В середине сентября немецкий приватный сервис электронной почты Tutanota подвергся серии DDoS-атак, в результате чего он периодически был недоступен.
Сначала в прошлое воскресенье масштабная DDoS-атака вывела Tutanota из строя на несколько часов. После этого сервис улучшил свою защиту от DDoS и, вероятно, следующие атаки не привели к ожидаемому результату. Поэтому в среду злоумышленники атаковали уже DNS-провайдера, из-за чего Tutanota был недоступен в ночь со среды на четверг.
Представители Tutanota заявили, что это прямая атака на неприкосновенность частной жизни. И мы с этим полностью согласны, поскольку Tutanota — один из основных серверов электронной почты со встроенным шифрованием, который юзают в настоящее время более 2 млн. пользователей по всему миру. Видимо, некоторым настолько не нравится возможность людей вести приватную переписку, что они готовы ддосить предоставляющие подобные услуги сервисы.
Ну или вносить их в список запрещенных ресурсов.
Сначала в прошлое воскресенье масштабная DDoS-атака вывела Tutanota из строя на несколько часов. После этого сервис улучшил свою защиту от DDoS и, вероятно, следующие атаки не привели к ожидаемому результату. Поэтому в среду злоумышленники атаковали уже DNS-провайдера, из-за чего Tutanota был недоступен в ночь со среды на четверг.
Представители Tutanota заявили, что это прямая атака на неприкосновенность частной жизни. И мы с этим полностью согласны, поскольку Tutanota — один из основных серверов электронной почты со встроенным шифрованием, который юзают в настоящее время более 2 млн. пользователей по всему миру. Видимо, некоторым настолько не нравится возможность людей вести приватную переписку, что они готовы ддосить предоставляющие подобные услуги сервисы.
Ну или вносить их в список запрещенных ресурсов.
BleepingComputer
Tutanota encrypted email service suffers DDoS cyberattacks
Encrypted email service, Tutanota has experienced a series of DDoS attacks this week, first targeting the Tutanota website and further its DNS providers.
В начале июня появилась новость о том, что группировка, стоящая за ransomware Maze, объединилась с оператором другого вымогателя Ragnar Locker. Хакеры пообещали, что не только будут совместно использовать некоторые ресурсы, но и делиться опытом в непростом деле рансома.
Если Maze известен как, пожалуй, самый активный вымогатель, то ransomware Ragnar Locker памятно нам тем, что в апреле под его атаку попала компания Energias de Portugal (EDP), одна из крупнейших европейских энергетических компаний с оборотом в 15 млрд. долларов, с которой хакеры потребовали (и похоже, что получили) выкуп в 10,9 млн долларов.
И вот появилось наглядное свидетельство коллаборации вымогателей.
Дело в том, что еще в конце мая авторы Ragnar Locker стали применять интересный способ обхода механизмов антивирусных программ по выявлению вредоносной деятельности ransomware. Сначала хакеры устанавливают в скомпрометированной системе VirtualBox с MicroXP v0.82 (урезанная Windows XP SP3), а уже на нее ставится RagnarLocker. Таким образом ransomware прячется от антивирусов, поскольку все совершенные ей действия по шифровке файлов зараженной системы производятся процессом VirtualBox, которое считается "белым ПО".
Теперь ту же технологию, как сообщает британский разработчик антивирусов Sophos, стал использовать оператор Maze. Правда если Ragnar Locker загружал MicroXP v0.82, занимающую не сильно много места, то Maze не поскупились на трафик и закачали полезную нагрузку в виде установщика сразу двух версий Windows 7 (32-битной и 64-битной) размером в 733 МБ. Зато это дало им некоторый новый функционал. На подготовку атаки у хакеров ушло шесть дней.
Название компании-жертвы не раскрывается, но, судя по требуемому выкупу в 15 млн. долларов, это компания очень крупная. Так как Sophos говорят, что пострадавшая сторона приняла решение не выплачивать деньги, то очень вероятно, что скоро мы узнаем кто это, когда Maze начнут сливать в паблик украденные данные.
"Вымогатели всех стран, соединяйтесь!" в действии.
Если Maze известен как, пожалуй, самый активный вымогатель, то ransomware Ragnar Locker памятно нам тем, что в апреле под его атаку попала компания Energias de Portugal (EDP), одна из крупнейших европейских энергетических компаний с оборотом в 15 млрд. долларов, с которой хакеры потребовали (и похоже, что получили) выкуп в 10,9 млн долларов.
И вот появилось наглядное свидетельство коллаборации вымогателей.
Дело в том, что еще в конце мая авторы Ragnar Locker стали применять интересный способ обхода механизмов антивирусных программ по выявлению вредоносной деятельности ransomware. Сначала хакеры устанавливают в скомпрометированной системе VirtualBox с MicroXP v0.82 (урезанная Windows XP SP3), а уже на нее ставится RagnarLocker. Таким образом ransomware прячется от антивирусов, поскольку все совершенные ей действия по шифровке файлов зараженной системы производятся процессом VirtualBox, которое считается "белым ПО".
