"Родители Юдоколиса сказали ему - не унывай, сынок, ситуация может быть намного хуже. Он приободрился. И ситуация действительно стала намного хуже." (с) Kaveret - Hamakolet
Израильтяне напоминают нам про прописные истины информационной безопасности.
Израильтяне напоминают нам про прописные истины информационной безопасности.
Twitter
Gil Solomon
"הוריו של יודוקוליס אמרו לו: 'התעודד, בננו, המצב יכול להיות הרבה יותר גרוע', אז הוא התעודד, והמצב אכן נהיה הרבה יותר גרוע."
Из инфосек сообщества приходят интересные инсайды по поводу атаки ransoware DoppelPaymer на сеть Университетской больницы в Дюссельдорфе (UKD), в результате которой погиб не получивший своевременной неотложной помощи пациент.
Когда в январе 2020 года появилась информация об уязвимости CVE-2019-19781 в Citrix ADC хакеры всех мастей стали срочно пылесосить сеть на предмет выявления уязвимых серверов. Тогда же был взломан сервер UKD, благодаря чему злоумышленники проникли в сеть больницы. Администраторы UKD пропатчили свой Citrix, но бэкдор уже сидел внутри.
А уже в конце лета доступ к сети UKD был продан оператору DoppelPaymer под видом доступа в сеть Университета, поскольку во взломах больничных сетей владельцы ransomware не заинтересованы и такие бэкдоры не покупают.
Это частично подтверждается информацией немецкой газеты Aachener Zeitung, которая сообщила, что Citrix ADC больничной сети был своевременно обновлен еще зимой. А также тем, что оператор DoppelPaymer незамедлительно сообщил ключ расшифровки немецким властям как только был поставлен в известность о том, что атаке подверглась именно сеть UKD.
Мы думаем, что из этого последует следующее.
Во-первых, Evil Corp., купившие доступ в сеть UKD, будут серьезно разбираться с продавцом. Если их, конечно, не приберут первыми.
Потому что, во-вторых, последует официальный запрос из Германии в отношении Evil Corp. и российские правоохранители окажутся в щекотливой ситуации. Ибо сложно будет делать вид, что найти хакеров они не могут, когда те совершенно открыто рассекают по Москве на Ламбо.
И последнее. Мы вполне допускаем, что все это - осознанная провокация одной заокеанской трехбуквенной конторы, детищем которой является APT Equation. Такие операции в их стиле, да и момент выбран уж больно удачно. Поэтому возможно, что даже никакого запроса от немецких властей не будет, а сразу последует n+1 итерация санкций.
Когда в январе 2020 года появилась информация об уязвимости CVE-2019-19781 в Citrix ADC хакеры всех мастей стали срочно пылесосить сеть на предмет выявления уязвимых серверов. Тогда же был взломан сервер UKD, благодаря чему злоумышленники проникли в сеть больницы. Администраторы UKD пропатчили свой Citrix, но бэкдор уже сидел внутри.
А уже в конце лета доступ к сети UKD был продан оператору DoppelPaymer под видом доступа в сеть Университета, поскольку во взломах больничных сетей владельцы ransomware не заинтересованы и такие бэкдоры не покупают.
Это частично подтверждается информацией немецкой газеты Aachener Zeitung, которая сообщила, что Citrix ADC больничной сети был своевременно обновлен еще зимой. А также тем, что оператор DoppelPaymer незамедлительно сообщил ключ расшифровки немецким властям как только был поставлен в известность о том, что атаке подверглась именно сеть UKD.
Мы думаем, что из этого последует следующее.
Во-первых, Evil Corp., купившие доступ в сеть UKD, будут серьезно разбираться с продавцом. Если их, конечно, не приберут первыми.
Потому что, во-вторых, последует официальный запрос из Германии в отношении Evil Corp. и российские правоохранители окажутся в щекотливой ситуации. Ибо сложно будет делать вид, что найти хакеров они не могут, когда те совершенно открыто рассекают по Москве на Ламбо.
