на предотвращение заражения ransomware.
Под занавес 2021 года специалисты из Volexity обнаружили вариант вредоносного ПО для macOS, известный как Gimmick и не абы кого, а китайской APT, отслеживаемой как Storm Cloud.
Storm Cloud известны тем, что занимаются целевым кибершпионажем против организаций в Азии. В своих атаках группировка полагается на встроенные утилиты, вредоносное ПО и инструменты с открытым исходным кодом. Gimmick — это семейство кроссплатформенных вредоносных программ, использующих общедоступные облачные сервисы для управления и контроля (C&C) и предоставляющих злоумышленникам широкий спектр возможностей.
Вариант вредоносного ПО, был обнаружен специалистами на MacBook Pro с macOS 11.6 (Big Sur), который в основном написан на Objective C, в то время как, ранее наблюдаемые версии для Windows были построены на .NET и Delphi. Однако все варианты имеют одинаковую архитектуру C&C, поведение и пути к файлам. По словам исследователей, Gimmick был настроен для связи исключительно с его C&C-сервером на базе Google Диска и работал только в рабочие дни, чтобы слиться с сетевым трафиком целевой организации.
Вредоносная программа может получать команды C&C для сбора системной информации, загрузки или скачивания файлов, а также для выполнения команд терминала и дополнительных инструкций. Анализ зловреда показал, что его работа очень асинхронна и что злоумышленники поддерживают каталог Google Диска для каждого из зараженных хостов.
Исследователи отмечают, что Gimmick представляет собой сложное семейство вредоносных программ, в том числе из-за его асинхронной структуры, а его миграция на macOS предполагает, что Storm Cloud является хорошо обеспеченным соответствующими ресурсами и единственным действующим субъектом угроз, использующим эту малварь.
На прошлой неделе Apple выпустила новые сигнатуры для XProtect и MRT, чтобы защитить компьютеры Mac от Gimmick.
Storm Cloud известны тем, что занимаются целевым кибершпионажем против организаций в Азии. В своих атаках группировка полагается на встроенные утилиты, вредоносное ПО и инструменты с открытым исходным кодом. Gimmick — это семейство кроссплатформенных вредоносных программ, использующих общедоступные облачные сервисы для управления и контроля (C&C) и предоставляющих злоумышленникам широкий спектр возможностей.
Вариант вредоносного ПО, был обнаружен специалистами на MacBook Pro с macOS 11.6 (Big Sur), который в основном написан на Objective C, в то время как, ранее наблюдаемые версии для Windows были построены на .NET и Delphi. Однако все варианты имеют одинаковую архитектуру C&C, поведение и пути к файлам. По словам исследователей, Gimmick был настроен для связи исключительно с его C&C-сервером на базе Google Диска и работал только в рабочие дни, чтобы слиться с сетевым трафиком целевой организации.
Вредоносная программа может получать команды C&C для сбора системной информации, загрузки или скачивания файлов, а также для выполнения команд терминала и дополнительных инструкций. Анализ зловреда показал, что его работа очень асинхронна и что злоумышленники поддерживают каталог Google Диска для каждого из зараженных хостов.
Исследователи отмечают, что Gimmick представляет собой сложное семейство вредоносных программ, в том числе из-за его асинхронной структуры, а его миграция на macOS предполагает, что Storm Cloud является хорошо обеспеченным соответствующими ресурсами и единственным действующим субъектом угроз, использующим эту малварь.
На прошлой неделе Apple выпустила новые сигнатуры для XProtect и MRT, чтобы защитить компьютеры Mac от Gimmick.
Volexity
Storm Cloud on the Horizon: GIMMICK Malware Strikes at macOS
In late 2021, Volexity discovered an intrusion in an environment monitored as part of its Network Security Monitoring service. Volexity detected a system running frp, otherwise known as fast reverse […]
В последний день лета 2021 года мы написали большой пост про выявленные критические уязвимости в промышленной системе управления энергопотреблением DIAEnergy от тайваньской компании Delta Electronics. Была дана комплексная оценка критичности этих дырок - 9.8.
Процитируем сами себя - "DIAEnergy - это промышленная система управления энергопотреблением (IEMS), которая используется крупными промышленными компаниями для визуализации и оптимизации энергопотребления производственных процессов, особенно оборудования с высоким потреблением. Потенциально хакер может манипулировать данными системы и влиять на энергопотоки, направленные на те или иные участки производства".