Теперь ту же технологию, как сообщает британский разработчик антивирусов Sophos, стал использовать оператор Maze. Правда если Ragnar Locker загружал MicroXP v0.82, занимающую не сильно много места, то Maze не поскупились на трафик и закачали полезную нагрузку в виде установщика сразу двух версий Windows 7 (32-битной и 64-битной) размером в 733 МБ. Зато это дало им некоторый новый функционал. На подготовку атаки у хакеров ушло шесть дней.
Название компании-жертвы не раскрывается, но, судя по требуемому выкупу в 15 млн. долларов, это компания очень крупная. Так как Sophos говорят, что пострадавшая сторона приняла решение не выплачивать деньги, то очень вероятно, что скоро мы узнаем кто это, когда Maze начнут сливать в паблик украденные данные.
"Вымогатели всех стран, соединяйтесь!" в действии.
Sophos News
Maze attackers adopt Ragnar Locker virtual machine technique
Under pressure to evade detection by endpoint protection, ransomware criminals try a more radical approach
Появились подготовленные Правительством РФ предложения по внесению поправок в Федеральный закон "Об информации, информационных технологиях и о защите информации".
Предложения, прямо скажем, нас не вдохновили.
Пункт 2 статьи 10 дополнить абзацами следующего содержания:
"Запрещается использование на территории Российской Федерации протоколов шифрования, позволяющих скрыть имя (идентификатор)
Интернет-страницы или сайта в сети "Интернет", за исключением случаев, установленных законодательством Российской Федерации.
Насколько мы понимаем, эти поправки вносятся, поскольку сейчас у сайтов есть возможность спрятаться от показа на оборудовании домена врубив DNS чере https и выписав себе сертификат, где имя домена прописано не будет. Таким образом, можно спрятать любой сайт за клаудфларью и узнать кто такой сайт пошел будет невозможно.
Но, как всегда бывает, это может затронуть и другие сервисы. Например, если выходная нода Tor будет находиться на территории РФ, то такой случай формально подпадает под действие нового запрета.
Предложения, прямо скажем, нас не вдохновили.
Пункт 2 статьи 10 дополнить абзацами следующего содержания:
"Запрещается использование на территории Российской Федерации протоколов шифрования, позволяющих скрыть имя (идентификатор)
Интернет-страницы или сайта в сети "Интернет", за исключением случаев, установленных законодательством Российской Федерации.
Насколько мы понимаем, эти поправки вносятся, поскольку сейчас у сайтов есть возможность спрятаться от показа на оборудовании домена врубив DNS чере https и выписав себе сертификат, где имя домена прописано не будет. Таким образом, можно спрятать любой сайт за клаудфларью и узнать кто такой сайт пошел будет невозможно.
Но, как всегда бывает, это может затронуть и другие сервисы. Например, если выходная нода Tor будет находиться на территории РФ, то такой случай формально подпадает под действие нового запрета.
В США осудили гражданина Великобритании 39-летнего Натана Яатта, члена хакерской группы The Dark Overlord.
Британец получил 5 лет за участие в 2016-2017 годах во взломах пяти коммерческих компаний в целях кражи конфиденциальной информации и дальнейшего вымогательства денег у жертвы. Кроме того он должен компенсировать пострадавшим почти 1,5 млн. долларов.
В 2017 году Яатт был арестован бринатскими правоохранителями, а в 2019 его экстрадировали в США.
Судя по судебным документам, британец отвечал непосредственно за установление контакта с жертвой в целях вымогательства. Преступник из него был так себе, поскольку некоторые из используемых для общения с представителями пострадавших компаний телефонов он зарегистрировал на свое имя.
Британец получил 5 лет за участие в 2016-2017 годах во взломах пяти коммерческих компаний в целях кражи конфиденциальной информации и дальнейшего вымогательства денег у жертвы. Кроме того он должен компенсировать пострадавшим почти 1,5 млн. долларов.
В 2017 году Яатт был арестован бринатскими правоохранителями, а в 2019 его экстрадировали в США.
Судя по судебным документам, британец отвечал непосредственно за установление контакта с жертвой в целях вымогательства. Преступник из него был так себе, поскольку некоторые из используемых для общения с представителями пострадавших компаний телефонов он зарегистрировал на свое имя.
По сообщению BleepingComputer, итальянская компания Luxottica, которая является крупнейшим в мире производителем очков, подверглась кибератаке, которая привела к остановке операционной деятельности в Италии и Китае.
Luxottica владеет такими брендами очков как Ray-Ban, Oakley, Oliver Peoples, Ferrari, Michael Kors, Bulgari, Armani, Prada и Chanel. Выручка компании в 2019 году составила 9,4 млрд долларов.
В пятницу сайты брендов Ray-Ban, Sunglass Hut, LensCrafters, EyeMed и Pearle Vision вышли из строя. Кроме того, оказались недоступны порталы one. luxotrica. com и university. luxottica. com. А вчера итальянские СМИ сообщили, что сотрудники ряда итальянских офисов Luxottica были отправлены домой в связи со "сбоем ИТ-систем".
