DoorDash - крупнейшая платформа для онлайн-заказов и доставки еды в США, пострадала от хакерской атаки, в результате которой были раскрыты данные клиентов и сотрудников, а также некоторые платежные сведения.

В DoorDash не стали скрывать инцидент и подтвердили утечку, причем сообщили, что злоумышленники украли сведения у стороннего поставщика, которые затем использовались для получения доступа к некоторым внутренним инструментам компании.

По заявлению DoorDash инцидент затронул небольшой процент пользователей, но в все же отказались сообщать сколько их всего в настоящее время и предоставлять точное количество затронутых пользователей.

Кроме того, стороннего поставщика по чьей вине произошел инцидент также не назвали, но пояснили, что взлом поставщика связан с фишинговой кампанией, которая скомпрометировала гиганта Twilio 4 августа, о которой мы уже сообщали ранее.

Специалисты Group-IB связали эти атаки с более широкой фишинговой кампанией хакерской группировки 0ktapus, которая украла учетные данные на более чем 10 000 сотрудников по меньшей мере из 130 организаций, включая Twilio, других интернет-компаний и аутсорсинговых поставщиков услуг с марта этого года.

В DoorDash заявили, что злоумышленники получили доступ к именам, адресам электронной почты, адресам доставки и номерам телефонов клиентов. Для некоторых пользователей хакеры получили доступ к информации о платежных картах, включая тип карты и последние четыре цифры номера.

В целях локализации угроз в компании отключили стороннему поставщику доступ к своим системам после обнаружения подозрительной активности.

С момента обнаружения компрометации компания привлекла неназванного эксперта по кибербезопасности для помощи в текущем расследовании и принимает соответствующие меры, как заявили представители «по дальнейшему усилению и без того надежных» систем безопасности DoorDash.

Отчасти надменное заявление, так как это не первый случай, когда хакеры похищают данные клиентов из систем DoorDash.

В 2019 году компания сообщала об утечке, затронувшей 4,9 миллиона клиентов, курьеров и продавцов, чьи данные были украдены злоумышленниками, но в DoorDash тогда также обвинили во взломе неназванного стороннего поставщика услуг.

​😈 Черный профайлинг. Чтение и поиск индивидуальных уязвимостей человека.

Основы социальной инженерии не претерпели существенных изменений за века — менялись только формы и детали приемов.

🖖🏻 Приветствую тебя user_name.

• Социальная инженерия включает в себя множество различных аспектов, именно поэтому, я рекомендую тебе не только изучать полезные и вспомогательные инструменты, читать статьи по пентесту, фишингу, взломам, но и уделять время таким направлениям как #профайлинг, #психология, #НЛП.

• Как думаешь, что может помочь тебе легко установить контакт с любым человеком, а затем аккуратно «Хакнуть мозг» и получить желаемое: информацию, ресурсы, конкретные действия? Благодаря сегодняшней информации, ты узнаешь, как добиться того, чтобы другой человек делал то, что тебе необходимо, и не отдавал себе в этом отчет! Именно такой результат дает знание основ социальной инженерии и черного профайлинга.

* Черный профайлинг - специально разработанные спецслужбами технологии для быстрого и надежного «считывания» людей.

• Для изучения и отправной точки в сфере профайлинга и #СИ, я рекомендую обратить внимание на следующий видеоматериал:

• Как правильно читать человека?
• Что можно сказать о человеке по рукопожатию?
• Как себя ведёт уверенный человек. Анализ языка тела.
• Анализ уверенного поведения.
• Можно ли контролировать своё поведение?
• Как уходят от неудобных вопросов? Вербальный анализ.
• Жесты, которые выдают неуверенность.
• Как распознать ложь? Анализ поведения.
• Как вычислить ЛОЖЬ. Формула лжи.
• Главные правила обнаружения лжи.
• Распознавание лжи по поведению. Мифы и ошибки.
• Как ведёт себя ЛЖЕЦ ? Мифы, стратегии поведения, исследования.
• Психотехнологии политических шоу на ТВ.
• Скрытые сигналы доминирования. Поведение в конфликтных ситуациях.
• Как брать контроль над чужими эмоциями в конфликте.
• Поведение при ментальном противостоянии.
• РАЗБОР НАСТОЯЩЕГО ДЕТЕКТИВА: Как СКРЫТО вытягивать информацию.
• Как стать Наблюдательнее и Умнее?
• Как берут под контроль личность человека.
• Социальные ХИЩНИКИ среди нас! Что их выдаёт?
• Что делать в очень неловкой ситуации?
• Как защитить себя от манипуляций и давления.
• Как защитить себя от токсичного собеседника.
• Как обманывает нас мозг/Ошибки мышления/Искажения.
• Как стать рациональнее и хладнокровнее.

P.S. Не забывай про нашу подборку полезного материала для повышения уровня СИ в межличностной коммуникации: https://news.1rj.ru/str/Social_engineering/2195 Этот материал поможет прокачать твои навыки #СИ.

Твой S.E. #Профайлинг #СИ ё#НЛП #Психология

Новый штамм ransomware Agenda обнаружили исследователи Trend Micro, который уже показал себя в дикой природе и держит в страхе учреждения здравоохранения и образования Индонезии, Саудовской Аравии, Южной Африки и Таиланда.

Ransomware написан на языке Golang и может быть настроен для каждой жертвы.

Из примечательного Agenda способен перезагружать систему в безопасном режиме и останавливать некоторые специфичные для сервера процессы и службы, что позволяет ему работать в нескольких режимах.

Agenda предоставляется, как услуга и злоумышленник под ником Qilin, рекламирующий программу-вымогатель в даркнете, предоставляет партнерам возможность адаптировать бинарные полезные нагрузки для каждой жертвы, позволяя операторам выбирать примечание о выкупе, расширение шифрования, а также список процессов и сервисов для завершения до начала процесса шифрования.

Кроме того, малварь включает в себя методы уклонения от обнаружения, используя функцию «безопасного режима» устройства, что позволяет незаметно осуществлять процедуру шифрования файлов.

Помимо использования данных локальной учетной записи для запуска бинарного файла вымогателя, вредоносное ПО имеет возможность заразить всю сеть и ее общие драйверы.

После успешного шифрования Agenda переименовывает файлы с настроенным расширением, удаляет примечание о выкупе в каждом зашифрованном каталоге и перезагружает машину в обычном режиме.

Запрашиваемая сумма выкупа варьируется в зависимости от жертвы в диапазоне от 50 000 до 800 000 долларов.

В одной из наблюдаемых цепочек атак с использованием Agenda первоначальной точкой входа служил общедоступный сервер Citrix и злоумышленникам понадобилось менее двух дней для окончательного развертывания программы-вымогателя.

Trend Micro заявила, что обнаружила сходство исходного кода между семействами программ-вымогателей Black Basta , Black Matter и REvil (он же Sodinokibi).

Agenda является уже четвертым штаммом после BlackCat, Hive и Luna, использующим язык программирования Go.

Никто не стоит на месте и ransomware продолжают развиваться, разрабатывая более изощренные методы и приемы для захвата организаций.

Ведущего поставщика библиотечного контента и программного обеспечения в США и во всем мире атаковали с использованием ransomware.

Baker & Taylor основана более 190 лет назад в Шарлотте, Северная Каролина, в настоящее время она обслуживает более 5000 публичных и академических библиотек.

Компания подтвердила, что все еще работает над восстановлением IT-систем после инцидента, который произошел более недель назад.

Как сообщила Baker & Taylor, ее серверы были отключены после сбоя в критически важных для бизнеса системах, затронувшего телефонные системы, офисы и сервисные центры компании.

В официальном заявлении, руководство признало себя жертвой ransomware, правда не раскрыло, какая из групп стоит за атакой.

