Исследователи Qualys выкатили отчет с анализом ландшафта угроз за 2023 год, согласно основным выводам которого только менее 1% из более чем 26 000 зарегистрированных уязвимостей регулярно использовались в реальных условиях.
Показатель обнаруженных в 2023 году уязвимостей превышает общее количество обнаруженных в 2022 году, более чем на 1500 CVE.
Более трети выявленных уязвимостей высокого риска можно было использовать удаленно. Треть всех уязвимостей высокого риска затронула сетевые устройства и веб-приложения.
Более 7000 уязвимостей имели PoC, однако в большинстве случае код эксплойта обычно имел низкое качество, снижая риск успешной атаки.
Для 206 уязвимостей высокого риска был доступен код эксплойта, использовавшийся для реального нацеливания. 115 из них использовались злоумышленниками, вредоносными ПО и группами вымогателей (20), прежде всего LockBit, CL0P и Cerber.
Выявленные уязвимости охватывают обширный набор систем и приложений, включая, помимо прочего, PaperCut NG, MOVEit Transfer, различные ОС Windows, Google Chrome, Atlassian Confluence и Apache ActiveMQ.
109 имели известные признаки эксплуатации и были внесены в CISA KEV, но 97 уязвимостей использовались в реальных условиях, но не попали в список.
В 2023 году отмечена критическая тенденция в использовании уязвимостей высокого риска.
Среднее время эксплуатации уязвимостей в 2023 году составило 44 дня.
При этом 75 % были использованы в течение 19 дней (приблизительно три недели) с момента публикации.
Однако 25% процентов CVE с высоким уровнем риска были использованы в день публикации, а эксплойт был опубликован в день публичного раскрытия ошибки.
Основными тактиками MITRE ATT&CK стали: эксплуатация удаленных сервисов (T1210 и T0866), эксплуатация общедоступных приложений (T1190 и T0819) и эксплуатация для повышения привилегий (T1068).
Среди наиболее эксплуатируемых уязвимостей выделены: CVE-2023-0669, CVE-2023-20887, CVE-2023-22952, CVE-2023-23397, CVE-2023-24880, CVE-2023-27350, CVE-2023-28252, CVE-2023-2868, CVE-2023-29059, CVE-2023-34362.
Согласно анализу ландшафта угроз в 2023 году, исследовали отмечают такие тренды, как достаточно быстрый темп использования уязвимостей в качестве оружия и наметившееся разнообразие субъектов угроз, что в совокупности создает серьезные угрозы для организаций во всем мире.
Показатель обнаруженных в 2023 году уязвимостей превышает общее количество обнаруженных в 2022 году, более чем на 1500 CVE.
Более трети выявленных уязвимостей высокого риска можно было использовать удаленно. Треть всех уязвимостей высокого риска затронула сетевые устройства и веб-приложения.
Более 7000 уязвимостей имели PoC, однако в большинстве случае код эксплойта обычно имел низкое качество, снижая риск успешной атаки.
Для 206 уязвимостей высокого риска был доступен код эксплойта, использовавшийся для реального нацеливания. 115 из них использовались злоумышленниками, вредоносными ПО и группами вымогателей (20), прежде всего LockBit, CL0P и Cerber.
Выявленные уязвимости охватывают обширный набор систем и приложений, включая, помимо прочего, PaperCut NG, MOVEit Transfer, различные ОС Windows, Google Chrome, Atlassian Confluence и Apache ActiveMQ.
109 имели известные признаки эксплуатации и были внесены в CISA KEV, но 97 уязвимостей использовались в реальных условиях, но не попали в список.
В 2023 году отмечена критическая тенденция в использовании уязвимостей высокого риска.
Среднее время эксплуатации уязвимостей в 2023 году составило 44 дня.
При этом 75 % были использованы в течение 19 дней (приблизительно три недели) с момента публикации.
Однако 25% процентов CVE с высоким уровнем риска были использованы в день публикации, а эксплойт был опубликован в день публичного раскрытия ошибки.
Основными тактиками MITRE ATT&CK стали: эксплуатация удаленных сервисов (T1210 и T0866), эксплуатация общедоступных приложений (T1190 и T0819) и эксплуатация для повышения привилегий (T1068).
Среди наиболее эксплуатируемых уязвимостей выделены: CVE-2023-0669, CVE-2023-20887, CVE-2023-22952, CVE-2023-23397, CVE-2023-24880, CVE-2023-27350, CVE-2023-28252, CVE-2023-2868, CVE-2023-29059, CVE-2023-34362.
Согласно анализу ландшафта угроз в 2023 году, исследовали отмечают такие тренды, как достаточно быстрый темп использования уязвимостей в качестве оружия и наметившееся разнообразие субъектов угроз, что в совокупности создает серьезные угрозы для организаций во всем мире.
Qualys
Top Cyber Threats of 2023: An In-Depth Review (Part One) | Qualys
Review the key cybersecurity threats from 2023 in this first part of our year-in-review, covering the top vulnerabilities and security challenges.
Спустя семь месяцев после майского расследования ресерчеры Sophos представили новый отчет в отношении Akira ransomware, в котором отражена более полная картина TTPs банды.
После первоначального отчета Sophos отреагировала на более чем дюжину инцидентов с участием Akira, а на DLS размещено более сотни жертв.
Начиная с октября Sophos наблюдает новую тенденцию, когда субъекты реализуют исключительно вымогательство, извлекая данные из среды жертвы без использования шифрования.
Был замечен лишь один такой случай с использованием штамма программы-вымогателя Megazord в конце августа 2023 года.
Наиболее распространенным способом первоначального доступа Akira стала компрометация VPN с помощью учетных записей, не имеющих MFA, прежде всего Cisco ASA SSL VPN или Cisco AnyConnect, а также благодаря известным уязвимостям в самом VPN.
Получив доступ к целевым средам, Akira применяли различные методы для получения учетных данных.
Среди них - анализ дампа памяти процесса LSASS, доступ к Active Directory (через файл NTDS.dit или с помощью инструмента ntdsutil).
Кроме того, в нескольких недавно обнаруженных случаях Akira уделяли особое внимание учетным данным Veeam, запуская сценарий Veeam-Get-Creds через интерактивный сеанс PowerShell ISE.
Sophos также наблюдала пытытки получения кэшированных учетных данных Chrome. В других случаях они получали доступ к резервным кодам KeePass.