Что это все напоминает? Совершенно, верно, атаку ransomware. Тем более, что эксперты инфосек компании Bad Packets сообщили журналистам BleepingComputer, что у Luxottica стоял непропатченый Citrix ADX, уязвимый перед CVE-2019-19781.
Это та самая уязвимость, из-за которой была взломана сеть Университетской больницы в Дюссельдорфе, по причине чего умер пациент, не получивший во время неотложную помощь.
Между тем, CVE-2019-19781 была исправлена производителем еще в январе 2020 года. "Эффективная информационная безопасность" во всей красе.
Luxottica владеет такими брендами очков как Ray-Ban, Oakley, Oliver Peoples, Ferrari, Michael Kors, Bulgari, Armani, Prada и Chanel. Выручка компании в 2019 году составила 9,4 млрд долларов.
В пятницу сайты брендов Ray-Ban, Sunglass Hut, LensCrafters, EyeMed и Pearle Vision вышли из строя. Кроме того, оказались недоступны порталы one. luxotrica. com и university. luxottica. com. А вчера итальянские СМИ сообщили, что сотрудники ряда итальянских офисов Luxottica были отправлены домой в связи со "сбоем ИТ-систем".
Что это все напоминает? Совершенно, верно, атаку ransomware. Тем более, что эксперты инфосек компании Bad Packets сообщили журналистам BleepingComputer, что у Luxottica стоял непропатченый Citrix ADX, уязвимый перед CVE-2019-19781.
Это та самая уязвимость, из-за которой была взломана сеть Университетской больницы в Дюссельдорфе, по причине чего умер пациент, не получивший во время неотложную помощь.
Между тем, CVE-2019-19781 была исправлена производителем еще в январе 2020 года. "Эффективная информационная безопасность" во всей красе.
BleepingComputer
Ray-Ban owner Luxottica confirms ransomware attack, work disrupted
Italy-based eyewear and eyecare giant Luxottica has reportedly suffered a cyberattack that has led to the shutdown of operations in Italy and China.
Вчера немецкая газета Aachener Zeitung опубликовала статью, в которой со ссылкой на Министерство юстиции Германии сообщила, что за атакой на сеть Университетской больницы в Дюссельдорфе, в результате которой погиб не получивший своевременной неотложной помощи пациент, стоял вымогатель DoppelPaymer.
И это плохо для России. Сейчас объясним почему.
Дело в том, что считается, что автором ransomware DoppelPaymer является одна из частей пресловутой российской хакерской группы Evil Corp. Эксперты расходятся во мнении какая именно - одни говорят, что это Indrik Spider, другие - что Doppel Spider. Но в любом случае виноватой назначат Россию.
Поскольку последствия атаки в виде гибели человека без сомнения являются тяжкими, то вполне допускаем что вся эта история приведет к новым санкциям со стороны Германии и ЕС. Особенно на фоне обсуждаемых в Евросоюзе по предложению Берлина санкций за атаку на Бундестаг, исполнителем которой немецкие власти считают группу Fancy Bear, предположительно работающую на ГРУ.
Подытоживая - деньги вымогают они, расплачиваться будут все остальные.
И это плохо для России. Сейчас объясним почему.
Дело в том, что считается, что автором ransomware DoppelPaymer является одна из частей пресловутой российской хакерской группы Evil Corp. Эксперты расходятся во мнении какая именно - одни говорят, что это Indrik Spider, другие - что Doppel Spider. Но в любом случае виноватой назначат Россию.
Поскольку последствия атаки в виде гибели человека без сомнения являются тяжкими, то вполне допускаем что вся эта история приведет к новым санкциям со стороны Германии и ЕС. Особенно на фоне обсуждаемых в Евросоюзе по предложению Берлина санкций за атаку на Бундестаг, исполнителем которой немецкие власти считают группу Fancy Bear, предположительно работающую на ГРУ.
Подытоживая - деньги вымогают они, расплачиваться будут все остальные.
Aachener Zeitung
Ministerium: Spur der Uniklinik-Hacker führt offenbar nach Russland
Nach der Hacker-Attacke auf die Düsseldorfer Uni-Klinik dürfte es schwer werden, an die Täter heranzukommen: Sie sitzen offenbar in Russland. Seinen Anfang nahm der digitale Angriff wohl unbemerkt bereits vor Monaten.
Мы уже не раз говорили, что русскоязычные операторы ransomware (которые составляют большинство) соблюдают негласный запрет на атаки на сети российских организаций.
Но, во-первых, не все владельцы вымогателей говорят на русском языке, а во-вторых, даже среди русскоязычных хакерских групп есть "белые вороны", играющие по своим собственным правилам.
Сегодня Group-IB выпустила отчет о хакерской группе OldGremlin, которая зашифровала сеть крупной медицинской организации (судя по описанию - что-то уровня Гемотест, Инвитро, CMD and so on) с использованием авторского ransomware TinyCryptor и потребовала от жертвы выкуп в 50 тыс. долларов. Причем в ходе предварительной атаки хакеры предусмотрительно удалили резервные копии данных.
