Компания BMW, посмотрев на финансовые успехи операторов вымогателей, действующих по схеме Ransomware-as-a-Service, решила применить ту же методику в своих автомобилях.
Как пишет Cnet, в своей VR-презентации представители BMW объявили, что не только планируют регулярно обновлять программную прошивку последних моделей по воздуху, но и собираются превратить многие опции в автомобиле в программные сервисы.
В числе претендентов на Software-as-a-Service (SaaS) - адаптивный круиз, автоматическое переключение дальнего света и, даже, подогрев сидений.
То есть для того, чтобы подогреть в холодное время года свою пятую точку вам будет необходимо оплатить подписку. Нет, безусловно, на старте вам дадут оплаченный пакет, например на полгода, но дальше - только за безнал.
Мы не сомневаемся, что столь выгодное для производителя начинание будет в скором времени непременно расширено. Например, поворот руля вправо надо будет оплачивать отдельно от поворота руля влево (хотя можно будет и пакетом со скидкой в 10%).
И уже совсем будет неприятно, если в момент ДТП у вас закончится подписка на подушки и замки ремней безопасности.
Кто бы придумал такую подписку, чтобы по истечении полугода продавец машины был должен заплатить за продление возможности пользования нашими деньгами.
Как пишет Cnet, в своей VR-презентации представители BMW объявили, что не только планируют регулярно обновлять программную прошивку последних моделей по воздуху, но и собираются превратить многие опции в автомобиле в программные сервисы.
В числе претендентов на Software-as-a-Service (SaaS) - адаптивный круиз, автоматическое переключение дальнего света и, даже, подогрев сидений.
То есть для того, чтобы подогреть в холодное время года свою пятую точку вам будет необходимо оплатить подписку. Нет, безусловно, на старте вам дадут оплаченный пакет, например на полгода, но дальше - только за безнал.
Мы не сомневаемся, что столь выгодное для производителя начинание будет в скором времени непременно расширено. Например, поворот руля вправо надо будет оплачивать отдельно от поворота руля влево (хотя можно будет и пакетом со скидкой в 10%).
И уже совсем будет неприятно, если в момент ДТП у вас закончится подписка на подушки и замки ремней безопасности.
Кто бы придумал такую подписку, чтобы по истечении полугода продавец машины был должен заплатить за продление возможности пользования нашими деньгами.
Roadshow
Your next BMW might only have heated seats for 3 months
As services-based economies sweep every industry, it's time for the automotive realm to carry on.
Сразу две новости про активность операторов ransomware от Security Affairs.
Оператор вымогателя Maze, который теперь Cartel, в воскресенье вечером взломал почтовый сервер Национального управления автомобильных дорог Индии (NHAI), после чего попытался проникнуть во внутреннюю сеть.
Официальные индийские источники заявили в понедельник, что хотя взлом почтового сервера NHAI и имел место, но дальнейшая атака была предотвращена путем его отключения. Соответственно утечка данных не произошла.
Правда Maze Cartel с этим не согласны и опубликовали на своем сайте часть украденной у NHAI информации. Ее исследовали эксперты компании Cyble, как раз специализирующиеся на утечках в результате атак ransomware, и подтвердили присутствие в утечке конфиденциальных данных.
Второй материал - про оператора вымогателя Sodinokibi (он же REvil).
Напомним, что несмотря на то, что Sodinokibi работает по схеме Ransomware-as-a-Service (RaaS), создатель вымогателя является русскоязычной хакерской группой.
Как выясняется, в июне Sodinokibi взломали бразильскую энергетическую компанию Light SA, от которой потребовали выплату к 19 июня 7 миллионов долларов в криптовалюте Monero (оператор вымогателя недавно заявил о переходе на этот вид критпы как самый защищенный от расследования государственных органов). Но к указанному сроку выплата не была произведена, после чего сумма увеличена оператором ransomware до 14 млн. долларов.
Но в этой истории вызывает интерес не сумма выкупа, а тот факт, что, по данным инфосек компании AppGate, при атаке на ресурсы Light SA злоумышленники использовали достаточно старую уязвимость CVE-2018-8453 - дырку в Windows, которая была закрыта еще в октябре 2018 года.
То есть стоимость не проведенного апдейта торчащей в сеть машины может составлять 14 млн. долларов. Хороший стимул для риск-менеджмента в части разработки и неукоснительного соблюдения строгих процедур своевременного обновления использующегося ПО.
Оператор вымогателя Maze, который теперь Cartel, в воскресенье вечером взломал почтовый сервер Национального управления автомобильных дорог Индии (NHAI), после чего попытался проникнуть во внутреннюю сеть.
Официальные индийские источники заявили в понедельник, что хотя взлом почтового сервера NHAI и имел место, но дальнейшая атака была предотвращена путем его отключения. Соответственно утечка данных не произошла.
Правда Maze Cartel с этим не согласны и опубликовали на своем сайте часть украденной у NHAI информации. Ее исследовали эксперты компании Cyble, как раз специализирующиеся на утечках в результате атак ransomware, и подтвердили присутствие в утечке конфиденциальных данных.
Второй материал - про оператора вымогателя Sodinokibi (он же REvil).
Напомним, что несмотря на то, что Sodinokibi работает по схеме Ransomware-as-a-Service (RaaS), создатель вымогателя является русскоязычной хакерской группой.