Теперь тема всплыла снова. Уже с учетом новых реалий. Пристегнитесь.
Как сообщают Security Week, за последний год в DIAEnergy были выявлены целых 30 уязвимостей, 22 из которых - критические. Часть из них была устранена производителем в обновлении 1.8, выпущенном в сентябре прошлого года.
Однако бОльшая часть дырок закрыта в свежем обновлении 1.08.02.004. И все бы хорошо, но есть одна особенность - это обновление не распространяется публично. По крайней мере до 30 июня 2022 года. Для того, чтобы устранить уязвимости в DIAEnergy, необходимо сделать персональный запрос в службу поддержки Delta Electronics, а уже они решат - присылать обновление или нет. Про последствия, полагаем, рассказывать не надо.
Напомним, что Тайвань присоединился к санкциям против России, что вполне может быть заявлено Delta Electronics как основание для отказа в предоставление апдейта. Другой потенциальный "потерпевший" - Китай, с котором у Тайваня вот-вот начнутся взрослые разборки.
Мы не знаем, используется ли DIAEnergy китайскими компаниями, а вот то, что этот продукт был представлен дистрибьюторами Delta Electronics на российском рынке - это совершенно точно. Находится простым поиском в Яндексе за одну минуту.
#АСУТП #ICS
Процитируем сами себя - "DIAEnergy - это промышленная система управления энергопотреблением (IEMS), которая используется крупными промышленными компаниями для визуализации и оптимизации энергопотребления производственных процессов, особенно оборудования с высоким потреблением. Потенциально хакер может манипулировать данными системы и влиять на энергопотоки, направленные на те или иные участки производства".
Теперь тема всплыла снова. Уже с учетом новых реалий. Пристегнитесь.
Как сообщают Security Week, за последний год в DIAEnergy были выявлены целых 30 уязвимостей, 22 из которых - критические. Часть из них была устранена производителем в обновлении 1.8, выпущенном в сентябре прошлого года.
Однако бОльшая часть дырок закрыта в свежем обновлении 1.08.02.004. И все бы хорошо, но есть одна особенность - это обновление не распространяется публично. По крайней мере до 30 июня 2022 года. Для того, чтобы устранить уязвимости в DIAEnergy, необходимо сделать персональный запрос в службу поддержки Delta Electronics, а уже они решат - присылать обновление или нет. Про последствия, полагаем, рассказывать не надо.
Напомним, что Тайвань присоединился к санкциям против России, что вполне может быть заявлено Delta Electronics как основание для отказа в предоставление апдейта. Другой потенциальный "потерпевший" - Китай, с котором у Тайваня вот-вот начнутся взрослые разборки.
Мы не знаем, используется ли DIAEnergy китайскими компаниями, а вот то, что этот продукт был представлен дистрибьюторами Delta Electronics на российском рынке - это совершенно точно. Находится простым поиском в Яндексе за одну минуту.
#АСУТП #ICS
Telegram
SecAtor
Новые критические уязвимости в ICS (Industrial Control Systems, АСУ ТП) - все как мы любим. Да какие дырки!
Сначала про восемь новых уязвимостей в промышленной системе управления энергопотреблением DIAEnergy от компании Delta Electronics сообщило в конце…
Сначала про восемь новых уязвимостей в промышленной системе управления энергопотреблением DIAEnergy от компании Delta Electronics сообщило в конце…
Выявлены критические уязвимости, которые могут быть использованы для удаленного взлома контроллеров SCADA российской компании Текон Автоматика, которые широко используется организациями в России.
Текон Автоматика - крупный поставщик оборудования и программного обеспечения для диспетчеризации лифтов и зданий, учета воды и тепла, и в целом для сред SCADA. Согласно телеметрии Shodan, в сети доступно более 117 потенциально уязвимых контроллеров Tekon.
Уязвимости в безопасности обнаружил исследователь Хосе Бертин, чем и поделился в с воем блоге. Исследователь представил PoC, который позволил ему получить привилегии суперпользователя и получить полный контроль над целевым устройством, что, как мы все понимаем, может привести к серьезным нарушениям.
Эксперт обнаружил учетные данные по умолчанию (учетные данные по умолчанию — admin:secret) в руководствах по прошивке и программному обеспечению для своих моделей контроллеров зданий.