Как говорят ГрИБы, фишинговые атаки OldGremlin начались весной этого года. В качестве приманки злоумышленники использовали письма от имени Союза микрофинансовых организаций, стоматологической клиники, журналистов РБК (как в случае с взломанной медицинской компанией) и даже Минского тракторного завода.
В самих фишинговых письмах содержатся авторские бэкдоры TinyNode и TinyPosh. Всего Group-IB зафиксировали 9 фишинговых кампаний. Они говорят, что OldGremlin атакует исключительно российские организации.
Впервые информация про хакеров появилась в августе, когда исследователи Ростелеком-Солар сообщили журналистам РБК о группе, которую они назвали TinyScouts. Group-IB тогда подтвердили данные Ростелекома, заметив, что, в свою очередь, дали злоумышленникам наименование OldGremlin.
Кстати, если в русскоязычной версии отчета ГрИБы называют себя "международной компанией", то в англоязычной версии они уже - "международная компания со штаб-квартирой в Сингапуре". Как бы лол.
Но, во-первых, не все владельцы вымогателей говорят на русском языке, а во-вторых, даже среди русскоязычных хакерских групп есть "белые вороны", играющие по своим собственным правилам.
Сегодня Group-IB выпустила отчет о хакерской группе OldGremlin, которая зашифровала сеть крупной медицинской организации (судя по описанию - что-то уровня Гемотест, Инвитро, CMD and so on) с использованием авторского ransomware TinyCryptor и потребовала от жертвы выкуп в 50 тыс. долларов. Причем в ходе предварительной атаки хакеры предусмотрительно удалили резервные копии данных.
Как говорят ГрИБы, фишинговые атаки OldGremlin начались весной этого года. В качестве приманки злоумышленники использовали письма от имени Союза микрофинансовых организаций, стоматологической клиники, журналистов РБК (как в случае с взломанной медицинской компанией) и даже Минского тракторного завода.
В самих фишинговых письмах содержатся авторские бэкдоры TinyNode и TinyPosh. Всего Group-IB зафиксировали 9 фишинговых кампаний. Они говорят, что OldGremlin атакует исключительно российские организации.
Впервые информация про хакеров появилась в августе, когда исследователи Ростелеком-Солар сообщили журналистам РБК о группе, которую они назвали TinyScouts. Group-IB тогда подтвердили данные Ростелекома, заметив, что, в свою очередь, дали злоумышленникам наименование OldGremlin.
Кстати, если в русскоязычной версии отчета ГрИБы называют себя "международной компанией", то в англоязычной версии они уже - "международная компания со штаб-квартирой в Сингапуре". Как бы лол.
Group-IB
Group-IB detects series of ransomware attacks by OldGremlin | Group-IB
Group-IB has detected a successful attack by a ransomware gang, codenamed OldGremlin.
Интересный разбор уязвимости CVE-2020-8437 в uTorrent, приводящей к его крашу, от одного из авторов.
В двух словах - uTorrent использует протокол BitTorrent (BTP) для того, чтобы узлы сети общались друг с другом. Для инициирования такого общения узлы обмениваются рукопожатиями, в рамках которого они могут передавать друг другу расширенные пакеты для сообщения информации о поддерживаемых дополнительных расширениях (такая вот тавтология). Расширенный пакет может включать в себя специальный словарь, который может содержать подсловарь, а в нем другой подсловарь и т.д.
Исследователи выяснили, что для отслеживания уровня словаря, который uTorrent анализирует, он использует поле размером в 32 бита. И если передаваемый в расширенном пакете словарь содержит более 32 вложенных уровней подсловарей, то uTorrent весело вылетает.
Ресерчеры разработали два вектора атаки с использованием этой уязвимости. Первый - когда один из узлов сети рассылает другим узлам подобные пакеты, второй - когда uTorrent открывает специальным образом сформированный файл .torrent.
Мы, как люди искушенные, сразу придумали следующий сценарий использования CVE-2020-8437 - некий правообладатель, недовольный тем, что его интеллектуальная собственность распространяется посредством торрентов, входит в сетку пиров, участвующих в раздаче принадлежащего ему контента, и рассылает другим участникам вредоносные пакеты, из-за чего все, кто раздает или качает - уходят в краш.
К счастью, исследователи сразу сообщили разработчику uTorrent об ошибке и к настоящему времени она устранена. Уязвимы версии 3.5.5 и более ранние.
В двух словах - uTorrent использует протокол BitTorrent (BTP) для того, чтобы узлы сети общались друг с другом. Для инициирования такого общения узлы обмениваются рукопожатиями, в рамках которого они могут передавать друг другу расширенные пакеты для сообщения информации о поддерживаемых дополнительных расширениях (такая вот тавтология). Расширенный пакет может включать в себя специальный словарь, который может содержать подсловарь, а в нем другой подсловарь и т.д.
Исследователи выяснили, что для отслеживания уровня словаря, который uTorrent анализирует, он использует поле размером в 32 бита. И если передаваемый в расширенном пакете словарь содержит более 32 вложенных уровней подсловарей, то uTorrent весело вылетает.