Как выясняется, в июне Sodinokibi взломали бразильскую энергетическую компанию Light SA, от которой потребовали выплату к 19 июня 7 миллионов долларов в криптовалюте Monero (оператор вымогателя недавно заявил о переходе на этот вид критпы как самый защищенный от расследования государственных органов). Но к указанному сроку выплата не была произведена, после чего сумма увеличена оператором ransomware до 14 млн. долларов.
Но в этой истории вызывает интерес не сумма выкупа, а тот факт, что, по данным инфосек компании AppGate, при атаке на ресурсы Light SA злоумышленники использовали достаточно старую уязвимость CVE-2018-8453 - дырку в Windows, которая была закрыта еще в октябре 2018 года.
То есть стоимость не проведенного апдейта торчащей в сеть машины может составлять 14 млн. долларов. Хороший стимул для риск-менеджмента в части разработки и неукоснительного соблюдения строгих процедур своевременного обновления использующегося ПО.
Security Affairs
Maze Ransomware operators hacked Highways Authority Of India (Nhai) - Security Affairs
Researchers at Cyble reported that Maze Ransomware Operators allegedly breached National Highways Authority Of India (Nhai).
Кстати, по поводу вчерашнего поста про планы компании BMW предоставлять ряд функций в автомобиле по схеме Software-as-a-Service (SaaS) родилась интересная мысль.
Наверняка в условиях возможности обновления прошивки по воздуху появятся кастомные сборки автомобильных мозгов, в которых будут разблокированы платные функции. И которые будут непременно глючить.
Представляем себе тред на 4PDA:
- Помогите, после обновления прошивки моя 5-ка превратилась в кирпич;
- После установки версии от Хаттаба машина едет задом наперед. И только на третьей передаче;
- Поставил на свой бумер прошивку от Auid RS8 - оказалось что у меня в машине есть люк. Но нет педалей.
Наверняка в условиях возможности обновления прошивки по воздуху появятся кастомные сборки автомобильных мозгов, в которых будут разблокированы платные функции. И которые будут непременно глючить.
Представляем себе тред на 4PDA:
- Помогите, после обновления прошивки моя 5-ка превратилась в кирпич;
- После установки версии от Хаттаба машина едет задом наперед. И только на третьей передаче;
- Поставил на свой бумер прошивку от Auid RS8 - оказалось что у меня в машине есть люк. Но нет педалей.
Telegram
SecAtor
Компания BMW, посмотрев на финансовые успехи операторов вымогателей, действующих по схеме Ransomware-as-a-Service, решила применить ту же методику в своих автомобилях.
Как пишет Cnet, в своей VR-презентации представители BMW объявили, что не только планируют…
Как пишет Cnet, в своей VR-презентации представители BMW объявили, что не только планируют…
Очередная любопытная история со "случайным" сбором данных пользователей со стороны популярного Интернет-сервиса.
Вчера пользователь Twitter DonCubed обратил внимание на то, что LinkedIn считывает содержимое буфера обмена после каждого нажатия клавиши на виртуальной клавиатуре iPad. Более того, приложение также лезло в буфер привязанного MacBook.
Выяснилось это с помощью установленной беты iOS 14, которая позволяет узнать, когда приложение обращается к буферу обмена.
Ранее за таким же поведением было замечено приложение TikTok для iOS.
Представители TikTok назвали это фичей для борьбы с мошенничеством, а LinkedIn заявили, что это вообще баг и они ничего плохого в виду не имели. Обе компании пообещали в ближайшем времени убрать эту функцию из своих приложений.
Что китайские коммунисты, что американские империалисты - все хотят получить немного пользовательской информации. Следи за собой, будь осторожен (с).
Вчера пользователь Twitter DonCubed обратил внимание на то, что LinkedIn считывает содержимое буфера обмена после каждого нажатия клавиши на виртуальной клавиатуре iPad. Более того, приложение также лезло в буфер привязанного MacBook.
Выяснилось это с помощью установленной беты iOS 14, которая позволяет узнать, когда приложение обращается к буферу обмена.
Ранее за таким же поведением было замечено приложение TikTok для iOS.
Представители TikTok назвали это фичей для борьбы с мошенничеством, а LinkedIn заявили, что это вообще баг и они ничего плохого в виду не имели. Обе компании пообещали в ближайшем времени убрать эту функцию из своих приложений.
Что китайские коммунисты, что американские империалисты - все хотят получить немного пользовательской информации. Следи за собой, будь осторожен (с).
Twitter
Don 𝘧𝘳𝘰𝘮 urspace.io
LinkedIn is copying the contents of my clipboard every keystroke. IOS 14 allows users to see each paste notification. I’m on an IPad Pro and it’s copying from the clipboard of my MacBook Pro. Tik tok just got called out for this exact reason. https://t.co/l6NIT8ixEF
Немного пятничного вечернего.
Наткнулись на интересное объяснение логотипа VAIO одноименной линейки от компании Sony.
Логотип, действительно, необычный и вы наверняка хоть раз задумывались, что он означает. Ну, что же - объяснение на приложенной картинке.
Теперь у вас в голове еще на один забавный, но бестолковый, факт больше.
Наткнулись на интересное объяснение логотипа VAIO одноименной линейки от компании Sony.