Что более важно, все эти устройства могут быть отключены одновременно и удаленно. Бертин отметил, что злоумышленник при реализации атаки может выполнить самые радикальные действия, например отключить устройство или внедрить бэкдор.
Устройства могут быть взломаны из-за использования учетных данных по умолчанию, которые обеспечивают доступ с правами администратора к пользовательскому интерфейсу контроллера Tekon. Однако исследователь утверждает, что нашел способ выполнять код с привилегиями суперпользователя, злоупотребляя функцией, которая позволяет пользователям добавлять плагины. Они представляют собой сценарии LUA, которые можно добавить в специальный раздел пользовательского интерфейса.
Бертен признался, что не связывался с производителем, прежде чем обнародовать результаты своих исследований, но насколько нам известно, Текон уже в курсе проблемы пост-аутентификации RCE на основе вредоносного сценария подключаемого модуля LUA в контроллерах SCADA.
Будем надеется на скорую реакцию как производителя, так и его клиентов, особенно принимая во внимание текущую обстановку в сфере инфосека.
#АСУТП #ICS
Текон Автоматика - крупный поставщик оборудования и программного обеспечения для диспетчеризации лифтов и зданий, учета воды и тепла, и в целом для сред SCADA. Согласно телеметрии Shodan, в сети доступно более 117 потенциально уязвимых контроллеров Tekon.
Уязвимости в безопасности обнаружил исследователь Хосе Бертин, чем и поделился в с воем блоге. Исследователь представил PoC, который позволил ему получить привилегии суперпользователя и получить полный контроль над целевым устройством, что, как мы все понимаем, может привести к серьезным нарушениям.
Эксперт обнаружил учетные данные по умолчанию (учетные данные по умолчанию — admin:secret) в руководствах по прошивке и программному обеспечению для своих моделей контроллеров зданий.
Что более важно, все эти устройства могут быть отключены одновременно и удаленно. Бертин отметил, что злоумышленник при реализации атаки может выполнить самые радикальные действия, например отключить устройство или внедрить бэкдор.
Устройства могут быть взломаны из-за использования учетных данных по умолчанию, которые обеспечивают доступ с правами администратора к пользовательскому интерфейсу контроллера Tekon. Однако исследователь утверждает, что нашел способ выполнять код с привилегиями суперпользователя, злоупотребляя функцией, которая позволяет пользователям добавлять плагины. Они представляют собой сценарии LUA, которые можно добавить в специальный раздел пользовательского интерфейса.
Бертен признался, что не связывался с производителем, прежде чем обнародовать результаты своих исследований, но насколько нам известно, Текон уже в курсе проблемы пост-аутентификации RCE на основе вредоносного сценария подключаемого модуля LUA в контроллерах SCADA.
Будем надеется на скорую реакцию как производителя, так и его клиентов, особенно принимая во внимание текущую обстановку в сфере инфосека.
#АСУТП #ICS
Medium
Post auth RCE based in malicious LUA plugin noscript upload SCADA controllers located in Russia
Hello World
Пацан к успеху шел, не получилось, не фартануло.
Полиция Лондона арестовала семь участников хакерской группы Lapsus$ (также известной как DEV-0537). За последние месяцы Lapsus$ отметились весьма дерзкими и громкими атаками на крупные компаний, среди которых оказались IT-гиганты Microsoft, Nvidia, Samsung и Ubisoft.
Общими усилиями групп исследователей и во многом благодаря самим подельникам задержанных из киберподполья правоохранителям удалось отдеанонить хакеров, которые к этому времени заработали почти $14 млн в биткоинах, ставших в итоге «яблоком раздора» группы.
Bloomberg сообщило, что лидером хакерской группы Lapsus$ был обыкновенный 16-летний подросток из Оксфорда, проживающий в Лондоне, остальные участники также молодежь в возрасте от 16 до 21 года.
Лидер сообщества, известный в даркнете как White или Breachbase, страдает аутизмом и посещает специальную образовательную школу в Оксфорде. По словам отца мальчика, до недавних пор ему ничего не было известно о занятии сына.
Личная информация подростка-хакера из Англии, в том числе его адрес и информация о его родителях, была размещена в Интернет конкурирующими хакерами. Но, как стало известно, Unit 221B отслеживали юного хакера почти год, и им удалось связать его с деятельностью Lapsus$ и другими взломами. Команде удалось узнать настоящее имя мальчика в середине прошлого года, еще до того, как его данные были слиты в сеть недоброжелателями.