Время от времени Akira использовали Mimikatz и запускали различные ПО для доступа к учетным данным, в том числе BypassCredGuard.exe для обхода Windows Credential Guard и WebBrowserPassView.exe.
Akira также полагались на встроенные команды ping и net для обнаружения дополнительных систем в среде и определения состояния целевых устройств.
Практически во всех случаях акторы считывали информацию Active Directory через встроенные утилиты командной строки. Для сканирования сети применялись Advanced IP Scanner и Netscan.
RDP с действующими учетными записями локальных администраторов чаще всего применялся для горизонтального перемещения по целевым средам, но также они комбинировали SMB с RDP и использовали Impacket wmiexec, а для управления подключениями к ВМ применяли VmConnect.exe.
Для обеспечения устойчивости Akira создавали учетные записи пользователей и добавляли их в защищенные локальные группы. Кроме того, сбрасывали пароли для нескольких учетных записей домена.
Для дальнейшего поддержания устойчивости и повышения привилегий в скомпрометированной системе Akira добавляли вновь созданного пользователя в раздел реестра Special Accounts или создавали новую группу домена.
Злоумышленники запускали вредоносную службу sysmon, которая обеспечивала работу sysmon.exe и инструментов туннелирования Ngrok или Ligolo-ng для установления удаленного доступа к скомпрометированным машинам.
Помимо отключения средств защиты, чтобы еще больше обойти защиту и скрыть свою активность, злоумышленники часто использовали runas.
Для C2 применяли популярный агент двойного назначения AnyDesk, в редких случаях - DWAgent или спецтроян.
Эксфильтрация реализовывалась с помощью WinRAR, WinSCP, rclone и MEGA.
Время пребывания Akira в целевой среде составляло от менее одного дня до 25 дней.
Перечень всех уникальных IoC доступен на GitHub.
После первоначального отчета Sophos отреагировала на более чем дюжину инцидентов с участием Akira, а на DLS размещено более сотни жертв.
Начиная с октября Sophos наблюдает новую тенденцию, когда субъекты реализуют исключительно вымогательство, извлекая данные из среды жертвы без использования шифрования.
Был замечен лишь один такой случай с использованием штамма программы-вымогателя Megazord в конце августа 2023 года.
Наиболее распространенным способом первоначального доступа Akira стала компрометация VPN с помощью учетных записей, не имеющих MFA, прежде всего Cisco ASA SSL VPN или Cisco AnyConnect, а также благодаря известным уязвимостям в самом VPN.
Получив доступ к целевым средам, Akira применяли различные методы для получения учетных данных.
Среди них - анализ дампа памяти процесса LSASS, доступ к Active Directory (через файл NTDS.dit или с помощью инструмента ntdsutil).
Кроме того, в нескольких недавно обнаруженных случаях Akira уделяли особое внимание учетным данным Veeam, запуская сценарий Veeam-Get-Creds через интерактивный сеанс PowerShell ISE.
Sophos также наблюдала пытытки получения кэшированных учетных данных Chrome. В других случаях они получали доступ к резервным кодам KeePass.
Время от времени Akira использовали Mimikatz и запускали различные ПО для доступа к учетным данным, в том числе BypassCredGuard.exe для обхода Windows Credential Guard и WebBrowserPassView.exe.
Akira также полагались на встроенные команды ping и net для обнаружения дополнительных систем в среде и определения состояния целевых устройств.
Практически во всех случаях акторы считывали информацию Active Directory через встроенные утилиты командной строки. Для сканирования сети применялись Advanced IP Scanner и Netscan.
RDP с действующими учетными записями локальных администраторов чаще всего применялся для горизонтального перемещения по целевым средам, но также они комбинировали SMB с RDP и использовали Impacket wmiexec, а для управления подключениями к ВМ применяли VmConnect.exe.
Для обеспечения устойчивости Akira создавали учетные записи пользователей и добавляли их в защищенные локальные группы. Кроме того, сбрасывали пароли для нескольких учетных записей домена.
Для дальнейшего поддержания устойчивости и повышения привилегий в скомпрометированной системе Akira добавляли вновь созданного пользователя в раздел реестра Special Accounts или создавали новую группу домена.
Злоумышленники запускали вредоносную службу sysmon, которая обеспечивала работу sysmon.exe и инструментов туннелирования Ngrok или Ligolo-ng для установления удаленного доступа к скомпрометированным машинам.
Помимо отключения средств защиты, чтобы еще больше обойти защиту и скрыть свою активность, злоумышленники часто использовали runas.
Для C2 применяли популярный агент двойного назначения AnyDesk, в редких случаях - DWAgent или спецтроян.
Эксфильтрация реализовывалась с помощью WinRAR, WinSCP, rclone и MEGA.
Время пребывания Akira в целевой среде составляло от менее одного дня до 25 дней.
Перечень всех уникальных IoC доступен на GitHub.
Sophos
Akira, again: The ransomware that keeps on taking
Seven months after our first investigation, a fuller portrait of the criminal gang and its tactics emerges
͏В последние месяцы профильными экспертами активно обсуждается использование AI как компьютерными преступниками, так и специалистами из области информационной безопасности. Некоторые исследователи, особо одаренные, даже включили в свои отчеты экспоненциальный рост применения искусственного интеллекта в этих сферах прямо на следующий понедельник год.
Меж тем битва роботов во имя Святаго Инфосека происходит прямо сейчас и прямо за углом. На ТГ-канале Сачок.
Там за звание ИБ-компании 2023 года сошлись непримиримые конкуренты в лице известных всем нам представителей российской индустрии. Правда, на праздник позвали не всех.
Количество проголосовавших в треде приблизилось к общему числу подписчиков канала и скоро грозит превысить население Рязани и Сыктывкара вместе взятых. Ботят, похоже, просто таки все, кроме Бастиона - эти просто не знают, что такое Телеграм.
На первое место уверенно вырвались МТС RED со своей чугуниевой армией, с чем мы не можем не согласиться -выпизд отпустить на повышение Черешнева, это знаете ли, не CVE получить, тут скилл нужен.
Хотя, с другой стороны, с учетом того, что временами разница в голосах межу первыми тремя местами не превышала пары десятков, есть обоснованное подозрение, что кто-то залетел с хлопушками на вечеринку. Кто-то обиженный...
В любом случае, видим данный забег так 👇
Меж тем битва роботов во имя Святаго Инфосека происходит прямо сейчас и прямо за углом. На ТГ-канале Сачок.