Логотип, действительно, необычный и вы наверняка хоть раз задумывались, что он означает. Ну, что же - объяснение на приложенной картинке.
Теперь у вас в голове еще на один забавный, но бестолковый, факт больше.
Когда мы рассматривали северокорейскую APT Lazarus мы говорили, что в условиях недостатка финансирования со стороны государства хакерские группы из КНДР вынуждены часть своей активности посвящать коммерческому взлому. У Lazarus, например, для этого есть целое подразделение под названием Bluenoroff.
Вчера появилась очередная новость про деятельность как раз этой группы.
Исследователи инфосек компании Sansec обнаружили, что Lazarus как минимум с мая 2019 года получали данные платежных карт клиентов ряда крупных американских Интернет-магазинов. Среди скомпрометированных ресурсов - сайты международной сети по продаже аксессуаров Claire's, компаний Wongs Jewellers, Focus Camera и других.
В качестве основного доказательства причастности Lazarus к этой киберкампании ресерчеры называют использование вредоносной инфраструктуры, которая ранее была замечена в фишинговых атаках северокорейских хакеров.
Вчера появилась очередная новость про деятельность как раз этой группы.
Исследователи инфосек компании Sansec обнаружили, что Lazarus как минимум с мая 2019 года получали данные платежных карт клиентов ряда крупных американских Интернет-магазинов. Среди скомпрометированных ресурсов - сайты международной сети по продаже аксессуаров Claire's, компаний Wongs Jewellers, Focus Camera и других.
В качестве основного доказательства причастности Lazarus к этой киберкампании ресерчеры называют использование вредоносной инфраструктуры, которая ранее была замечена в фишинговых атаках северокорейских хакеров.
Sansec
North Korean hackers are skimming US and European shoppers
North Korean state sponsored hackers are implicated in the interception of online payments from American and European shoppers, Sansec research shows. Hacker...
В отрасли инфосек, кажется, назревает роутергейт.
Общеизвестно, что с информационной безопасностью домашних маршрутизаторов имеются определенные проблемы. И мы про них неоднократно писали - вот, например, последний пост.
Однако, перефразируя незабвенного особиста-контрразведчика из фильма ДМБ - дела оказались не просто плохие, а еще хуже.
Немецкий Институт связи Фраунхофера провел исследование 127 моделей маршрутизаторов от 7 ведущих брендов, подавляющее большинство которых (больше 90%) работает на Linux. Результаты обескураживают.
Ресерчеры не нашли ни одного (!) роутера не имеющего проблемы с информационной безопасностью:
- 46 маршрутизаторов из 127 за последний год не получили ни одного обновления безопасности;
- в тех маршрутизаторах, которые все-таки обновлялись, зачастую не исправлены известные уязвимости;
- некоторые из маршрутизаторов имеют легко подбираемые вшитые пароли, которые не может изменить пользователь;
- из большинства образцов прошивок можно вытащить закрытый криптографический ключ, что делает шифрование уязвимым.
Больше всего поразил исследователей тот факт, что большинство устройств работают с ядром Linux 2.6, которое было актуально в период с 2003 по 2011 год.
По степени безопасности производители расположились так - на первом месте AVM, дальше ASUS и Netgear, и в конце списка - D-Link, Linksys, TP-Link и Zyxel.
Самый худший результат показал маршрутизатор Linksys WRT54GL, работающий на Linux 2.4.20 выпуска 2002 года и подверженный 570 известным уязвимостям.
На этом фоне совершенно неудивительно, что периодически хакеры взламывают маршрутизаторы для создания бот-сетей и проникновения в домашние сети.
Общеизвестно, что с информационной безопасностью домашних маршрутизаторов имеются определенные проблемы. И мы про них неоднократно писали - вот, например, последний пост.
Однако, перефразируя незабвенного особиста-контрразведчика из фильма ДМБ - дела оказались не просто плохие, а еще хуже.
Немецкий Институт связи Фраунхофера провел исследование 127 моделей маршрутизаторов от 7 ведущих брендов, подавляющее большинство которых (больше 90%) работает на Linux. Результаты обескураживают.
Ресерчеры не нашли ни одного (!) роутера не имеющего проблемы с информационной безопасностью:
- 46 маршрутизаторов из 127 за последний год не получили ни одного обновления безопасности;
- в тех маршрутизаторах, которые все-таки обновлялись, зачастую не исправлены известные уязвимости;
- некоторые из маршрутизаторов имеют легко подбираемые вшитые пароли, которые не может изменить пользователь;
- из большинства образцов прошивок можно вытащить закрытый криптографический ключ, что делает шифрование уязвимым.
Больше всего поразил исследователей тот факт, что большинство устройств работают с ядром Linux 2.6, которое было актуально в период с 2003 по 2011 год.
По степени безопасности производители расположились так - на первом месте AVM, дальше ASUS и Netgear, и в конце списка - D-Link, Linksys, TP-Link и Zyxel.
Самый худший результат показал маршрутизатор Linksys WRT54GL, работающий на Linux 2.4.20 выпуска 2002 года и подверженный 570 известным уязвимостям.
На этом фоне совершенно неудивительно, что периодически хакеры взламывают маршрутизаторы для создания бот-сетей и проникновения в домашние сети.