Мотивы атак Lapsus$ до сих пор неясны до конца, но судя по мощной пиар-кампании, организованной хакерами, можно предположить, что группа была мотивирована деньгами и известностью. В отличие от большинства других групп DEV-0537, похоже, не заметали следы.
Сразу после арестов, хакеры опубликовали сообщение у себя в канале: «У нескольких наших участников отпуск до 30.03.2022. Мы можем какое-то время помолчать. Спасибо, что поняли нас. Мы постараемся слить материал как можно скорее».
Однако, по мнению ресерчеров, это вовсе не знаменует заката Lapsus$. Предполагается, что в Великобритании проживали далеко не все члены группировки — часть из них находится в Южной Америке, в том числе, по данным следствия, еще одним членом Lapsus$ является подросток из Бразилии.
Во всяком случае, подписота на канале растет, а в чат добавляются всё новые модеры.
Полиция Лондона арестовала семь участников хакерской группы Lapsus$ (также известной как DEV-0537). За последние месяцы Lapsus$ отметились весьма дерзкими и громкими атаками на крупные компаний, среди которых оказались IT-гиганты Microsoft, Nvidia, Samsung и Ubisoft.
Общими усилиями групп исследователей и во многом благодаря самим подельникам задержанных из киберподполья правоохранителям удалось отдеанонить хакеров, которые к этому времени заработали почти $14 млн в биткоинах, ставших в итоге «яблоком раздора» группы.
Bloomberg сообщило, что лидером хакерской группы Lapsus$ был обыкновенный 16-летний подросток из Оксфорда, проживающий в Лондоне, остальные участники также молодежь в возрасте от 16 до 21 года.
Лидер сообщества, известный в даркнете как White или Breachbase, страдает аутизмом и посещает специальную образовательную школу в Оксфорде. По словам отца мальчика, до недавних пор ему ничего не было известно о занятии сына.
Личная информация подростка-хакера из Англии, в том числе его адрес и информация о его родителях, была размещена в Интернет конкурирующими хакерами. Но, как стало известно, Unit 221B отслеживали юного хакера почти год, и им удалось связать его с деятельностью Lapsus$ и другими взломами. Команде удалось узнать настоящее имя мальчика в середине прошлого года, еще до того, как его данные были слиты в сеть недоброжелателями.
Мотивы атак Lapsus$ до сих пор неясны до конца, но судя по мощной пиар-кампании, организованной хакерами, можно предположить, что группа была мотивирована деньгами и известностью. В отличие от большинства других групп DEV-0537, похоже, не заметали следы.
Сразу после арестов, хакеры опубликовали сообщение у себя в канале: «У нескольких наших участников отпуск до 30.03.2022. Мы можем какое-то время помолчать. Спасибо, что поняли нас. Мы постараемся слить материал как можно скорее».
Однако, по мнению ресерчеров, это вовсе не знаменует заката Lapsus$. Предполагается, что в Великобритании проживали далеко не все члены группировки — часть из них находится в Южной Америке, в том числе, по данным следствия, еще одним членом Lapsus$ является подросток из Бразилии.
Во всяком случае, подписота на канале растет, а в чат добавляются всё новые модеры.
Bbc
Lapsus$: Oxford teen accused of being multi-millionaire cyber-criminal
Police say they've arrested seven teenagers as part of their investigation into a hacking group.
И полная изоляция от остального мира им не преграда, когда речь идет о северокорейских хакерах, более известных как Lazarus Group.
В этот раз хакеры использовали уязвимость нулевого дня для удаленного выполнения кода в веб-браузере Google Chrome еще за месяц до того, как стало доступно исправление. Злоумышленники эксплуатировали 0-day на сотнях целей в США пытаясь заразить компьютеры людей, работающих в самых разных отраслях, включая СМИ, ИТ, криптовалюты и финансовые компании.
Группа анализа угроз Google (TAG) заявила, что уязвимость, отслеживаемая как CVE-2022-0609, была использована двумя отдельными северокорейскими хакерскими группами. Обе группы развернули один и тот же набор эксплойтов на веб-сайтах, которые либо принадлежали законным организациям и были взломаны, либо были созданы специально для доставки вредоносного кода ничего не подозревающим посетителям.