Судя по всему, Baker & Taylor не будет платить выкуп, а значит в скором времени с некоторой частью платного контента можно будет ознакомиться прямо на одном из DLS.

JFrog раскрыли подробности нескольких уязвимостей, влияющих на протокол OPC UA, в том числе баги, которые были представлены на Pwn2Own Miami 2022 в начале этого года.

OPC UA (Open Platform Communications United Architecture) представляет собой протокол связи между машинами, который используется многими поставщиками промышленных решений для обеспечения взаимодействия между различными типами промышленных систем управления ICS.

Исследователи JFrog обнаружили несколько уязвимостей в OPC UA и раскрыли некоторые из них на апрельском конкурсе, заработав в общей сложности 10 000 долларов за взлом АСУ ТП.

В категории серверов OPC UA на Pwn2Own они продемонстрировали два эксплойта отказа в обслуживании (DoS), нацеленные на сервер OPC UA .NET Standard, сервер с открытым исходным кодом, используемый сотнями других репозиториев на GitHub, и демонстрационный сервер Unified Automation OPC UA C++.

Обе уязвимости могут быть использованы для вызова DoS сервера OPC UA, что на практике может оказать крайне негативное влияние на АСУ ТП и привести к нарушению критических процессов.

Кроме того, исследователи JFrog сообщили о восьми других уязвимостях в Unified Automation. Проблемы были обнаружены в SDK OPC UA Server на основе Unified Automation C++ и устранены в версии 1.7.7 SDK.

При этом две из них могут позволить злоумышленнику с повышенными привилегиями добиться RCE на сервере. 

В виду ограничений по времени и стабильности, ошибки не эксплуатировались в рамках Pwn2Own, однако технические одробности все же были изложены JFrog в отдельной категории своего блога.

Несмотря на то, что RCE-эксплойты нестабильны, исследователи все же полагают, что их можно доработать и применять в дикой природе.

В целом, технические особенности, раскрытых JFrog уязвимостей, имеют важную практическую ценность, открывая путь для дальнейшего изучения вопросов безопасности промышленного стека OPC UA.

͏Индийский авиаперевозчик Akasa Air помимо отправки в полет пассажиров, так же успешно пускал «по ветру» и их конфиденциальные данные.

Проблему неправильной конфигурации обнаружил ресерчер Ashutosh Barot, который заметил, что в процессе регистрации учетной записи раскрываются как имена, пол, адреса электронной почты и номера телефонов других пользователей.

Все после того, как он обнаружил HTTP-запрос, в котором было указано его имя, адрес электронной почты, номер телефона, пол и т.д. в формате JSON.

Изменив некоторые параметры в запросе, исследователь увидеть персональные данные другого пользователя, о чем сообщил в Индийскую группу реагирования на компьютерные чрезвычайные ситуации CERT-In.

Получив отчет об ошибке, компания заявила, что временно отключила своею систему для исправления уязвимостей. 

Примечательно, что ошибка была обнаружена 7 августа 2022 года, ровно в тот же день, когда авиакомпания приступила к работе и запустила первые рейсы.

Akasa Air напрямую уведомила пострадавших пользователей об инциденте и подчеркнула, что информация о перелетах или платежные сведения пассажиров не были доступны, а доказательств того, что проблема могла использоваться в реальных условиях, не получено.

Учитывая, что на поиск проблемы у ресерчера ушло всего около 30 минут, позиция авиаперевозчика вызывает сомнения, а масштаб утечки до конца непонятен (во всяком случае пока что).

Будем посмотреть.

Ресерчеры Технологического института Джорджии в рамках масштабного исследования прошерстили более 400 000 резервных копий веб-серверов за период с июля 2012 года по июль 2020 года, обнаружив более 47 000 вредоносных плагинов на 25 000 уникальных сайтах WordPress.

А главное, что более 94% этих плагинов (более 44 000) продолжают функционировать и по сей день.