Там за звание ИБ-компании 2023 года сошлись непримиримые конкуренты в лице известных всем нам представителей российской индустрии. Правда, на праздник позвали не всех.
Количество проголосовавших в треде приблизилось к общему числу подписчиков канала и скоро грозит превысить население Рязани и Сыктывкара вместе взятых. Ботят, похоже, просто таки все, кроме Бастиона - эти просто не знают, что такое Телеграм.
На первое место уверенно вырвались МТС RED со своей чугуниевой армией, с чем мы не можем не согласиться -
Хотя, с другой стороны, с учетом того, что временами разница в голосах межу первыми тремя местами не превышала пары десятков, есть обоснованное подозрение, что кто-то залетел с хлопушками на вечеринку. Кто-то обиженный...
В любом случае, видим данный забег так 👇
Исследователи AhnLab рассказали об арсенале северокорейской Kimsuky, который включает вредоносное ПО AppeSeed, Meterpreter и VNC для получения контроля над зараженной системой.
АРТ действует с 2013 года и изначально была нацелена на исследовательские учреждения Южной Кореи. В 2014 были замечены атаки на энергетические объекты, а начиная с 2017 хакеры расширили географию своих кампаний кибершпионажа, целями которых становились объекты обороны, СМИ, дипучреждения и госорганы.
Цепочка атак начинается с целевых фишинговых атак, но в последнее время наблюдается также задействование вредоносных программ в формате LNK, где особое внимание уделяется малвари AppleSeed, о которой упоминалось в отчете еще за 2021 год.
С тех пор существенных изменений в используемых вредоносных кодах не отмечалось, а тот факт, что аналогичные методы задействовались непрерывно на протяжении нескольких лет можно назвать особенностью атак с использованием AppleSeed.
AppleSeed — это бэкдор, который способен выполнять команды атакующего, полученные от C2 для управления зараженной системой, установки дополнительного вредоносного ПО, кейлоггинга, скриншотов и сбора файлов пользовательской системы.
Несмотря на то, что малварь далеко не новая и ранее активно использовалась, но некоторые важные аспекты его применения изменились. Например, вредоносное ПО теперь часто устанавливается с помощью JavaScript-дроппера, который также создает фальшивые документы, чтобы замаскировать установку.
Кроме того, недавно был обнаружен образец AppleSeed, названный AlphaSeed – вредоносное ПО, разработанное на языке Go и имеющее функции, аналогичные AppleSeed, но осуществляющий взаимодействие с C2 посредством ChromeDP.
Процесс входа в систему также отличается и вместо прямого использования ID/PW для входа используется значение cookie, необходимое для входа в систему с определенной учетной записью.
Как говорится, в бою все средства хороши, и злоумышленники иногда устанавливают AlphaSeed и AppleSeed вместе на одну и ту же цель.
Что касается Meterpreter, то это вредоносное ПО с бэкдором, предоставляемое Metasploit и используемое для контроля зараженных систем. Kimsuky достаточно часто совмещала Meterpreter с использованием AppleSeed.
Распространяемый в настоящее время Meterpreter характеризуется тем, что он создан самостоятельно с использованием C++, а не языка Go.
В дополнение к RDP для управления зараженными системами Kimsuky задействует вредоносное ПО VNC двух типов: TightVNC и HVNC.
Первая - это утилита VNC с открытым исходным кодом с модифицированном виде, позволяющая использовать функцию Reverse VNC самостоятельно, без установки сервиса в зараженную среду.
В свою очередь, HVNC - одна из функций TinyNuke, также известного Nuclear Bot, представляющее собой банковское вредоносное ПО 2016 года выпуска.
Соответствующие IOC и связанная с ними аналитика - в отчете.
АРТ действует с 2013 года и изначально была нацелена на исследовательские учреждения Южной Кореи. В 2014 были замечены атаки на энергетические объекты, а начиная с 2017 хакеры расширили географию своих кампаний кибершпионажа, целями которых становились объекты обороны, СМИ, дипучреждения и госорганы.
Цепочка атак начинается с целевых фишинговых атак, но в последнее время наблюдается также задействование вредоносных программ в формате LNK, где особое внимание уделяется малвари AppleSeed, о которой упоминалось в отчете еще за 2021 год.
С тех пор существенных изменений в используемых вредоносных кодах не отмечалось, а тот факт, что аналогичные методы задействовались непрерывно на протяжении нескольких лет можно назвать особенностью атак с использованием AppleSeed.
AppleSeed — это бэкдор, который способен выполнять команды атакующего, полученные от C2 для управления зараженной системой, установки дополнительного вредоносного ПО, кейлоггинга, скриншотов и сбора файлов пользовательской системы.
Несмотря на то, что малварь далеко не новая и ранее активно использовалась, но некоторые важные аспекты его применения изменились. Например, вредоносное ПО теперь часто устанавливается с помощью JavaScript-дроппера, который также создает фальшивые документы, чтобы замаскировать установку.
Кроме того, недавно был обнаружен образец AppleSeed, названный AlphaSeed – вредоносное ПО, разработанное на языке Go и имеющее функции, аналогичные AppleSeed, но осуществляющий взаимодействие с C2 посредством ChromeDP.
Процесс входа в систему также отличается и вместо прямого использования ID/PW для входа используется значение cookie, необходимое для входа в систему с определенной учетной записью.
Как говорится, в бою все средства хороши, и злоумышленники иногда устанавливают AlphaSeed и AppleSeed вместе на одну и ту же цель.
Что касается Meterpreter, то это вредоносное ПО с бэкдором, предоставляемое Metasploit и используемое для контроля зараженных систем. Kimsuky достаточно часто совмещала Meterpreter с использованием AppleSeed.
Распространяемый в настоящее время Meterpreter характеризуется тем, что он создан самостоятельно с использованием C++, а не языка Go.
В дополнение к RDP для управления зараженными системами Kimsuky задействует вредоносное ПО VNC двух типов: TightVNC и HVNC.
Первая - это утилита VNC с открытым исходным кодом с модифицированном виде, позволяющая использовать функцию Reverse VNC самостоятельно, без установки сервиса в зараженную среду.
В свою очередь, HVNC - одна из функций TinyNuke, также известного Nuclear Bot, представляющее собой банковское вредоносное ПО 2016 года выпуска.
Соответствующие IOC и связанная с ними аналитика - в отчете.