Ресерчеры разработали два вектора атаки с использованием этой уязвимости. Первый - когда один из узлов сети рассылает другим узлам подобные пакеты, второй - когда uTorrent открывает специальным образом сформированный файл .torrent.
Мы, как люди искушенные, сразу придумали следующий сценарий использования CVE-2020-8437 - некий правообладатель, недовольный тем, что его интеллектуальная собственность распространяется посредством торрентов, входит в сетку пиров, участвующих в раздаче принадлежащего ему контента, и рассылает другим участникам вредоносные пакеты, из-за чего все, кто раздает или качает - уходят в краш.
К счастью, исследователи сразу сообщили разработчику uTorrent об ошибке и к настоящему времени она устранена. Уязвимы версии 3.5.5 и более ранние.
mavlevin
uTorrent CVE-2020-8437 Vulnerability And Exploit Overview
The world’s most popular torrent client, uTorrent, contained a security vulnerability — later to be called CVE-2020-8437— that could be exploited by a remote...
Microsoft Security Intelligence сообщает, что прямо сейчас наблюдает хакерскую активность по использованию эксплойта уязвимости CVE-2020-1472 aka Zerologon.
Об этом, собственно, мы и говорили. Кто не успел обновить свой Windows Server - получит скомпрометированную сеть.
Об этом, собственно, мы и говорили. Кто не успел обновить свой Windows Server - получит скомпрометированную сеть.
Twitter
Microsoft Security Intelligence
Microsoft is actively tracking threat actor activity using exploits for the CVE-2020-1472 Netlogon EoP vulnerability, dubbed Zerologon. We have observed attacks where public exploits have been incorporated into attacker playbooks.
Как сообщает BleepingComputer, американская компания Tyler Technoligies подверглась атаке ransomware.
Со вчерашнего дня сайт компании находится на техническом обслуживании и, как выяснили журналисты издания, служба технической поддержки Tyler Technoligies также недоступна.
Согласно источникам BleepingComputer, за атакой стоит ransomware RansomExx, оператор которого в августе отметился успешной атакой на ресурсы технологического гиганта Konica Minolta.
И мы вряд ли бы обратили внимание на эту новость, несмотря даже на то, что Tyler Technoligies является весьма крупной организацией с доходом в 1,2 млрд. долларов. В конце концов, на сегодняшний день такие атаки вымогателей стали обыденностью. Но, как в известном анекдоте, есть один нюанс.
Tyler Technoligies - один из крупнейших поставщиков программного обеспечения и ИТ-услуг для государственного сектора США. По идее, такие компании должны иметь хорошо защищенный внешний периметр, поскольку могут стать целью атак на цепочку поставок, которые осуществляются прогосударственными APT для дальнейшего внедрения своих бэкдоров в используемое правительственными структурами технологические системы.
И тем не менее, коммерческие хакеры смогли пробиться во внутреннюю сеть компании. Это плохие новости для информационной безопасности американских госорганов.
Со вчерашнего дня сайт компании находится на техническом обслуживании и, как выяснили журналисты издания, служба технической поддержки Tyler Technoligies также недоступна.
Согласно источникам BleepingComputer, за атакой стоит ransomware RansomExx, оператор которого в августе отметился успешной атакой на ресурсы технологического гиганта Konica Minolta.
И мы вряд ли бы обратили внимание на эту новость, несмотря даже на то, что Tyler Technoligies является весьма крупной организацией с доходом в 1,2 млрд. долларов. В конце концов, на сегодняшний день такие атаки вымогателей стали обыденностью. Но, как в известном анекдоте, есть один нюанс.
Tyler Technoligies - один из крупнейших поставщиков программного обеспечения и ИТ-услуг для государственного сектора США. По идее, такие компании должны иметь хорошо защищенный внешний периметр, поскольку могут стать целью атак на цепочку поставок, которые осуществляются прогосударственными APT для дальнейшего внедрения своих бэкдоров в используемое правительственными структурами технологические системы.
И тем не менее, коммерческие хакеры смогли пробиться во внутреннюю сеть компании. Это плохие новости для информационной безопасности американских госорганов.
BleepingComputer
Government software provider Tyler Technologies hit by ransomware
Leading government technology services provider Tyler Technologies has suffered a ransomware attack that has disrupted its operations.
В конце февраля мы писали о том, что исследователи из голландской команды ThreatFabric выявили новую версию банковского трояна Cerberus для Android, который которая научилась обходить 2FA аутентификацию, а точнее похищать одноразовые пароли OTP, сгенерированные специализированным приложением Google Authenticator.
Таким образом, хакеры могли с помощью Cerberus осуществить "от и до" поддельную банковскую транзакцию с позиции скомпрометированного Android устройства.
Тогда голландцы сообщали, что выявили лишь тестовую версию, которая не продавалась на специализированных ресурсах.
С тех пор прошло более полугода, Cerberus исдох, а его владелец выложил исходники на хакерском форуме xss .is.
И вот неожиданно ThreatFabric выпустили отчет, в котором сообщили, что выявленная в феврале версия Cerberus оказалась отдельным проектом, который продолжает успешно развиваться и обладает впечатляющим набором функционала. Голландцы дали ей название Alien.