Более 3600 выявленных вредоносных плагинов были приобретены на легальных торговых площадках, таких как CodeCanyon, Easy Digital Downloads и ThemeForest. При том, что большинство этих плагинов не использовали даже обфускацию.

Для достижения основных задач исследования ресерчерам пришлось разработать автоматизированную структуру для обнаружения и отслеживания вредоносных плагинов, которую назвали YODA. Как раз в нее подгрузили все резервные копии веб-сайтов клиентов провайдера CodeGuard.

По словам исследователей, злоумышленники приобретают кодовую базу популярных бесплатных плагинов, добавляя затем вредоносный функционал, после чего ожидают обновлений со стороны пользователей.

В других случаях злоумышленники распространяли вредоносные плагины через пиратские версии. Исследователи также обнаружили более 6000 плагинов, которые выдавали себя за пробные версии платных плагинов.

В результате анализа всех выявленных вредоносных плагинов установлено, что более 10 000 использовали веб-шеллы и обфускацию кода. Были и случаи заражения от плагина к плагину, когда вредоносный плагин заражает другие плагины на том же веб-сервере, копируя его поведение.

Во многих случаях злоумышленники злоупотребляли инфраструктурой для внедрения вредоносных плагинов на веб-сайты, а затем пытались сохранить доступ к веб-серверам.

Исследователи поделились результатами анализа с CodeGuard. Однако вопреки всем усилиям, лишь 10% админов веб-сайтов пытались исправить свои установки. При этом более 12% из них после очистки вредоносного кода со своих веб-сайтов были повторно заражены.

Proofpoint и PwC Threat Intelligence отследили кибершпионскую кампанию в Австралии, Малайзии и Европе, проводившуюся в период с апреля по июнь 2022 годжа китайской АРТ, известной как TA423 (она же Red Ladon, APT40 и Leviathan).

TA423 — базирующаяся в Китае организация, занимающаяся шпионажем с 2013 года и нацеленная на различные организации в Азиатско-Тихоокеанском регионе в сфере обороны, промышленности, науки, образования и госсектора в соответствии с геополитическими интересами китайского правительства.

Основными целями АРТ стали организации в сфере энергетики в Южно-Китайском море. Кампания состояла из трех отдельных этапов.

Она включала фишинговые кампании, направленные на вовлечение жертв на вредоносный веб-сайт, оформленный под новостной портал.

Для этого злоумышленники отправляли сообщения с подконтрольных адресов электронной почты. При этом на сайте размещалась реальная подборка новостей, взятых из Reuters и BBC.

На сайте была размещена система разведки и эксплуатации ScanBox, впервые попавшая в поле зрения AlienVault в 2014 году и, как полагают исследователи, используемая несколькими различными китайскими группами. Все цели, обращавшиеся на ресурс детектировались ScanBox.

Она предоставляет собой код JavaScript либо в виде отдельного блока, либо, как данном случае, в виде модульной архитектуры на основе плагинов.

Основная полезная нагрузка устанавливает свою конфигурацию, включая собираемую информацию и сервер C2, с которым необходимо связаться. Он собирает подробные данные об используемом браузере.

В последующем жертве доставлялись модули кейлоггера, фингерпринта, однорангового соединения и обхода решений безопасности, включая Kaspersky Internet Security (KIS).

Последняя кампания стала третьей фазой продолжающейся кампании, в первую очередь, ориентированной на Австралию и Малайзию.

В то время как, в ходе первого этапа (март 2021) фишинговая кампания включала вооружённые вложения RTF, которые в конечном итоге извлекали версии шелл-кода Meterpreter.

Цели в Австралии включали военные учебные заведения, структуры федерального правительства, обороны и здравоохранения.

В число малазийских целей входили компании в области морского бурения и геологоразведки, а также крупные маркетинговые и финансовые организации. При этом последние могли быть частью цепочки поставок энергетических компаний.