Одна группа работала в рамках операции под названием Dream Job и охватила более 250 человек, работающих в 10 различных компаниях. А другая группа, известная уже как AppleJeus, нацелилась на 85 пользователей.
Как заверяют эксперты, эти группы работают на одну и ту же организацию с общей цепочкой поставок, отсюда и использование одного и того же набора эксплойтов, но каждая из них работает с разным набором задач и использует разные методы. Также, исследователь группы анализа угроз Google Адам Вайдеманн считает, что возможно другие злоумышленники, поддерживаемые правительством Северной Кореи, тоже имеют доступ к тому же набору эксплойтов.
Операция Dream Job проводится по крайней мере с июня 2020 года, о чем когда-то говорили специалисты их ClearSky, которые наблюдали за группой, нацеленной на оборонные и государственные компании. Тогда злоумышленники были нацелены на конкретных сотрудников организаций с поддельными предложениями «работы мечты» (откуда собственно и название) в таких компаниях, как Boeing, McDonnell Douglas и BAE.
Хакеры придумали сложную, но очень интересную схему социальной инженерии, в которой использовались фиктивные профили LinkedIn, электронные письма, сообщения WhatsApp и телефонные звонки. Цель кампании состояла в том, чтобы украсть деньги и собрать разведданные.
Как и в предыдущей кампании хакеры зарегистрировали новые домены и скомпрометировали пару легитимных. Кроме того, исследователи обнаружили доказательства того, что злоумышленников интересовали не только пользователи Google Chrome, они также проверяли пользователей Safari на macOS и Firefox, направляя их на конкретные ссылки с известными серверами эксплуатации.
Однако во время анализа наблюдаемые URL-адреса не возвращали никакого ответа. Вероятно в загашнике у Lazarus Group еще осталась пара пасхалок для последующих атак.
В этот раз хакеры использовали уязвимость нулевого дня для удаленного выполнения кода в веб-браузере Google Chrome еще за месяц до того, как стало доступно исправление. Злоумышленники эксплуатировали 0-day на сотнях целей в США пытаясь заразить компьютеры людей, работающих в самых разных отраслях, включая СМИ, ИТ, криптовалюты и финансовые компании.
Группа анализа угроз Google (TAG) заявила, что уязвимость, отслеживаемая как CVE-2022-0609, была использована двумя отдельными северокорейскими хакерскими группами. Обе группы развернули один и тот же набор эксплойтов на веб-сайтах, которые либо принадлежали законным организациям и были взломаны, либо были созданы специально для доставки вредоносного кода ничего не подозревающим посетителям.
Одна группа работала в рамках операции под названием Dream Job и охватила более 250 человек, работающих в 10 различных компаниях. А другая группа, известная уже как AppleJeus, нацелилась на 85 пользователей.
Как заверяют эксперты, эти группы работают на одну и ту же организацию с общей цепочкой поставок, отсюда и использование одного и того же набора эксплойтов, но каждая из них работает с разным набором задач и использует разные методы. Также, исследователь группы анализа угроз Google Адам Вайдеманн считает, что возможно другие злоумышленники, поддерживаемые правительством Северной Кореи, тоже имеют доступ к тому же набору эксплойтов.
Операция Dream Job проводится по крайней мере с июня 2020 года, о чем когда-то говорили специалисты их ClearSky, которые наблюдали за группой, нацеленной на оборонные и государственные компании. Тогда злоумышленники были нацелены на конкретных сотрудников организаций с поддельными предложениями «работы мечты» (откуда собственно и название) в таких компаниях, как Boeing, McDonnell Douglas и BAE.
Хакеры придумали сложную, но очень интересную схему социальной инженерии, в которой использовались фиктивные профили LinkedIn, электронные письма, сообщения WhatsApp и телефонные звонки. Цель кампании состояла в том, чтобы украсть деньги и собрать разведданные.
Как и в предыдущей кампании хакеры зарегистрировали новые домены и скомпрометировали пару легитимных. Кроме того, исследователи обнаружили доказательства того, что злоумышленников интересовали не только пользователи Google Chrome, они также проверяли пользователей Safari на macOS и Firefox, направляя их на конкретные ссылки с известными серверами эксплуатации.
Однако во время анализа наблюдаемые URL-адреса не возвращали никакого ответа. Вероятно в загашнике у Lazarus Group еще осталась пара пасхалок для последующих атак.