Telegram
SecAtor
Два независимых исследователя Адам Николсон и d4rkn3ss обнаружили уязвимость, которая затрагивает 758 версий прошивки в 79 различных моделях маршрутизаторов Netgear.
Уязвимость существует с 2007 года и находится во вшитом web-сервере, она позволяет злоумышленнику…
Уязвимость существует с 2007 года и находится во вшитом web-сервере, она позволяет злоумышленнику…
Разработчики Signal тролят Telegram.
Ранее в воскресенье представитель Telegram Майк Равдоникас заявил в интервью Hong Kong Free Press, что мессенджер временно отклоняет запросы от властей Гонконга из-за принятия нового спорного Закона о национальной безопасности.
Правда Равдоникас заметил, что ранее Telegram не передавал никаких данных гонконгским органам. Как это согласуется с выражением "временно отклоняет" не совсем понятно.
На это разработчики Signal написали, что они бы тоже приостановили исполнение запросов гонконгской полиции, но дело в том, что они и не начинали раскрывать данные пользователей. И вообще у них этих данных и нет, так что и раскрывать нечего.
На этом фоне Signal занял первое место в чартах Android-приложений в Гонконге.
Ранее в воскресенье представитель Telegram Майк Равдоникас заявил в интервью Hong Kong Free Press, что мессенджер временно отклоняет запросы от властей Гонконга из-за принятия нового спорного Закона о национальной безопасности.
Правда Равдоникас заметил, что ранее Telegram не передавал никаких данных гонконгским органам. Как это согласуется с выражением "временно отклоняет" не совсем понятно.
На это разработчики Signal написали, что они бы тоже приостановили исполнение запросов гонконгской полиции, но дело в том, что они и не начинали раскрывать данные пользователей. И вообще у них этих данных и нет, так что и раскрывать нечего.
На этом фоне Signal занял первое место в чартах Android-приложений в Гонконге.
Twitter
Signal
We'd announce that we're stopping too, but we never started turning over user data to HK police. Also, we don't have user data to turn over. twitter.com/hkfp/status/12…
По поводу появившегося вчера анонса назначения Алексея Телкова из Теле2 на должность замглавы Минкомсвязи (по слухам, будет курировать телекоммуникационную отрасль) вместо товарища Иванова, не разделяем оптимизма профильных телекоммуникационных каналов.
И все из-за нашей любимой информационной безопасности.
Как нам подсказывают, при всех несомненных достоинствах кандидата у него есть два серьезных недостатка. Во-первых, Телков - человек весьма упертый, склонный сливать неинтересные ему проблемы в треш. А во-вторых, на вопросы инфосека он плевал с высокой колокольни.
С учетом и так имеющихся на сегодняшний день проблем с информационной безопасностью в телекоме, всякими безумными инициативами типа ЕИС ПСА, данное назначение выглядит не слишком обнадеживающим.
И все из-за нашей любимой информационной безопасности.
Как нам подсказывают, при всех несомненных достоинствах кандидата у него есть два серьезных недостатка. Во-первых, Телков - человек весьма упертый, склонный сливать неинтересные ему проблемы в треш. А во-вторых, на вопросы инфосека он плевал с высокой колокольни.
С учетом и так имеющихся на сегодняшний день проблем с информационной безопасностью в телекоме, всякими безумными инициативами типа ЕИС ПСА, данное назначение выглядит не слишком обнадеживающим.
Новости об очередных инцидентах с ransomware появляются так часто, что уже не в первый раз нам приходится объединять их в блок.
5 июля крупная американская компания DXC Technology, осуществляющая поставку ИТ-решений по всему миру, объявила, что в прошедшие выходные на сеть ее дочерней компании Xchanging была проведена атака со стороны неназванного оператора вымогателя. Xchanging является поставщиком ИТ-услуг для организаций страховой, финансовой, оборонной и других отраслей.
DXC Technology уверяет, что в результате кибератаки данные затронуты не были, однако тот факт, что часть клиентов потеряла доступ у предоставляемым услугам, свидетельствует о шифровке некоторой части информации. А шифровка данных со стороны ransomware в наше время означает их предварительную кражу. Ждем анонсов о продаже или публикации украденных сведений.
Вторая новость - продолжение апрельской истории об успешной кибератаке оператора вымогателя RagnarLocker, недавно присоединившегося к Maze Cartel.
Напомним, что тогда была взломана сеть португальского энергетического гиганта Energias de Portugal (EDP).
Теперь факт компрометации ресурсов EDP подтвердило руководство дочерней компании EDP Renewables Notrh America, которое, вместе с тем, заявило, что никакие данные клиентов не утекли.
Но, мы-то с вами понимаем, что если после успешной атаки ransomware "данные не утекли", то это означает только одно - жертва заплатила выкуп. Большой и щедрый выкуп размером в 10,9 млн. долларов.
5 июля крупная американская компания DXC Technology, осуществляющая поставку ИТ-решений по всему миру, объявила, что в прошедшие выходные на сеть ее дочерней компании Xchanging была проведена атака со стороны неназванного оператора вымогателя. Xchanging является поставщиком ИТ-услуг для организаций страховой, финансовой, оборонной и других отраслей.