Второй этап был проведен в марте 2022 года. В него использовались вложения для внедрения шаблонов RTF, которые возвращали документ Microsoft Word с макросами. По наблюдениям Proofpoint, полезная нагрузка предполагала доставку загрузчика DLL, который извлекает ответ полезной нагрузки Meterpreter в кодировке XOR.

Ресерчеры предполагают, что TA423 действует с китайского острова Хайнань. Предположение основано на официальном расследовании Минюста США в отношении связей АРТ с МГБ в китайской провинции Хайнань.

Однако Proofpoint и PwC заметили, что обвинение, похоже, никак не повлияло на деятельность группы, и прогнозируют, что TA423 продолжит свою шпионскую деятельность.

͏Everest продают доступ к GOV Brazil, указав жертву на своем сайте DLS. При этом более 3 ТБ информации были также украдены из правительственной сети.

В чем не приходится сомневаться, ведь как мы знаем, год назад после ноябрьских атак операторов RansomExx полегли системы и фактически вся работа Верховного суда Бразилии (STJ), немного позже и Национальное казначейство Бразилии, а сама страна в 2021 году возглавила список стран, наиболее пострадавших от ransomware.

Ошибка восьмимесячной давности позволяет получить удаленный доступ к камерам Insta360 и просматривать содержимое прямо из браузера.

Еще в январе 2022 года обозреватель Reddit cmdr_sidhartagautama обнаружил уязвимость, затрагивающую устройство Insta360 One X2.

Дело в том, что во включенном состоянии камера транслирует сеть Wi-Fi 5G с именем ONE X2 XXXXXX.OSC, где X обозначает последние символы серийного номера, к которой, как выясняется не так сложно подключиться.

При этом пароль из восьми символов, состоящий из чисел, идентичен для всех устройств, а в виду особенностей прошивки пользователи не могут его поменять. 

В ходе дальнейших исследований ресерчер смог получить root-доступ к камере через Wi-Fi, обнаружив, что переход по URL-адресу с IP-адресом держателя камеры позволяет получить доступ к содержимому камеры и загрузить его прямо из браузера.

По итогу, злоумышленники с базовыми инструментами может провести атаку на камеру, внедрив вредоносное ПО прямо на SD-карту, через которую малварь сможет успешно попасть на комп. К примеру, червь, использующий одну камеру для атаки на другую с каскадным эффектом.

Ситуацию усугубляет тот факт, что компания-производитель со штаб-квартирой в Шэньчжэне (Китай) и офисами в США, Японии и Германии до сих пор не устранила уязвимость.

Создатели камеры заявляют, что осведомлены о проблеме и работают над ее исправлением.

В обновленной версии прошивки пользователи смогут задавать свой собственный пароль, а каталог list_directory будет заблокирован, как и доступ к содержимому камеры через браузер.

Правда конкретных сроков для обновлений не установлено.

Расширения Google Chrome могут облегчить жизнь и добавить полезные функции при работе с браузером, но они также могут использоваться для распространения вредоносных программ и угрожать вашей информационной безопасности.

Собственно, на днях специалисты из McAfee обнаружили пять расширений Google Chrome, которые крадут данные о действиях пользователей и в совокупности эти расширения были загружены более 1,4 миллиона раз:

- Netflix Party - 800 000;
- Netflix Party 2 - 300 000;
- Full Page Screenshot Captureу - 200 000;
- FlipShope - 80 000;
- AutoBuy Flash Sales - 20 000.

Целью вредоносных расширений является отслеживание действий пользователей при посещении ресурсов электронной коммерции и последующим изменением файлов cookie посетителя для того, чтобы все выглядело так, будто они перешли по реферальной ссылке.

Таким образом, авторы расширений получают партнерское вознаграждение за любые покупки сделанные в магазинах электроники.

Примечательно, что расширения обладают заявленным функционалом, из-за чего жертвам сложнее заметить вредоносную активность и хотя их использование не влияет на пользователей напрямую, они представляют серьезную угрозу конфиденциальности.