Новый троян позволяет собирать с зараженного смартфона различные данные, имеет функцию кейлоггера, обходит 2FA аутентификацию, позволяет осуществлять удаленный доступ через устанавливаемый TeamViewer, но, что более интересно, поддерживает отображение страницы входа для 226 других Android-приложений, большинство из которых банковские. Таким образом, Alien может красть учетные данные пользователя для дальнейшего осуществления хакером мошеннических действий.
Кроме того, в список этих приложений входят мессенджеры (WhatsApp, Telegram и др.) и приложения для работы с криптовалютой. Насколько мы успели просмотреть список - российских банковских приложений там нет.
ThreatFabric сообщает, что Alien работает по схеме MaaS (Malware-as-a-Service), но не раскрывают информации об основных путях его распространения. Вероятно, в большинстве случаев это сторонние сайты, хотя иногда вредонос может встречаться и в Play Store.
Таким образом, хакеры могли с помощью Cerberus осуществить "от и до" поддельную банковскую транзакцию с позиции скомпрометированного Android устройства.
Тогда голландцы сообщали, что выявили лишь тестовую версию, которая не продавалась на специализированных ресурсах.
С тех пор прошло более полугода, Cerberus исдох, а его владелец выложил исходники на хакерском форуме xss .is.
И вот неожиданно ThreatFabric выпустили отчет, в котором сообщили, что выявленная в феврале версия Cerberus оказалась отдельным проектом, который продолжает успешно развиваться и обладает впечатляющим набором функционала. Голландцы дали ей название Alien.
Новый троян позволяет собирать с зараженного смартфона различные данные, имеет функцию кейлоггера, обходит 2FA аутентификацию, позволяет осуществлять удаленный доступ через устанавливаемый TeamViewer, но, что более интересно, поддерживает отображение страницы входа для 226 других Android-приложений, большинство из которых банковские. Таким образом, Alien может красть учетные данные пользователя для дальнейшего осуществления хакером мошеннических действий.
Кроме того, в список этих приложений входят мессенджеры (WhatsApp, Telegram и др.) и приложения для работы с криптовалютой. Насколько мы успели просмотреть список - российских банковских приложений там нет.
ThreatFabric сообщает, что Alien работает по схеме MaaS (Malware-as-a-Service), но не раскрывают информации об основных путях его распространения. Вероятно, в большинстве случаев это сторонние сайты, хотя иногда вредонос может встречаться и в Play Store.
ThreatFabric
Alien - the story of Cerberus' demise
The Alien banking Trojan expands 2020’s threat landscape alongside the demise of the infamous Cerberus Trojan. Learn more about its advanced capabilities and relation with Cerberus.
WhatsApp утверждает, что все сообщения защищены сквозным шифрованием, однако стоит тебе сделать резервную копию, как все твои данные cтанут доступны спецслужбам.
А теперь представь себе, что все твои сообщения, тайные интриги и откровенные медиафайлы стали достоянием общественности. Да, именно общественности, ведь не только ФСБ, но и кто угодно может получить доступ ко всем твоим перепискам просто через бэкдор в видеозвонке.
Об этом и многом другом можно узнать на Эксплойте. Это один из лучших каналов по кибербезопасности в Telegram. Автор пишет о самых изощренных способах слить по ошибке свои данные в сеть, на которые ты 100% попадался, но даже не знал об этом.
И, поверь нам, таких историй, как c WhatsApp, там сотни, если не больше.
Читай Эксплойт, чтобы всегда оставаться на страже своей безопасности и анонимности в интернете.
И помни, что «За безопасность необходимо платить, а за её отсутствие - расплачиваться» (Уинстон Черчилль)
А теперь представь себе, что все твои сообщения, тайные интриги и откровенные медиафайлы стали достоянием общественности. Да, именно общественности, ведь не только ФСБ, но и кто угодно может получить доступ ко всем твоим перепискам просто через бэкдор в видеозвонке.
Об этом и многом другом можно узнать на Эксплойте. Это один из лучших каналов по кибербезопасности в Telegram. Автор пишет о самых изощренных способах слить по ошибке свои данные в сеть, на которые ты 100% попадался, но даже не знал об этом.
И, поверь нам, таких историй, как c WhatsApp, там сотни, если не больше.
Читай Эксплойт, чтобы всегда оставаться на страже своей безопасности и анонимности в интернете.
И помни, что «За безопасность необходимо платить, а за её отсутствие - расплачиваться» (Уинстон Черчилль)
Telegram
Эксплойт
Главное медиа об интернет-культуре и технологиях.
Больше интересного на https://exploit.media
Написать в редакцию: @exploitex_bot
Сотрудничество: @todaycast
РКН: https://clck.ru/3FjURF
Больше интересного на https://exploit.media
Написать в редакцию: @exploitex_bot
Сотрудничество: @todaycast
РКН: https://clck.ru/3FjURF
"Родители Юдоколиса сказали ему - не унывай, сынок, ситуация может быть намного хуже. Он приободрился. И ситуация действительно стала намного хуже." (с) Kaveret - Hamakolet
Израильтяне напоминают нам про прописные истины информационной безопасности.