DXC Technology уверяет, что в результате кибератаки данные затронуты не были, однако тот факт, что часть клиентов потеряла доступ у предоставляемым услугам, свидетельствует о шифровке некоторой части информации. А шифровка данных со стороны ransomware в наше время означает их предварительную кражу. Ждем анонсов о продаже или публикации украденных сведений.
Вторая новость - продолжение апрельской истории об успешной кибератаке оператора вымогателя RagnarLocker, недавно присоединившегося к Maze Cartel.
Напомним, что тогда была взломана сеть португальского энергетического гиганта Energias de Portugal (EDP).
Теперь факт компрометации ресурсов EDP подтвердило руководство дочерней компании EDP Renewables Notrh America, которое, вместе с тем, заявило, что никакие данные клиентов не утекли.
Но, мы-то с вами понимаем, что если после успешной атаки ransomware "данные не утекли", то это означает только одно - жертва заплатила выкуп. Большой и щедрый выкуп размером в 10,9 млн. долларов.
Telegram
SecAtor
Неделю назад мы писали о том, что оператор ransomware Maze, который, судя по всему, является русскоязычной командой, начал размещать на своем сайте краденную информацию от другого ransomware LockBit. Более того, Maze сообщили, что через несколько дней к…
Товарищи, а у нас тут прямо ЧП нарисовалось.
По сообщению ресерчеров Shadow Intelligence некий хакер Zpoint продает в дарквебе доступ системе муниципального видеонаблюдения Москвы.
В число доступных камер входят находящиеся:
- в подъездах;
- в парках;
- в поликлиниках;
- в школах (включая внутренние).
Предлагается доступ к онлайн картинке, а также к 5-дневному архиву записей. Некоторыми из камер можно управлять. В довесок предлагается мобильное приложение для доступа ко взломанной системе видеонаблюдения.
Кто-нибудь, постучите в ДИТ, скажите, что у них дно протекает.
По сообщению ресерчеров Shadow Intelligence некий хакер Zpoint продает в дарквебе доступ системе муниципального видеонаблюдения Москвы.
В число доступных камер входят находящиеся:
- в подъездах;
- в парках;
- в поликлиниках;
- в школах (включая внутренние).
Предлагается доступ к онлайн картинке, а также к 5-дневному архиву записей. Некоторыми из камер можно управлять. В довесок предлагается мобильное приложение для доступа ко взломанной системе видеонаблюдения.
Кто-нибудь, постучите в ДИТ, скажите, что у них дно протекает.
Помнится, не далее как зимой активно обсуждалась 0-day уязвимость CVE-2019-19781 в Citrix ADC и Citrix Gateway, которая оставалась незамеченной не менее месяца и которая использовалась различными хакерскими группами, в том числе прогосударственными, для проникновения в интересующие их сети.
Так тут новых дырок подвезли.
Сегодня Citrix выпустила обновления безопасности для Citrix ADC, Citrix Gateway а также Citrix SD-WAN WANOP, в которых обнаружилось целых 11 новых уязвимостей, позволяющих обходить механизмы аутентификации, повышать локальные привилегии, удаленно выполнять код, осуществить отказ в обслуживании и многое другое. В общем, делать все, чтобы максимально комфортно проникать в корпоративные сети.
Производитель, как и принято в подобных случаях, заявляет, что о какой-либо "активной эксплуатации этих проблем" со стороны хакеров ему неизвестно. Видимо, эксплуатация идет неактивная, вялая такая эксплуатация идет.
Как-бы там ни было, обновление выпущено, поэтому все причастные должны немедленно провести апдейт.
Так тут новых дырок подвезли.
Сегодня Citrix выпустила обновления безопасности для Citrix ADC, Citrix Gateway а также Citrix SD-WAN WANOP, в которых обнаружилось целых 11 новых уязвимостей, позволяющих обходить механизмы аутентификации, повышать локальные привилегии, удаленно выполнять код, осуществить отказ в обслуживании и многое другое. В общем, делать все, чтобы максимально комфортно проникать в корпоративные сети.
Производитель, как и принято в подобных случаях, заявляет, что о какой-либо "активной эксплуатации этих проблем" со стороны хакеров ему неизвестно. Видимо, эксплуатация идет неактивная, вялая такая эксплуатация идет.
Как-бы там ни было, обновление выпущено, поэтому все причастные должны немедленно провести апдейт.
Несколько дней назад мы писали про новый вредонос EvilQuest для MacOS, который, маскируясь под ransomware, крадет данные с зараженных машин. Проблема усугубляется тем, что он действительно шифрует пользовательские файлы и не предоставляет никаких реальных механизмов для их расшифровки, даже после выплаты жертвой денежных средств.
Теперь хорошая новость.
Инфосек компания SentinelOne выпустила бесплатный декриптор для зашифрованных EvilQuest файлов, который можно скачать по ссылке в конце приведенного отчета. Видеоинструкция по его использованию доступна здесь.
Разработать декриптор удалось благодаря тому, что вредонос использует достаточно простой алгоритм шифрования на основе RC2 и хранит криптоключ внутри каждого зашифрованного файла.
Пользуйтесь на здоровье.
Теперь хорошая новость.
Инфосек компания SentinelOne выпустила бесплатный декриптор для зашифрованных EvilQuest файлов, который можно скачать по ссылке в конце приведенного отчета. Видеоинструкция по его использованию доступна здесь.