Причем, чтобы избежать обнаружения, анализа и сбить с толку исследователей или бдительных пользователей, некоторые из расширений имеют задержку в 15 дней с момента их установки, прежде чем они начнут отправлять активность браузера.

Два расширения Netflix Party уже удалены из магазина, но это не спасает если вы не удалили их из веб-браузера, поэтому пользователям следует вручную удалить их.

Если вы используете какие-либо из перечисленных расширений и даже если вы находите их функциональность полезной, рекомендуется немедленно избавиться от них.

͏Новая интерпретация старого мема 😂

Google объявила о первом стабильном выпуске Chrome 105, который содержит исправления для 24 уязвимостей, в том числе 13 ошибок использования после освобождения и переполнения буфера кучи.

Внешние исследователи сообщили о 21 из устраненных дефектов безопасности, в том числе об одной критической, восьми высокой, девяти средней и трех низкой степени серьезности уязвимости.

В общей сложности с последним обновлением браузера было решено девять проблем use-after-free, самая важная из которых — это критический недостаток в компоненте Network Service.

Chrome 105 также исправляет пять серьезных уязвимостей использования после освобождения, затрагивающих такие компоненты браузера, как WebSQL, Layout, PhoneHub и тег браузера.

Google выплатила от 5000 до 10 000 долларов за четыре выпуска, но еще не определил сумму, которую нужно заплатить за пятый.

Другие серьезные ошибки, которые устраняет последнее обновление Chrome, включают переполнение буфера кучи в Screen Capture, проблемную реализацию в Site Isolation и недостаточную проверку ненадежных входных данных в V8.

Три уязвимости средней степени серьезности, которые исправлены в Chrome 105, — это ошибки переполнения буфера кучи, две — проблемы с использованием после освобождения, две — недостаточное применение политик и две — несоответствующие реализации.

Google за них отвалила более 60 000 долларов в качестве вознаграждения исследователям, сообщившим об ошибках, пять ошибок еще не оценены.

Последняя версия браузера теперь распространяется для пользователей Mac и Linux как Chrome 105.0.5195.52 и для пользователей Windows как Chrome 105.0.5195.52/53/54.

При этом Google не представила информации относительно использования какой-либо из исправленных уязвимостей в реальных атаках.

Но, как говорится, еще не вечер.

͏Karakurt взломали Международный центр разработки миграционной политики (ICMPD), указав международную организацию в списке своих жертв на DLS.

ICMPD реализует в 90 странах исследования и мероприятия, связанные с миграцией. Организация насчитывает 19 государств-членов, большинство из которых европейские, и имеет статус наблюдателя в ООН.

При этом сам ICMPD также подтвердил инцидент. Бернхард Шрагл, координатор по связям с общественностью ICMPD, отметил, что злоумышленникам удалось получить «ограниченный доступ» к отдельным серверам, на которых хранились данные. 

Представители ICMPD заявили, что менее чем через 45 минут после обнаружения были предприняты меры экстренного реагирования, все внешние сетевые подключения были отключены, а все веб-сайты закрыты.

Для расследования атаки ICMPD привлекли группу IT-экспертов и, конечно же, соответствующие органы. Однако до настоящего момента назвать точный объем украденной информации специалисты затрудняются.

В свою очередь, Karakurt заявили, что смогли выкрасть финансовые документы, банковские данные и личную информацию общим объемом в 375 ГБ.

Солидный улов, что не удивительно. Напомним, она активна с середины 2021 года и, по мнению ресерчеров Infinitum IT и Advanced Intelligence, считается «дочерним предприятием» небезызвестных Conti.

В TikTok для Android исправлена критическая уязвимость, которая позволяла хакерам захватывать учетные записи после клика вредоносной ссылки.

Приложение TikTok для Android к настоящему времени имеет более 1 млрд. загрузок, на в совокупности на всех платформах - более 2 млрд.