ASEC
Kimsuky 그룹의 AppleSeed 악성코드 공격 동향 분석 - ASEC
북한의 지원을 받고 있다고 알려진 Kimsuky 위협 그룹은 2013년부터 활동하고 있다. 초기에는 한국의 북한 관련 연구기관 등에 대한 공격을 진행하였으며 2014년 한국의 에너지 기관에 대한 공격이 그리고 2017년 이후에는 한국 외 다른 나라에 대한 공격도 확인되고 있다. [1] 주로 스피어 피싱 공격을 통해 국방, 방위산업, 언론, 외교, 국가기관, 학술 분야를 공격 중이며 조직의 내부 정보 […]
Forwarded from Social Engineering
🔪 Sharpening Techniques with Impacket.
• При аудите Windows - инфраструктур Impacket является швейцарским ножом, позволяя активно взаимодействовать с устройствами по сети, для которых проприетарным (родным) инструментом, конечно же, является, #PowerShell.
• Impacket — это набор классов Python для работы с сетевыми протоколами, и в первую очередь с Active Directory. Предустановлен в #Kali и аналогичных ему специализированных дистрибутивах.
• Пакет Impacket включает впечатляющий набор скриптов, название которых зачастую говорит само за себя. Например, mimikatz.py – python реализация одноимённого инструмента, являющего де-факто стандартным в наборе программ аудита Windows.
• По ссылке ниже Вы найдете краткое описание, необходимые ссылки и полный список скриптов, которые включает в себя Impacket:
➡ https://redteamrecipe.com/
S.E. ▪️ infosec.work
• При аудите Windows - инфраструктур Impacket является швейцарским ножом, позволяя активно взаимодействовать с устройствами по сети, для которых проприетарным (родным) инструментом, конечно же, является, #PowerShell.
• Impacket — это набор классов Python для работы с сетевыми протоколами, и в первую очередь с Active Directory. Предустановлен в #Kali и аналогичных ему специализированных дистрибутивах.
• Пакет Impacket включает впечатляющий набор скриптов, название которых зачастую говорит само за себя. Например, mimikatz.py – python реализация одноимённого инструмента, являющего де-факто стандартным в наборе программ аудита Windows.
• По ссылке ниже Вы найдете краткое описание, необходимые ссылки и полный список скриптов, которые включает в себя Impacket:
S.E. ▪️ infosec.work
Please open Telegram to view this post
VIEW IN TELEGRAM
Исследователи F.A.C.C.T. задетектили новую фишинговую кампанию, реализуемую Sticky Werewolf посредством электронных сообщений от имени МЧС России.
Одно из таких писем, адресованных неназванной компании в сфере фармацевтики удалось перехватить 22 декабря.
В сообщении говорится о вступлении в силу нового приказа ведомства с просьбой "проинструктировать (под роспись) сотрудников" о новом порядке действий по сигналу гражданской обороны.
Для отправки сообщения использовался бесплатный почтовый сервис. Причем фамилия в электронном адресе отличается от подписи исполнителя.
В ходе предпринятой попытки атаки злоумышленники задействовали троян удаленного доступа Darktrack RAT.
Ранее в начале декабря Sticky Werewolf атаковали российский НИИ по проблемам микробиологии, в том числе занимающийся разработкой вакцин. Тогда рассылка осуществлялась от имени Минстроя РФ.
Sticky Werewolf - кибершпионская группа, которая c апреля по октябрь 2023 г. провела не менее 30 атак на госучреждения и финкомпании в РФ и Белоруссии.
В качестве первоначального вектора атак Sticky Werewolf использует фишинговые рассылки по электронной почте со ссылками на вредоносные файлы, а также такие инструменты, как Darktrack RAT и Ozone RAT, а также стилер MetaStealer (вариация RedLine Stealer).
Похоже, что АРТ будет продолжать предпринимать активные действия в рамках реализуемой кампании, нацеливаясь на приоритетные цели с использованием все более изощренных фишинговых атак.
Будем следить.
Одно из таких писем, адресованных неназванной компании в сфере фармацевтики удалось перехватить 22 декабря.
В сообщении говорится о вступлении в силу нового приказа ведомства с просьбой "проинструктировать (под роспись) сотрудников" о новом порядке действий по сигналу гражданской обороны.
Для отправки сообщения использовался бесплатный почтовый сервис. Причем фамилия в электронном адресе отличается от подписи исполнителя.
В ходе предпринятой попытки атаки злоумышленники задействовали троян удаленного доступа Darktrack RAT.
Ранее в начале декабря Sticky Werewolf атаковали российский НИИ по проблемам микробиологии, в том числе занимающийся разработкой вакцин. Тогда рассылка осуществлялась от имени Минстроя РФ.
Sticky Werewolf - кибершпионская группа, которая c апреля по октябрь 2023 г. провела не менее 30 атак на госучреждения и финкомпании в РФ и Белоруссии.
В качестве первоначального вектора атак Sticky Werewolf использует фишинговые рассылки по электронной почте со ссылками на вредоносные файлы, а также такие инструменты, как Darktrack RAT и Ozone RAT, а также стилер MetaStealer (вариация RedLine Stealer).
Похоже, что АРТ будет продолжать предпринимать активные действия в рамках реализуемой кампании, нацеливаясь на приоритетные цели с использованием все более изощренных фишинговых атак.
Будем следить.
Хабр
Кибершпионы Sticky Werewolf опять попытались атаковать российскую фарму
Система защиты от сложных и неизвестных киберугроз F.A.C.C.T. Managed XDR перехватила и заблокировала 22 декабря фишинговое письмо, которое было отправлено в фармацевтическую компанию якобы от имени...
Исследователи из Лаборатории Касперского подвели итоги титанического расследования сложнейшей угрозы, получившей название Операция Триангуляция.
В течение года они занимались реверс-инжинирингом цепочки атак, пытаясь раскрыть все детали, лежащие в основе кибершпионской кампании, которую они первоначально обнаружили в начале 2023 года.
Помимо разбора уже известных 0-day исследователи представили самую интересную особенность iOS-устройств, которой был присвоен CVE-2023-38606, которая была закрыта 24 июля с выходом iOS/iPadOS 16.6.
Для инициирования вредоносного кода в памяти злоумышленники использовали недокументированную функциональность процессоров Apple, которая фактически никак не используется в коде iOS, но позволяла обходить аппаратные средства защиты чувствительных областей памяти ядра и получать полный контроль над устройством.
Ресерчеры объясняют, что CVE-2023-38606 нацелена на неизвестные регистры MMIO в процессорах Apple A12-A16 Bionic, вероятно, связанные с сопроцессором графического процессора чипа.