И последнее. Мы вполне допускаем, что все это - осознанная провокация одной заокеанской трехбуквенной конторы, детищем которой является APT Equation. Такие операции в их стиле, да и момент выбран уж больно удачно. Поэтому возможно, что даже никакого запроса от немецких властей не будет, а сразу последует n+1 итерация санкций.
Telegram
SecAtor
Вчера немецкая газета Aachener Zeitung опубликовала статью, в которой со ссылкой на Министерство юстиции Германии сообщила, что за атакой на сеть Университетской больницы в Дюссельдорфе, в результате которой погиб не получивший своевременной неотложной помощи…
Израильская инфосек компания Check Point опубликовала технические подробности уязвимости CVE-2020-1895 в приложении Instagram для Android и iOS, которая могла привести к удаленному выполнению кода (RCE) и захвату хакером смартфона, в том числе его камеры и микрофона.
Уязвимы были версии Instagram до 128.0.0.26.128, соответствующее обновление выпущено Facebook еще в феврале. И вот теперь, спустя более полугода, Check Point, которые и выявили CVE-2020-1895, решили раскрыть ее детали.
Ошибка заключалась в неправильной интеграции в Instagram сторонней библиотеки Mozjpeg, предназначенной для обработки изображений JPEG. В результате некорректной работы с размером изображения могло произойти переполнение кучи, что, в свою очередь, потенциально приводило к RCE.
Для эксплуатации CVE-2020-1895 хакеру было достаточно отправить жертве специальным образом сформированное изображение любым образом - по электронной почте, WhatsApp, другие мессенджеры и т.д. После этого при открытии Instagram происходила эксплуатация уязвимости.
Facebook говорит, что свидетельств использования ошибки в дикой природы не имеется, но, как обычно, это совершенно не означает, что этого не было в реальности.
Уязвимы были версии Instagram до 128.0.0.26.128, соответствующее обновление выпущено Facebook еще в феврале. И вот теперь, спустя более полугода, Check Point, которые и выявили CVE-2020-1895, решили раскрыть ее детали.
Ошибка заключалась в неправильной интеграции в Instagram сторонней библиотеки Mozjpeg, предназначенной для обработки изображений JPEG. В результате некорректной работы с размером изображения могло произойти переполнение кучи, что, в свою очередь, потенциально приводило к RCE.
Для эксплуатации CVE-2020-1895 хакеру было достаточно отправить жертве специальным образом сформированное изображение любым образом - по электронной почте, WhatsApp, другие мессенджеры и т.д. После этого при открытии Instagram происходила эксплуатация уязвимости.
Facebook говорит, что свидетельств использования ошибки в дикой природы не имеется, но, как обычно, это совершенно не означает, что этого не было в реальности.
Check Point Research
#Instagram_RCE: Code Execution Vulnerability in Instagram App for Android and iOS - Check Point Research
Research by: Gal Elbaz Background Instagram, with over 100+ million photos uploaded every day, is one of the most popular social media platforms. For that reason, we decided to audit the security of the Instagram app for both Android and iOS operating systems.…
В сети появилась информация, что вчера слили исходники Windows XP.
Однако, судя по фоткам, пока мы видим солянку из старых сливов исходников. Посмотрим, появится ли что-то новое.
Однако, судя по фоткам, пока мы видим солянку из старых сливов исходников. Посмотрим, появится ли что-то новое.
Twitter
The Windows XP source code was leaked online today.
Forwarded from RT на русском
⚡️ Путин в официальном обращении предложил США сотрудничество в сфере международной информационной безопасности (МИБ). Главное:
— восстановить двусторонний регулярный межведомственный диалог по ключевым вопросам обеспечения МИБ на высоком уровне;
— поддерживать непрерывную и эффективную работу каналов связи между компетентными ведомствами стран;
— совместно разработать и заключить соглашение о предотвращении инцидентов в информационном пространстве;
— обменяться гарантиями невмешательства во внутренние дела друг друга, включая избирательные процессы
— восстановить двусторонний регулярный межведомственный диалог по ключевым вопросам обеспечения МИБ на высоком уровне;
— поддерживать непрерывную и эффективную работу каналов связи между компетентными ведомствами стран;
— совместно разработать и заключить соглашение о предотвращении инцидентов в информационном пространстве;
— обменяться гарантиями невмешательства во внутренние дела друг друга, включая избирательные процессы
Американское Агентство кибербезопасности (CISA) опубликовало отчет о киберинциденте, в котором описало факт компрометации сети неназванного федерального агентства со стороны высококвалифицированных хакеров.