В феврале ресерчеры Microsoft 365 Defender обнаружили серьезную уязвимость WebView Hijacking через непроверенную диплинк в недезинфицированном параметре, о чем сообщили в в администрацию TikTok.

При нажатии на ссылку было обнаружено более 70 методов JavaScript, которыми злоумышленник мог злоупотребить с помощью эксплойта, предназначенного для захвата WebView приложения TikTok (системный компонент Android, используемый уязвимым приложением для отображения веб-контента).

Злоумышленники, которым удалось бы успешно использовать эту уязвимость, могли бы легко:
⁃ получить токены аутентификации пользователей (запустив запрос к серверу, находящемуся под их контролем, и зарегистрировав файл cookie и заголовки запроса)
⁃ извлечь или изменить данные учетной записи пользователя TikTok, включая частные видео и настройки профиля (путем отправки запроса к конечной точке TikTok и получения ответа с помощью обратного вызова JavaScript).

CVE-2022-28799 исправлена с выпуском версии TikTok 23.7.3, опубликованной менее чем через месяц после первоначального раскрытия.

Microsoft в отчете также указывает, что пока не нашла доказательств того, что ошибка использовалась в дикой природе.

Пользователям TikTok рекомендуется воздержаться от перехода по ссылкам из ненадежных источников, регулярно обновляться и устанавливать приложение из официальных источников.

Итальянский нефтегазовый гигант Eni, который на территории страны не имеет ни одной скважины, но благополучно осуществляет добычу в Африке, России и Казахстане подвергся кибератаке.

В своих пояснениях представитель компании подтвердил о нарушениях безопасности и злоумышленники получили доступ к ее сети, но атака имела незначительные последствия, поскольку своевременно быстро обнаружена и были приняты соответствующие меры.

Компания сообщила об инциденте итальянским властям, которые уже начали расследование, чтобы определить масштаб угроз и последствий. Впервые об атаке сообщили Bloomberg News в среду, предположив, что Eni пострадала от программы-вымогателя.

Однако пока нет никаких технических подробностей об атаке и в настоящее время невозможно определить, как злоумышленники взломали компанию, их мотивацию и какой субъект угрозы стоит за вторжением.

К сожалению это не единственный инцидент за последнее время когда пострадал энергетический сектор Италии. Буквально на дня атаке подверглось итальянское энергетическое агентство Gestore dei Servizi Energetici SpA. Причем GSE — это государственная структура, которая управляет итальянским рынком электроэнергии.

Детали инцидента также отсутствуют и веб-сайт GSE все еще не работает, но источники, знакомые с этим вопросом, сообщили, что инфраструктура компании была скомпрометирована и это повлияло на деятельность агентства.

Ни дня без ransomware.

Apple выпустила наконец-то обновления безопасности для старых устройств iPhone, iPad и iPod touch для устранения критической уязвимости, который активно использовалась в дикой природе.

Проблема, отслеживаемая как CVE-2022-32893 с оценкой CVSS: 8,8, представляет собой проблему записи за пределами границ, затрагивающую WebKit, которая может привести к RCE при обработке вредоносного веб-контента.

Технологический гигант исправил ошибку путём улучшенной проверки границ. Ошибка приписывается анонимному исследователю.

Как отметила Apple, обновление iOS 12.5.6 доступно теперь и для iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 и iPod touch (6-го поколения).

При этом iOS 12 не затронута CVE-2022-32894.

Последний набор патчей вышел через несколько недель после того, как производитель iPhone исправил две уязвимости в iOS 15.6.1, iPadOS 15.6.1, macOS 12.5.1 и Safari 15.6.1 в рамках обновлений от 18 августа 2022 года.

Apple известно о том, что эта проблема, возможно, активно использовалась, хотя подробности об атаках не разглашаются.

Пользователям старых устройств iOS рекомендуется как можно скорее применить обновления для смягчения потенциальных угроз.