Триангуляция использует эти регистры для манипулирования аппаратными функциями и управления прямым доступом к памяти во время атаки.
В Лаборатории полагают, что включение этой недокументированной аппаратной функции в готовую версию iPhone либо было ошибкой (что маловероятно), либо использовалось инженерами Apple для отладки и тестирования.
Задействование таких малоизвестных аппаратных функций для реализации шпионских атак на владельцев iPhone, дают все основания полагать, что за Триангуляцией стоит настолько серьезный актор, что даже обеспокоился сам Илон Маск.
Видимо понимая, что он тоже может быть посажен на киберкукан демократическими демократами под лозунги Apple, заявляющих, что "We have never worked with any government to insert a backdoor into any Apple product and never will".
В целом, у исследователей осталось еще много нерешенных вопросов по CVE-2023-38606.
Ведь до сих пор неизвестно, как злоумышленники узнали про механизм использования недокументированной аппаратной функции и каково было ее первоначальное назначение.
Не ясно также, была ли она разработана Apple или это компонент стороннего производителя.
Но теперь совершенно очевидно другое: системы, базирующиеся на принципе защиты «безопасность через неизвестность», никогда не будут по-настоящему безопасными.
В течение года они занимались реверс-инжинирингом цепочки атак, пытаясь раскрыть все детали, лежащие в основе кибершпионской кампании, которую они первоначально обнаружили в начале 2023 года.
Помимо разбора уже известных 0-day исследователи представили самую интересную особенность iOS-устройств, которой был присвоен CVE-2023-38606, которая была закрыта 24 июля с выходом iOS/iPadOS 16.6.
Для инициирования вредоносного кода в памяти злоумышленники использовали недокументированную функциональность процессоров Apple, которая фактически никак не используется в коде iOS, но позволяла обходить аппаратные средства защиты чувствительных областей памяти ядра и получать полный контроль над устройством.
Ресерчеры объясняют, что CVE-2023-38606 нацелена на неизвестные регистры MMIO в процессорах Apple A12-A16 Bionic, вероятно, связанные с сопроцессором графического процессора чипа.
Триангуляция использует эти регистры для манипулирования аппаратными функциями и управления прямым доступом к памяти во время атаки.
В Лаборатории полагают, что включение этой недокументированной аппаратной функции в готовую версию iPhone либо было ошибкой (что маловероятно), либо использовалось инженерами Apple для отладки и тестирования.
Задействование таких малоизвестных аппаратных функций для реализации шпионских атак на владельцев iPhone, дают все основания полагать, что за Триангуляцией стоит настолько серьезный актор, что даже обеспокоился сам Илон Маск.
Видимо понимая, что он тоже может быть посажен на киберкукан демократическими демократами под лозунги Apple, заявляющих, что "We have never worked with any government to insert a backdoor into any Apple product and never will".
В целом, у исследователей осталось еще много нерешенных вопросов по CVE-2023-38606.
Ведь до сих пор неизвестно, как злоумышленники узнали про механизм использования недокументированной аппаратной функции и каково было ее первоначальное назначение.
Не ясно также, была ли она разработана Apple или это компонент стороннего производителя.
Но теперь совершенно очевидно другое: системы, базирующиеся на принципе защиты «безопасность через неизвестность», никогда не будут по-настоящему безопасными.
Securelist
Операция “Триангуляция”: последняя (аппаратная) загадка
Новые модели iPhone имеют дополнительную аппаратную защиту чувствительных областей памяти ядра. Мы выяснили, что для обхода этой аппаратной защиты злоумышленники используют другую аппаратную функцию SoC компании Apple.
Критическая RCE-уязвимость в Apache OFBiz активно эксплуатируется с использованием общедоступных PoC.
Apache OFBiz (Open For Business) — это ERP-система с открытым исходным кодом, которую многие предприятия используют для управления производственными процессами в сфере электронной коммерции, работе с персоналом и бухгалтерском учете.
OfBiz является частью цепочки поставок, затрагивая напрямую такое ПО, как JIRA от Atlassian, которыми пользуются более 120 тысяч компаний по всему миру.
Ошибка обхода аутентификации отслеживается как CVE-2023-49070 и была исправлена в OFBiz версии 18.12.10, выпущенной 5 декабря 2023 г.
Эта проблема потенциально позволяет злоумышленникам повысить свои привилегии без аутентификации, выполнить произвольный код и получить доступ к конфиденциальной информации.
Однако анализируя патч Apache OFBiz, исследователи SonicWall обнаружили, что основная причина CVE-2023-49070 все еще не устранена, позволяя злоумышленникам по-прежнему использовать ошибку в полностью исправленной версии.
В своем отчете SonicWall продемонстрировали варианты обхода исправления Apache для уязвимости CVE-2023-49070 при использовании определенных комбинаций учетных данных.
Он вызван ошибочной логикой обработки пустых или специальных параметров.
SonicWall сообщила о своих выводах Apache, которая оперативно устранила уязвимость, которую они классифицировали как проблему подделки запросов на стороне сервера (SSRF).
Новой проблеме обхода был присвоен CVE-2023-51467, исправленный в версии OFBiz 18.12.11, выпущенной 26 декабря 2023 г.
Однако немногие обновились до последней версии, а обилие общедоступных PoC-эксплойтов для RCE с предварительной аутентификацией делает уязвимость весьма привлекательной для хакеров.
Shadowserver сообщает об обнаружении большого числа сканирований с задействованием доступных PoC для эксплутааиции CVE-2023-49070, ожидая при этом аналогичного результата и для CVE-2023-51467.
Злоумышленники нацеливаются прежде всего на уязвимые Confluence.
Для минимизации риска пользователям Apache OFBiz рекомендуется как можно скорее обновиться до версии 18.12.11.
Apache OFBiz (Open For Business) — это ERP-система с открытым исходным кодом, которую многие предприятия используют для управления производственными процессами в сфере электронной коммерции, работе с персоналом и бухгалтерском учете.
OfBiz является частью цепочки поставок, затрагивая напрямую такое ПО, как JIRA от Atlassian, которыми пользуются более 120 тысяч компаний по всему миру.
Ошибка обхода аутентификации отслеживается как CVE-2023-49070 и была исправлена в OFBiz версии 18.12.10, выпущенной 5 декабря 2023 г.