Разработать декриптор удалось благодаря тому, что вредонос использует достаточно простой алгоритм шифрования на основе RC2 и хранит криптоключ внутри каждого зашифрованного файла.
Пользуйтесь на здоровье.
SentinelOne
Breaking EvilQuest | Reversing A Custom macOS Ransomware File Encryption Routine - SentinelLabs
A new macOS ransomware threat uses a custom file encryption routine not based on public key encryption. Jason Reaves shows how we broke it.
Вчера Министерство юстиции США (DOJ) выдвинуло обвинение против гражданина Казахстана Андрея Турчина, который известен в хакерской среде как fxmsp.
Товарища обвиняют в том, что он в составе группы взламывал корпоративные сети и в дальнейшем продавал доступ к ним на специализированных форумах - Exploit[.]in, Club2Card и др. В 2019 году киберразведывательная компания Advanced Intel утверждала, что группа fxmsp вскрыла и похитила информацию из сетей антивирусных компаний Trend Micro, Symantec и McAfee, причем у японцев из Tend Micro было украдено целых 30 терабайт данных.
DOJ утверждает, что fxmsp причастен к взлому по крайней мере 300 корпоративных сетей по всему миру, в том числе более 30 - в США.
Странно, но BleepingComputer сообщает, что, по данным источников, по американскому обвинению Турчин арестован казахскими правоохранительными органами. Частично это подтверждается тем, что прокурор Западного округа штата Вашингтон Брайан Моран поблагодарил казахские власти за помощь в расследовании.
Зная то, что американские органы ВСЕГДА стараются добиться осуждения хакеров, причастных к взлому американских организаций, на территории США и сотрудничают с другими странами только на таких условиях, задаемся вопросом - не решил ли Казахстан поступиться частью своего суверенитета и экстрадировать своего гражданина в США для дальнейшего судебного преследования. А то ведь так скоро каяться придется - например, за американский газ, случайно оказавшийся на казахской территории.
Товарища обвиняют в том, что он в составе группы взламывал корпоративные сети и в дальнейшем продавал доступ к ним на специализированных форумах - Exploit[.]in, Club2Card и др. В 2019 году киберразведывательная компания Advanced Intel утверждала, что группа fxmsp вскрыла и похитила информацию из сетей антивирусных компаний Trend Micro, Symantec и McAfee, причем у японцев из Tend Micro было украдено целых 30 терабайт данных.
DOJ утверждает, что fxmsp причастен к взлому по крайней мере 300 корпоративных сетей по всему миру, в том числе более 30 - в США.
Странно, но BleepingComputer сообщает, что, по данным источников, по американскому обвинению Турчин арестован казахскими правоохранительными органами. Частично это подтверждается тем, что прокурор Западного округа штата Вашингтон Брайан Моран поблагодарил казахские власти за помощь в расследовании.
Зная то, что американские органы ВСЕГДА стараются добиться осуждения хакеров, причастных к взлому американских организаций, на территории США и сотрудничают с другими странами только на таких условиях, задаемся вопросом - не решил ли Казахстан поступиться частью своего суверенитета и экстрадировать своего гражданина в США для дальнейшего судебного преследования. А то ведь так скоро каяться придется - например, за американский газ, случайно оказавшийся на казахской территории.
PRIVACY Affairs провели расследование и составили индекс актуальных цен на различные услуги, предлагаемые в дарквебе.
К примеру, клонирование карты VISA с PIN-кодом стоит 25$, паспорт США, Канады или ЕС - 1500$, американские водительские права хорошего качества - 550$.
Взлом аккаунта Facebook стоит 74,5$, почтового аккаунта Gmail - 155,73$, а взлом Instagram - 55,45$.
Также продаются услуги по проведению DDoS-атак, установки вредоносов и многое другое.
Полный список можно посмотреть в оригинальной статье.
К примеру, клонирование карты VISA с PIN-кодом стоит 25$, паспорт США, Канады или ЕС - 1500$, американские водительские права хорошего качества - 550$.
Взлом аккаунта Facebook стоит 74,5$, почтового аккаунта Gmail - 155,73$, а взлом Instagram - 55,45$.
Также продаются услуги по проведению DDoS-атак, установки вредоносов и многое другое.
Полный список можно посмотреть в оригинальной статье.
Privacy Affairs
Dark Web Price Index 2020. Check all 2020 Dark Web Prices
To see just how prevalent items of personal data are being listed on the dark web, and at what price, we sent our researchers on a data-gathering mission.
ZeroDay публикует статью с продолжением истории о предустановленном malware в бюджетных телефонах в США.
Есть в Америке такая государственная программа - Lifeline Assistance, которая действует с 1985 года, в рамках которой операторы предоставляют скидки на телефонные услуги для неимущих американцев. А в рамках этой программы компания Assurance Wireless, которая является дочкой оператора Virgin Mobile, распространяет бесплатно (или с большой скидкой) Android-смартфоны.
Само собой, что в погоне за дешевизной продукции Assurance Wireless заказывает смартфоны у не самых авторитетных производителей - в данном случае у китайской компании Unimax. И, казалось бы, все довольны - бедные слои американского населения имеют субсидируемую сотовую связь, дочка Virgin делает на господдержке свой маленький гешефт, а китайцы загружают производство.