Израильтяне напоминают нам про прописные истины информационной безопасности.
Twitter
Gil Solomon
"הוריו של יודוקוליס אמרו לו: 'התעודד, בננו, המצב יכול להיות הרבה יותר גרוע', אז הוא התעודד, והמצב אכן נהיה הרבה יותר גרוע."
Из инфосек сообщества приходят интересные инсайды по поводу атаки ransoware DoppelPaymer на сеть Университетской больницы в Дюссельдорфе (UKD), в результате которой погиб не получивший своевременной неотложной помощи пациент.
Когда в январе 2020 года появилась информация об уязвимости CVE-2019-19781 в Citrix ADC хакеры всех мастей стали срочно пылесосить сеть на предмет выявления уязвимых серверов. Тогда же был взломан сервер UKD, благодаря чему злоумышленники проникли в сеть больницы. Администраторы UKD пропатчили свой Citrix, но бэкдор уже сидел внутри.
А уже в конце лета доступ к сети UKD был продан оператору DoppelPaymer под видом доступа в сеть Университета, поскольку во взломах больничных сетей владельцы ransomware не заинтересованы и такие бэкдоры не покупают.
Это частично подтверждается информацией немецкой газеты Aachener Zeitung, которая сообщила, что Citrix ADC больничной сети был своевременно обновлен еще зимой. А также тем, что оператор DoppelPaymer незамедлительно сообщил ключ расшифровки немецким властям как только был поставлен в известность о том, что атаке подверглась именно сеть UKD.
Мы думаем, что из этого последует следующее.
Во-первых, Evil Corp., купившие доступ в сеть UKD, будут серьезно разбираться с продавцом. Если их, конечно, не приберут первыми.
Потому что, во-вторых, последует официальный запрос из Германии в отношении Evil Corp. и российские правоохранители окажутся в щекотливой ситуации. Ибо сложно будет делать вид, что найти хакеров они не могут, когда те совершенно открыто рассекают по Москве на Ламбо.
И последнее. Мы вполне допускаем, что все это - осознанная провокация одной заокеанской трехбуквенной конторы, детищем которой является APT Equation. Такие операции в их стиле, да и момент выбран уж больно удачно. Поэтому возможно, что даже никакого запроса от немецких властей не будет, а сразу последует n+1 итерация санкций.
Когда в январе 2020 года появилась информация об уязвимости CVE-2019-19781 в Citrix ADC хакеры всех мастей стали срочно пылесосить сеть на предмет выявления уязвимых серверов. Тогда же был взломан сервер UKD, благодаря чему злоумышленники проникли в сеть больницы. Администраторы UKD пропатчили свой Citrix, но бэкдор уже сидел внутри.
А уже в конце лета доступ к сети UKD был продан оператору DoppelPaymer под видом доступа в сеть Университета, поскольку во взломах больничных сетей владельцы ransomware не заинтересованы и такие бэкдоры не покупают.
Это частично подтверждается информацией немецкой газеты Aachener Zeitung, которая сообщила, что Citrix ADC больничной сети был своевременно обновлен еще зимой. А также тем, что оператор DoppelPaymer незамедлительно сообщил ключ расшифровки немецким властям как только был поставлен в известность о том, что атаке подверглась именно сеть UKD.
Мы думаем, что из этого последует следующее.
Во-первых, Evil Corp., купившие доступ в сеть UKD, будут серьезно разбираться с продавцом. Если их, конечно, не приберут первыми.
Потому что, во-вторых, последует официальный запрос из Германии в отношении Evil Corp. и российские правоохранители окажутся в щекотливой ситуации. Ибо сложно будет делать вид, что найти хакеров они не могут, когда те совершенно открыто рассекают по Москве на Ламбо.
И последнее. Мы вполне допускаем, что все это - осознанная провокация одной заокеанской трехбуквенной конторы, детищем которой является APT Equation. Такие операции в их стиле, да и момент выбран уж больно удачно. Поэтому возможно, что даже никакого запроса от немецких властей не будет, а сразу последует n+1 итерация санкций.
Telegram
SecAtor
Вчера немецкая газета Aachener Zeitung опубликовала статью, в которой со ссылкой на Министерство юстиции Германии сообщила, что за атакой на сеть Университетской больницы в Дюссельдорфе, в результате которой погиб не получивший своевременной неотложной помощи…
Израильская инфосек компания Check Point опубликовала технические подробности уязвимости CVE-2020-1895 в приложении Instagram для Android и iOS, которая могла привести к удаленному выполнению кода (RCE) и захвату хакером смартфона, в том числе его камеры и микрофона.
Уязвимы были версии Instagram до 128.0.0.26.128, соответствующее обновление выпущено Facebook еще в феврале. И вот теперь, спустя более полугода, Check Point, которые и выявили CVE-2020-1895, решили раскрыть ее детали.
Ошибка заключалась в неправильной интеграции в Instagram сторонней библиотеки Mozjpeg, предназначенной для обработки изображений JPEG. В результате некорректной работы с размером изображения могло произойти переполнение кучи, что, в свою очередь, потенциально приводило к RCE.