Эта проблема потенциально позволяет злоумышленникам повысить свои привилегии без аутентификации, выполнить произвольный код и получить доступ к конфиденциальной информации.
Однако анализируя патч Apache OFBiz, исследователи SonicWall обнаружили, что основная причина CVE-2023-49070 все еще не устранена, позволяя злоумышленникам по-прежнему использовать ошибку в полностью исправленной версии.
В своем отчете SonicWall продемонстрировали варианты обхода исправления Apache для уязвимости CVE-2023-49070 при использовании определенных комбинаций учетных данных.
Он вызван ошибочной логикой обработки пустых или специальных параметров.
SonicWall сообщила о своих выводах Apache, которая оперативно устранила уязвимость, которую они классифицировали как проблему подделки запросов на стороне сервера (SSRF).
Новой проблеме обхода был присвоен CVE-2023-51467, исправленный в версии OFBiz 18.12.11, выпущенной 26 декабря 2023 г.
Однако немногие обновились до последней версии, а обилие общедоступных PoC-эксплойтов для RCE с предварительной аутентификацией делает уязвимость весьма привлекательной для хакеров.
Shadowserver сообщает об обнаружении большого числа сканирований с задействованием доступных PoC для эксплутааиции CVE-2023-49070, ожидая при этом аналогичного результата и для CVE-2023-51467.
Злоумышленники нацеливаются прежде всего на уязвимые Confluence.
Для минимизации риска пользователям Apache OFBiz рекомендуется как можно скорее обновиться до версии 18.12.11.
Оказывается для PANASONIC 2022 год был весьма неудачным в плане инфосека.
В апреле ее предприятие из Канады взломали и зарансомили Conti и 2.62 ГБ коммерческих сведений тогда начали утекать в сеть с DLS банды вымогателей.
И, как выясняется, согласно недавнему уведомлению Генеральной прокуратуры Калифорнии, 14 декабря того же года корпоративная сеть Panasonic Avionics Corporation, ведущего поставщика систем связи и развлечений для авиатранспорта, была также взломана.
Решения Panasonic IFE установлены на более чем 15 000 коммерческих самолетах, в то время как более 3780 предоставляют клиентам спутниковый Wi-Fi.
При этом более 200 авиакомпаний используют IFE, Wi-Fi и цифровые услуги на своих самолетах, что составляет примерно 70% глобального флота, оснащенного IFE.
Допущенная в ходе инцидента утечка данных затрагивает личную информацию нераскрытого числа лиц, вероятно, из числа сотрудников и ряда клиентов.
Скомпрометированные данные включали: имена пострадавших лиц, контактные данные (адрес электронной почты, почтовый адрес и номер телефона), даты рождения, сведения о медицинском страховании, номера финансовых счетов, статус занятости в компании.
Компания также уведомила соответствующие органы и провела расследование с привлечением экспертов по кибербезопасности и криминалистов.
Отдельно в Panasonic Avionics Corporation отмечают, что какие-либо развлекательные системы в полете, подключение, цифровые решения или эксплуатационные системы технического обслуживания не пострадали.
Так ли это, будем, конечно же, посмотреть.
В апреле ее предприятие из Канады взломали и зарансомили Conti и 2.62 ГБ коммерческих сведений тогда начали утекать в сеть с DLS банды вымогателей.
И, как выясняется, согласно недавнему уведомлению Генеральной прокуратуры Калифорнии, 14 декабря того же года корпоративная сеть Panasonic Avionics Corporation, ведущего поставщика систем связи и развлечений для авиатранспорта, была также взломана.
Решения Panasonic IFE установлены на более чем 15 000 коммерческих самолетах, в то время как более 3780 предоставляют клиентам спутниковый Wi-Fi.
При этом более 200 авиакомпаний используют IFE, Wi-Fi и цифровые услуги на своих самолетах, что составляет примерно 70% глобального флота, оснащенного IFE.
Допущенная в ходе инцидента утечка данных затрагивает личную информацию нераскрытого числа лиц, вероятно, из числа сотрудников и ряда клиентов.
Скомпрометированные данные включали: имена пострадавших лиц, контактные данные (адрес электронной почты, почтовый адрес и номер телефона), даты рождения, сведения о медицинском страховании, номера финансовых счетов, статус занятости в компании.
Компания также уведомила соответствующие органы и провела расследование с привлечением экспертов по кибербезопасности и криминалистов.
Отдельно в Panasonic Avionics Corporation отмечают, что какие-либо развлекательные системы в полете, подключение, цифровые решения или эксплуатационные системы технического обслуживания не пострадали.
Так ли это, будем, конечно же, посмотреть.
Крупный шведский разработчик EasyPark сообщает об утечке данных, которая потенциально затрагивает миллионы пользователей.
Вс дело в том, что EasyPark реализует разработку приложений по управлению парковками и зарядных станций для электромобилей, реализуя свои услуги более чем в 20 странах и более чем 4000 городах, охватывая большую часть Европы, США, Австралию, Новую Зеландию и Великобританию.
Само приложение EasyPark (ориентировано на Европу) имеет более 10 млн. загрузок в Google Play, а другие решения, включая RingGo (ориентированное на Великобританию) и ParkMobile (ориентированное на США), имеют по 5 млн. установок.
Согласно уведомлению об утечке данных, инцидент был обнаружен 10 декабря 2023 года и затрагивает неизвестное число клиентов компании.
Точное число обещают обнародовать позже, как и всю подробную информацию об этом нарушении, а пострадавшие клиенты получат соответствующие персональные уведомления.
Учитывая, что преимущественно утечка касается европейских пользователей, инцидент, вероятно, был связана с приложением EasyPark.
В настоящее время приложение функционирует в штатном режиме, ведется расследованием совместно с представителями Швеции, Великобритании и Швейцарии.
Пока ни одна из банд вымогателей не взяла на себя ответственность за атаку на EasyPark.
Скомпрометированными оказались установочные данные клиентов, контактные сведения, адреса, а также номера кредитной/дебетовой карты или IBAN. При этом финансовая информация не пострадала.
Но утекла ли географическая составляющая с маршрутами и локациями - остается главным вопросом расследования.
Хотя в аналогичном инциденте с ParkMobile в 2021 году, когда в даркнет утекли 4,5 ГБ информации об учетных записях 21 887 299 клиентов, геолокационные данные не пострадали.
Но будем посмотреть.