Но, как часто бывает, малину подпортили эксперты по информационной безопасности. В январе 2020 года Malwarebytes выяснили, что в смартфоне UMX U686CL, распространяемом Assurance Wireless, прошит вредонос Adups, который может устанавливать после активации устройства дополнительные вредоносные компоненты. Самым неприятным было то, что Adups оказался неустранимым. После скандала Unimax исправили прошивку своей продукции.
А вчера Malwarebytes обнаружили новую модель дешевого смартфона от Assurance Wireless, в которой также содержится предустановленное malware. В этот раз речь идет о ANS UL40 от American Network Solutions, мутной компании, которая, похоже, ребрендит дешевые китайские смартфоны. Только исследователи нашли не один, а два разных вредоноса.
Первый - троян Download Wotby - сидит в приложении Настройки, а приложение WirelessUpdate после подключения к Wi-Fi подкачивает и устанавливает троян HiddenAds.
Кто виноват - производитель или заражение произошло где-то в цепочке поставок, пока не ясно.
"Солидный Господь для солидных господ" (с). В постиндустриальном обществе информационная безопасность только для богатых. Забудьте о каких-то там смешных законах, нет бабок - нет безопасности.
Есть в Америке такая государственная программа - Lifeline Assistance, которая действует с 1985 года, в рамках которой операторы предоставляют скидки на телефонные услуги для неимущих американцев. А в рамках этой программы компания Assurance Wireless, которая является дочкой оператора Virgin Mobile, распространяет бесплатно (или с большой скидкой) Android-смартфоны.
Само собой, что в погоне за дешевизной продукции Assurance Wireless заказывает смартфоны у не самых авторитетных производителей - в данном случае у китайской компании Unimax. И, казалось бы, все довольны - бедные слои американского населения имеют субсидируемую сотовую связь, дочка Virgin делает на господдержке свой маленький гешефт, а китайцы загружают производство.
Но, как часто бывает, малину подпортили эксперты по информационной безопасности. В январе 2020 года Malwarebytes выяснили, что в смартфоне UMX U686CL, распространяемом Assurance Wireless, прошит вредонос Adups, который может устанавливать после активации устройства дополнительные вредоносные компоненты. Самым неприятным было то, что Adups оказался неустранимым. После скандала Unimax исправили прошивку своей продукции.
А вчера Malwarebytes обнаружили новую модель дешевого смартфона от Assurance Wireless, в которой также содержится предустановленное malware. В этот раз речь идет о ANS UL40 от American Network Solutions, мутной компании, которая, похоже, ребрендит дешевые китайские смартфоны. Только исследователи нашли не один, а два разных вредоноса.
Первый - троян Download Wotby - сидит в приложении Настройки, а приложение WirelessUpdate после подключения к Wi-Fi подкачивает и устанавливает троян HiddenAds.
Кто виноват - производитель или заражение произошло где-то в цепочке поставок, пока не ясно.
"Солидный Господь для солидных господ" (с). В постиндустриальном обществе информационная безопасность только для богатых. Забудьте о каких-то там смешных законах, нет бабок - нет безопасности.
ZDNet
More pre-installed malware has been found in budget US smartphones | ZDNet
Cheap phones often have tradeoffs but researchers say this should never compromise user safety.
Все уже обсуждают и мы не можем пройти мимо.
Медуза сообщила, что при проведении голосования по поправкам в Конституцию РФ нерадивые организаторы выложили на Госуслуги архив degvoter .zip, который был доступен в течение нескольких часов 1 июля.
В архиве же лежала программа для проверки факта голосования по Интернет жителей Москвы и Нижегородской области. Как всегда, защита была сделана через одно место, в результате чего архив забрутфорсили, а базу, в которой хранились хеши паспортов, расшифровали. В итоге данные серии и номера паспорта почти 1,2 млн. россиян оказались практически в открытом доступе.
Абсолютно не споря с тем, что вопросы информационной безопасности у организаторов голосования были прикрыты очень плохо, заметим, что сами по себе серия и номер паспорта без привязки к остальным данным особого интереса не представляют.
И уж тем более это не "персональные данные", как пишут многие ТГ-каналы.
Ну то есть это, конечно, ужас, но не ужас-ужас-ужас.
P.S. Архив, само собой, сохранился в Wayback Machine.
Медуза сообщила, что при проведении голосования по поправкам в Конституцию РФ нерадивые организаторы выложили на Госуслуги архив degvoter .zip, который был доступен в течение нескольких часов 1 июля.
В архиве же лежала программа для проверки факта голосования по Интернет жителей Москвы и Нижегородской области. Как всегда, защита была сделана через одно место, в результате чего архив забрутфорсили, а базу, в которой хранились хеши паспортов, расшифровали. В итоге данные серии и номера паспорта почти 1,2 млн. россиян оказались практически в открытом доступе.
Абсолютно не споря с тем, что вопросы информационной безопасности у организаторов голосования были прикрыты очень плохо, заметим, что сами по себе серия и номер паспорта без привязки к остальным данным особого интереса не представляют.
И уж тем более это не "персональные данные", как пишут многие ТГ-каналы.
Ну то есть это, конечно, ужас, но не ужас-ужас-ужас.
P.S. Архив, само собой, сохранился в Wayback Machine.