Для эксплуатации CVE-2020-1895 хакеру было достаточно отправить жертве специальным образом сформированное изображение любым образом - по электронной почте, WhatsApp, другие мессенджеры и т.д. После этого при открытии Instagram происходила эксплуатация уязвимости.
Facebook говорит, что свидетельств использования ошибки в дикой природы не имеется, но, как обычно, это совершенно не означает, что этого не было в реальности.
Уязвимы были версии Instagram до 128.0.0.26.128, соответствующее обновление выпущено Facebook еще в феврале. И вот теперь, спустя более полугода, Check Point, которые и выявили CVE-2020-1895, решили раскрыть ее детали.
Ошибка заключалась в неправильной интеграции в Instagram сторонней библиотеки Mozjpeg, предназначенной для обработки изображений JPEG. В результате некорректной работы с размером изображения могло произойти переполнение кучи, что, в свою очередь, потенциально приводило к RCE.
Для эксплуатации CVE-2020-1895 хакеру было достаточно отправить жертве специальным образом сформированное изображение любым образом - по электронной почте, WhatsApp, другие мессенджеры и т.д. После этого при открытии Instagram происходила эксплуатация уязвимости.
Facebook говорит, что свидетельств использования ошибки в дикой природы не имеется, но, как обычно, это совершенно не означает, что этого не было в реальности.
Check Point Research
#Instagram_RCE: Code Execution Vulnerability in Instagram App for Android and iOS - Check Point Research
Research by: Gal Elbaz Background Instagram, with over 100+ million photos uploaded every day, is one of the most popular social media platforms. For that reason, we decided to audit the security of the Instagram app for both Android and iOS operating systems.…
В сети появилась информация, что вчера слили исходники Windows XP.
Однако, судя по фоткам, пока мы видим солянку из старых сливов исходников. Посмотрим, появится ли что-то новое.
Однако, судя по фоткам, пока мы видим солянку из старых сливов исходников. Посмотрим, появится ли что-то новое.
Twitter
The Windows XP source code was leaked online today.
Forwarded from RT на русском
⚡️ Путин в официальном обращении предложил США сотрудничество в сфере международной информационной безопасности (МИБ). Главное:
— восстановить двусторонний регулярный межведомственный диалог по ключевым вопросам обеспечения МИБ на высоком уровне;
— поддерживать непрерывную и эффективную работу каналов связи между компетентными ведомствами стран;
— совместно разработать и заключить соглашение о предотвращении инцидентов в информационном пространстве;
— обменяться гарантиями невмешательства во внутренние дела друг друга, включая избирательные процессы
— восстановить двусторонний регулярный межведомственный диалог по ключевым вопросам обеспечения МИБ на высоком уровне;
— поддерживать непрерывную и эффективную работу каналов связи между компетентными ведомствами стран;
— совместно разработать и заключить соглашение о предотвращении инцидентов в информационном пространстве;
— обменяться гарантиями невмешательства во внутренние дела друг друга, включая избирательные процессы
Американское Агентство кибербезопасности (CISA) опубликовало отчет о киберинциденте, в котором описало факт компрометации сети неназванного федерального агентства со стороны высококвалифицированных хакеров.
Предполагается, что злоумышленники первоначально скомпрометировали учетные записи пользователей Office 365 и учетную запись администратора домена через уязвимый сервер Pulse VPN. В дальнейшем они исследовали сеть, закрепились в ней, прокинули туннель для связи с управляющим центром и стали собирать интересующую их информацию.
В процессе взлома хакеры использовали авторское вредоносное ПО Inetinfo, которое ухитрились скрыть от антивирусной защиты.
Подробное описание атаки содержится в отчете CISA, правда никакой информации о том, кто и когда был атакован, нет.
Нет сомнения, что эта атака - результат активности прогосударственной APT, которая таким образом осуществляла свою кибершпионскую деятельность.
Ну а мы в очередной раз передаем привет всем эффективным управленцам (государственным и коммерческим), которые полагают что информационную безопасность можно организовать за мелкий прайс. Ведь главное дать строгое указание (нет).
Предполагается, что злоумышленники первоначально скомпрометировали учетные записи пользователей Office 365 и учетную запись администратора домена через уязвимый сервер Pulse VPN. В дальнейшем они исследовали сеть, закрепились в ней, прокинули туннель для связи с управляющим центром и стали собирать интересующую их информацию.
В процессе взлома хакеры использовали авторское вредоносное ПО Inetinfo, которое ухитрились скрыть от антивирусной защиты.
Подробное описание атаки содержится в отчете CISA, правда никакой информации о том, кто и когда был атакован, нет.
Нет сомнения, что эта атака - результат активности прогосударственной APT, которая таким образом осуществляла свою кибершпионскую деятельность.
Ну а мы в очередной раз передаем привет всем эффективным управленцам (государственным и коммерческим), которые полагают что информационную безопасность можно организовать за мелкий прайс. Ведь главное дать строгое указание (нет).