͏Пока политики ЕС соревнуются в ограничениях на въезд российских граждан, правительству Португалии приходится решать вопрос с восстановлением авиасообщения в республике, ведь в четверг вечером флагманская авиакомпания TAP Air Portugal приостановила работу после инцидента с ransomware.

На долю TAP году приходится более 50% всех перевозок в международном аэропорту Лиссабона.

Ответственность за атаку взяли вымогатели Ragnar Locker, которые вызвали сбои в работе онлайн-систем перевозчика.

В свою очередь, компания заявила, что атака была купирована, а доказательств того, что злоумышленники получили доступ к информации о клиентах, хранящейся на пострадавших серверах, не получено.

Позже авиакомпания также опубликовала предупреждение о том, что ее веб-сайт и приложение временно не работают, а клиенты могут обслуживаться без входа в систему.

Ragnar Locker же опубликовали новую запись на своем DLS с указанием TAP, опровергнув заявления авиоператора о сохранности информации. Хакеры утверждают, что украли сотни гигабайт данных и готовы предоставить все пруффы.

Пока же Ragnar Locker представили скрин электронной таблицы, содержащей информацию о клиентах, украденную с серверов TAP, включая имена, даты рождения, электронные письма и адреса.

Неделя стала неудачной также и для чилийского правительства, неназванный орган которого подвергся атаке с использованием ransomware. Известно, что акторы нацеливались на инструменты Microsoft и серверы VMware ESXi.

В заявлении чилийского агентства кибербезопасности поясняется, что в результате атаки ко всем файлам в системе ведомства было добавлено расширение crypt.

В связи с чем, многие ресерчеры связывают инцидент с Thanos, однако и другие группы также используют аналогичное расширение.

Злоумышленнику удалось получить полный контроль над системой жертвы, оставить записку с требованием выкупа, предложив способы обратной связи. Актор пригрозил продать информацию в даркнете, если агентство не ответит в течение трех дней.

Ни одна группа вымогателей пока не взяла на себя ответственность за атаку.

Ранее в этом году чилийское агентство по защите прав потребителей шифровалось вымогателями, однако актор также до настоящего времени не известен.

Так уж сложилось, что исторически сайты электронной коммерции наиболее часто становятся жертвами атак скиммеров и Magento не исключение.

Специалисты из Cyble Research & Intelligence Labs начали свое расследование после того, как увидели в Твиттере сообщение о новом скиммере JavaScript, разработанном группой угроз Magecart и используемом для атак на веб-сайты электронной коммерции Magento.

Причем новый скиммер имеет высокую степень уклонения от обнаружения.

В атаках Magecart на интернет-магазины Magento злоумышленники пытаются использовать уязвимости в популярной CMS, чтобы получить доступ к исходному коду веб-сайта и внедрить вредоносный JavaScript.

Вредоносный код предназначен для захвата платежных данных (имя владельца кредитной/дебетовой карты, номер кредитной/дебетовой карты, номер CVV и срок действия) из платежных форм и страниц оформления заказа.

Скрипт также выполняет некоторые проверки, чтобы определить, что данные имеют правильный формат, например, анализируя длину введенных данных.

При проведении анализа специалисты обнаружили, что когда пользователь посещает взломанный веб-сайт, скиммер загружает оверлейную форму платежа из встроенного файла JavaScript «media/js/js-color.min.js» и просит пользователя ввести платежную информацию.

Как только жертва введет свои платежные данные в форму, файл JavaScript соберёт их, а затем отправит данные в кодировке Base64 на URL-адрес, зашитый в JavaScript, с использованием метода POST.

Эксперты Cyble заметили, что при выполнении JavaScript он проверяет, открыт ли инструмент разработчика браузера, дабы избежать анализа

Активность покупок в Интернете постоянно растет и интерес со стороны злоумышленников соответственно тоже, что заставляет их постоянно совершенствовать свои методы для массового заражения и уклонения от обнаружения.