Вс дело в том, что EasyPark реализует разработку приложений по управлению парковками и зарядных станций для электромобилей, реализуя свои услуги более чем в 20 странах и более чем 4000 городах, охватывая большую часть Европы, США, Австралию, Новую Зеландию и Великобританию.
Само приложение EasyPark (ориентировано на Европу) имеет более 10 млн. загрузок в Google Play, а другие решения, включая RingGo (ориентированное на Великобританию) и ParkMobile (ориентированное на США), имеют по 5 млн. установок.
Согласно уведомлению об утечке данных, инцидент был обнаружен 10 декабря 2023 года и затрагивает неизвестное число клиентов компании.
Точное число обещают обнародовать позже, как и всю подробную информацию об этом нарушении, а пострадавшие клиенты получат соответствующие персональные уведомления.
Учитывая, что преимущественно утечка касается европейских пользователей, инцидент, вероятно, был связана с приложением EasyPark.
В настоящее время приложение функционирует в штатном режиме, ведется расследованием совместно с представителями Швеции, Великобритании и Швейцарии.
Пока ни одна из банд вымогателей не взяла на себя ответственность за атаку на EasyPark.
Скомпрометированными оказались установочные данные клиентов, контактные сведения, адреса, а также номера кредитной/дебетовой карты или IBAN. При этом финансовая информация не пострадала.
Но утекла ли географическая составляющая с маршрутами и локациями - остается главным вопросом расследования.
Хотя в аналогичном инциденте с ParkMobile в 2021 году, когда в даркнет утекли 4,5 ГБ информации об учетных записях 21 887 299 клиентов, геолокационные данные не пострадали.
Но будем посмотреть.
Easypark
EasyPark Data Breach
On December 10, 2023, we discovered we were the victim of a cyber attack. The attack resulted in a breach of non-sensitive customer data. We deeply care about our customers and want to make sure you are fully informed about this incident. Here is what we…
Не утихают страсти по поводу голосования на канале Сачок, про которое мы написали чуть раньше.
Уже Лукацкий наехал на администрацию канала, а те поспешили оправдаться. С нашей точки зрения - зря.
Как самый объективный канал в мире, полагаем, что никакой ответственности непосредственно Сачка за произошедшее нет. Понятно, что ботили не они. А раз так - какие к ним претензии?
Мы ведь именно поэтому не проводим никаких голосований - накушались пару лет назад, знаем что это такое. Теперь об этом знают и Сачки. В условиях, когда голосовать могут все, кто угодно, а не только подписчики канала, бессмысленно говорить о какой-либо объективности.
Миру мир, стукачу - кардан!
Уже Лукацкий наехал на администрацию канала, а те поспешили оправдаться. С нашей точки зрения - зря.
Как самый объективный канал в мире, полагаем, что никакой ответственности непосредственно Сачка за произошедшее нет. Понятно, что ботили не они. А раз так - какие к ним претензии?
Мы ведь именно поэтому не проводим никаких голосований - накушались пару лет назад, знаем что это такое. Теперь об этом знают и Сачки. В условиях, когда голосовать могут все, кто угодно, а не только подписчики канала, бессмысленно говорить о какой-либо объективности.
Миру мир, стукачу - кардан!
Telegram
SecAtor
͏В последние месяцы профильными экспертами активно обсуждается использование AI как компьютерными преступниками, так и специалистами из области информационной безопасности. Некоторые исследователи, особо одаренные, даже включили в свои отчеты экспоненциальный…
Под конец года представители киберподполья приготовили свои подарки под елочку своим жертвам.
R00TK1T анонсировали на своем DLS утечку Qatar Airways. Как утверждает группа, в их расположении более 400 ГБ различных данных, которые еще не были раскрыты, включая в числе прочих и ПО ADOC Navigator.
Zjdue123 продает доступ к адресам электронной почты министерств иностранных дел по всему миру по цене в 20 BTC.
Как ни в чем не бывало, ALPHV продолжают добавлять на свой DLS новых жертв. К переговорам по поводу выкупа приглашены Nej Inc. и Wesgar Inc.
За $5000 можно приобрести базу данных Министерства внутренних дел Индонезии с 217 750 843 записями, ответственный за лот - небезызвестный Bjorka.
А Snatch презентовали подгон для республиканцев, заявляя о предстоящей утечке личных данных президента США Байдена, его сына Хантера и жены Джилл.
R00TK1T анонсировали на своем DLS утечку Qatar Airways. Как утверждает группа, в их расположении более 400 ГБ различных данных, которые еще не были раскрыты, включая в числе прочих и ПО ADOC Navigator.
Zjdue123 продает доступ к адресам электронной почты министерств иностранных дел по всему миру по цене в 20 BTC.
Как ни в чем не бывало, ALPHV продолжают добавлять на свой DLS новых жертв. К переговорам по поводу выкупа приглашены Nej Inc. и Wesgar Inc.
За $5000 можно приобрести базу данных Министерства внутренних дел Индонезии с 217 750 843 записями, ответственный за лот - небезызвестный Bjorka.
А Snatch презентовали подгон для республиканцев, заявляя о предстоящей утечке личных данных президента США Байдена, его сына Хантера и жены Джилл.
͏Дорогие подписчики!
Год назад в своем Новогоднем поздравлении мы призвали всех наших подписчиков готовиться к новой реальности, которая ждет нас уже вот прямо сейчас.
Что-то сбылось, что-то нет, но тренд остался прежним - жизнь впереди будет тяжелая, особенно в отрасли информационной безопасности. Работы будет много, угрозы будут все более серьезные, влияющие на жизнь каждого. Все только начинается.
Поэтому пожелания оставим прежними - терпения, стойкости, умения здраво смотреть на текущий момент и с оптимизмом в будущее. И главное — простого человеческого счастья, которое никуда от нас не денется.
С Новым Годом, друзья! Да прибудет с нами етитская сила!
Год назад в своем Новогоднем поздравлении мы призвали всех наших подписчиков готовиться к новой реальности, которая ждет нас уже вот прямо сейчас.
Что-то сбылось, что-то нет, но тренд остался прежним - жизнь впереди будет тяжелая, особенно в отрасли информационной безопасности. Работы будет много, угрозы будут все более серьезные, влияющие на жизнь каждого. Все только начинается.
Поэтому пожелания оставим прежними - терпения, стойкости, умения здраво смотреть на текущий момент и с оптимизмом в будущее. И главное — простого человеческого счастья, которое никуда от нас не денется.
С Новым Годом, друзья! Да прибудет с нами етитская сила!