Meduza
Власти фактически выложили в открытый доступ персональные данные всех интернет-избирателей В голосовании по поправкам участвовали…
Более миллиона жителей Москвы и Нижегородской области проголосовали за поправки к Конституции или против них через интернет. «Медуза» выяснила, что паспортные данные этих избирателей лежали практически в открытом доступе. Более того, оказалось, что некоторые…
Не грози Южному Централу попивая сок у себя в квартале!
Разработчики мессенджера Signal забыли эту великую мудрость, когда начали тролить Telegram, заявляя, что у них, в отличие от детища Дурова, данные пользователей не хранятся. О чем им сразу и напомнили.
Напомнил ни кто иной как Thaddeus Grugq, ранее известный как торговец 0-day эксплойтами.
Grugq указал, что Signal вводит новый функционал своего PIN-кода, который будет позволять переносить мессенджер с устройства на устройство и, в перспективе, позволит отвязать аккаунт от телефонного номера. При этом пользовательские данные, которые раньше просто не хранились, теперь будут находиться на серверах мессенджера.
Пора возвращаться к голубиной почте...
Разработчики мессенджера Signal забыли эту великую мудрость, когда начали тролить Telegram, заявляя, что у них, в отличие от детища Дурова, данные пользователей не хранятся. О чем им сразу и напомнили.
Напомнил ни кто иной как Thaddeus Grugq, ранее известный как торговец 0-day эксплойтами.
Grugq указал, что Signal вводит новый функционал своего PIN-кода, который будет позволять переносить мессенджер с устройства на устройство и, в перспективе, позволит отвязать аккаунт от телефонного номера. При этом пользовательские данные, которые раньше просто не хранились, теперь будут находиться на серверах мессенджера.
Пора возвращаться к голубиной почте...
Twitter
thaddeus e. grugq
Explanation: For years @signalapp has been adding features while retaining the core commitment to a secure communications protocol with a functioning client and no more. Now, Signal will backup your data to their computers, protected by that PIN they’ve been…
Давненько у нас ничего про ZOOM не было. И вот - очередная 0-day уязвимость.
Вчера команда 0patch Team инфосек компании ACROS Security опубликовала в своем блоге данные о выявленной уязвимости в клиенте ZOOM под Windows 7 и Windows Server 2008 R2, которая позволяет хакеру удаленно выполнить на атакуемой машине произвольный код, склонив пользователя к осуществлению определенных действий - например, к открытию документа. При этом никаких предупреждений безопасности атакованный пользователь не получает.
В подтверждение исследователи разместили в своем блоге видео с демонстрацией эксплойта выявленной ошибки.
Клиенты на Windows 8 и Windows 10 этой уязвимости не подвержены.
Пока ZOOM не устранили ошибку в своем клиенте 0patch Team выпустили бесплатный микропатч, который ее устраняет. Правда, для этого необходимо зарегистрироваться в 0patch Central и установить 0patch Agent.
Вчера команда 0patch Team инфосек компании ACROS Security опубликовала в своем блоге данные о выявленной уязвимости в клиенте ZOOM под Windows 7 и Windows Server 2008 R2, которая позволяет хакеру удаленно выполнить на атакуемой машине произвольный код, склонив пользователя к осуществлению определенных действий - например, к открытию документа. При этом никаких предупреждений безопасности атакованный пользователь не получает.
В подтверждение исследователи разместили в своем блоге видео с демонстрацией эксплойта выявленной ошибки.
Клиенты на Windows 8 и Windows 10 этой уязвимости не подвержены.
Пока ZOOM не устранили ошибку в своем клиенте 0patch Team выпустили бесплатный микропатч, который ее устраняет. Правда, для этого необходимо зарегистрироваться в 0patch Central и установить 0patch Agent.
0Patch
Remote Code Execution Vulnerability in Zoom Client for Windows (0day)
by Mitja Kolsek, the 0patch Team [Update 7/13/2020: Zoom only took one (!) day to issue a new version of Client for Windows that fixes this...
Исследователи компании Cyble, специализирующейся на расследовании деятельности операторов ransomware, сообщают, что оператор вымогателя Maze объявил об успешных атаках на ресурсы множества компаний, прибыль которых составляет от 4 до 600 млн. долларов.
Среди пострадавших - немецкий производитель микросхем и полупроводниковых приборов X-FAB Silicon Foundries, с годовой прибылью в 300 млн. долларов, а также американская компания Voxx International, специализирующаяся на производстве аудиооборудования и зарабатывающая более 450 млн. долларов в год.
Очередной повод руководителям крупных компаний задуматься о надежности своей системы информационной безопасности.
Среди пострадавших - немецкий производитель микросхем и полупроводниковых приборов X-FAB Silicon Foundries, с годовой прибылью в 300 млн. долларов, а также американская компания Voxx International, специализирующаяся на производстве аудиооборудования и зарабатывающая более 450 млн. долларов в год.
Очередной повод руководителям крупных компаний задуматься о надежности своей системы информационной безопасности.
Twitter
Cyble
**Breach Alert** #Maze #Ransomware Operators claimed to have breached multiple organizations ranging from $4 million to $600 million in revenue. Top names -: - X-FAB Silicon Foundries - Voxx International - Burton Lumber #infosec #cyber #leaks #cybersecurity