Те, кто считал 2023 разминкой перед 2024 в чем-то несомненно оказались правы.
Почти 11 миллионов SSH-серверов в Интернете уязвимы для атаки Terrapin, о которой мы сообщали ранее.
Разработанная исследователями из Рурского университета в Бохуме в Германии атака нацелена на протокол SSH, затрагивая как клиенты, так и серверы.
Суть заключается в манипуляции порядковыми номерами в ходе процесса установления связи для компрометации целостности канала SSH, особенно когда используются определенные режимы шифрования, такие как ChaCha20-Poly1305 или CBC с Encrypt-then-MAC.
Таким образом злоумышленник может понизить алгоритмы открытого ключа для аутентификации пользователей и отключить защиту от атак по времени нажатия клавиш в OpenSSH 9.5.
Важным требованием для атаки Terrapin является необходимость реализации AitM для перехвата и модификации обмена рукопожатиями.
Шокирующую статистику выкатила Shadowserver, предупреждая об идентификации по уникальным IP-адресам около 11 миллионов уязвимых SSH-серверов, что составляет 52% всего объема в пространстве IPv4 и IPv6 (под данным исследователей).
Большая часть уязвимых систем приходится на США (3,3 миллиона), за ними следуют Китай (1,3 миллиона), Германия (1 миллион), а затем и Россия (700 000), далее - Сингапур (390 000) и Япония (380 000).
Как отмечают в Shadowserver, теперь перед злоумышленниками открываются широкие возможности, а для Terrapin - широкомасштабные последствия.
Команда из того же Рурского университета предоставила сканер уязвимостей для проверки восприимчивости к Terrapin SSH-клиента или сервера.
Почти 11 миллионов SSH-серверов в Интернете уязвимы для атаки Terrapin, о которой мы сообщали ранее.
Разработанная исследователями из Рурского университета в Бохуме в Германии атака нацелена на протокол SSH, затрагивая как клиенты, так и серверы.
Суть заключается в манипуляции порядковыми номерами в ходе процесса установления связи для компрометации целостности канала SSH, особенно когда используются определенные режимы шифрования, такие как ChaCha20-Poly1305 или CBC с Encrypt-then-MAC.
Таким образом злоумышленник может понизить алгоритмы открытого ключа для аутентификации пользователей и отключить защиту от атак по времени нажатия клавиш в OpenSSH 9.5.
Важным требованием для атаки Terrapin является необходимость реализации AitM для перехвата и модификации обмена рукопожатиями.
Шокирующую статистику выкатила Shadowserver, предупреждая об идентификации по уникальным IP-адресам около 11 миллионов уязвимых SSH-серверов, что составляет 52% всего объема в пространстве IPv4 и IPv6 (под данным исследователей).
Большая часть уязвимых систем приходится на США (3,3 миллиона), за ними следуют Китай (1,3 миллиона), Германия (1 миллион), а затем и Россия (700 000), далее - Сингапур (390 000) и Япония (380 000).
Как отмечают в Shadowserver, теперь перед злоумышленниками открываются широкие возможности, а для Terrapin - широкомасштабные последствия.
Команда из того же Рурского университета предоставила сканер уязвимостей для проверки восприимчивости к Terrapin SSH-клиента или сервера.
Infosec Exchange
The Shadowserver Foundation (@shadowserver@infosec.exchange)
Attached: 2 images
We are sharing SSH CVE-2023-48795 (Terrapin attack) vulnerable instances found in our IPv4/IPv6 scans in our Accessible SSH report: https://shadowserver.org/what-we-do/network-reporting/accessible-ssh-report/
Nearly 11M instances (by…
We are sharing SSH CVE-2023-48795 (Terrapin attack) vulnerable instances found in our IPv4/IPv6 scans in our Accessible SSH report: https://shadowserver.org/what-we-do/network-reporting/accessible-ssh-report/
Nearly 11M instances (by…
Исследователи SRLabs на конференции 37C3 представили дешифратор для жертв Black Basta ransomware, который получил схожее название Black Basta Buster.
В основу утилиты лег найденный исследователями недостаток в алгоритме шифровании, позволяющий обнаружить поток ключей ChaCha, используемый для XOR-шифрования файла.
Как они выяснили, файлы могут быть восстановлены, если известен открытый текст из 64 зашифрованных байтов.
Возможность полного или частичного восстановления файла зависит от его размера.
Файлы размером менее 5000 байт восстановлению не подлежат, от 5000 байт до 1 ГБ - возможно полное восстановление. Для файлов размером более 1 ГБ первые 5000 байт будут утрачены, но остальные можно восстановить.
Black Basta Buster позволяет жертвам восстанавливать в различных сценариях скомпрометированные в период с ноября 2022 года по декабрь 2023 года файлы.
Поскольку Black Basta прознала косяк и исправила ошибку, лежащую в основе расшифровщика, в более поздних инцидентах, начиная с прошлой недели, применить утилиту не получится.
Причем некоторые специалисты и компании знали об уязвимости и успешно применяли ее на протяжении нескольких месяцев, расшифровывая компьютеры без выплаты выкупа.
Утилита с описанием метода доступна в репозитории SRLabs на GitHub.
В основу утилиты лег найденный исследователями недостаток в алгоритме шифровании, позволяющий обнаружить поток ключей ChaCha, используемый для XOR-шифрования файла.
Как они выяснили, файлы могут быть восстановлены, если известен открытый текст из 64 зашифрованных байтов.
Возможность полного или частичного восстановления файла зависит от его размера.
Файлы размером менее 5000 байт восстановлению не подлежат, от 5000 байт до 1 ГБ - возможно полное восстановление. Для файлов размером более 1 ГБ первые 5000 байт будут утрачены, но остальные можно восстановить.
Black Basta Buster позволяет жертвам восстанавливать в различных сценариях скомпрометированные в период с ноября 2022 года по декабрь 2023 года файлы.
Поскольку Black Basta прознала косяк и исправила ошибку, лежащую в основе расшифровщика, в более поздних инцидентах, начиная с прошлой недели, применить утилиту не получится.
Причем некоторые специалисты и компании знали об уязвимости и успешно применяли ее на протяжении нескольких месяцев, расшифровывая компьютеры без выплаты выкупа.
Утилита с описанием метода доступна в репозитории SRLabs на GitHub.
GitHub
GitHub - srlabs/black-basta-buster
Contribute to srlabs/black-basta-buster development by creating an account on GitHub.