Предполагается, что злоумышленники первоначально скомпрометировали учетные записи пользователей Office 365 и учетную запись администратора домена через уязвимый сервер Pulse VPN. В дальнейшем они исследовали сеть, закрепились в ней, прокинули туннель для связи с управляющим центром и стали собирать интересующую их информацию.
В процессе взлома хакеры использовали авторское вредоносное ПО Inetinfo, которое ухитрились скрыть от антивирусной защиты.
Подробное описание атаки содержится в отчете CISA, правда никакой информации о том, кто и когда был атакован, нет.
Нет сомнения, что эта атака - результат активности прогосударственной APT, которая таким образом осуществляла свою кибершпионскую деятельность.
Ну а мы в очередной раз передаем привет всем эффективным управленцам (государственным и коммерческим), которые полагают что информационную безопасность можно организовать за мелкий прайс. Ведь главное дать строгое указание (нет).
Предполагается, что злоумышленники первоначально скомпрометировали учетные записи пользователей Office 365 и учетную запись администратора домена через уязвимый сервер Pulse VPN. В дальнейшем они исследовали сеть, закрепились в ней, прокинули туннель для связи с управляющим центром и стали собирать интересующую их информацию.
В процессе взлома хакеры использовали авторское вредоносное ПО Inetinfo, которое ухитрились скрыть от антивирусной защиты.
Подробное описание атаки содержится в отчете CISA, правда никакой информации о том, кто и когда был атакован, нет.
Нет сомнения, что эта атака - результат активности прогосударственной APT, которая таким образом осуществляла свою кибершпионскую деятельность.
Ну а мы в очередной раз передаем привет всем эффективным управленцам (государственным и коммерческим), которые полагают что информационную безопасность можно организовать за мелкий прайс. Ведь главное дать строгое указание (нет).
Немного инфосек юмора (Agent Tesla - троян удаленного доступа с функцией кейлогера).
Twitter
Brad
I can't be the only one who's thought of this...
Тебя взломали, мы знаем, что ты посещал сайты для взрослых. У тебя есть ровно шесть часов, чтобы найти 1000$, и мы уничтожим эту информацию. В противном случае о твоих тайных увлечениях узнают все: коллеги, друзья, супруга и дети. Время пошло.
Звучит убедительно? Социальная инженерия — самый популярный способ атак на пользователей. Автор канала @Social_Engineering объяснит, какие существуют методы атак с использованием социальной инженерии а так же расскажет, как обезопасить себя от таких атак.
Но это еще не всё. @Social_Engineering расскажет, как сохранить приватность и не оставлять лишних следов.
Бонус — методы поиска информации, вы найдете инструкции, как составить на пользователя досье, используя только открытые источники.
@Social_Engineering
Звучит убедительно? Социальная инженерия — самый популярный способ атак на пользователей. Автор канала @Social_Engineering объяснит, какие существуют методы атак с использованием социальной инженерии а так же расскажет, как обезопасить себя от таких атак.
Но это еще не всё. @Social_Engineering расскажет, как сохранить приватность и не оставлять лишних следов.
Бонус — методы поиска информации, вы найдете инструкции, как составить на пользователя досье, используя только открытые источники.
@Social_Engineering
Telegram
Social Engineering
Делаем уникальные знания доступными.
Вакансии - @infosec_work
Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot
Сотрудничество — @SEAdm1n
РКН: https://vk.cc/cN3VwI
Вакансии - @infosec_work
Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot
Сотрудничество — @SEAdm1n
РКН: https://vk.cc/cN3VwI
Что-то из Германии плотно пошло.
Немецкий инфосек журналист сообщает в Twitter, что предположительно 15 сентября Национальное антидопинговое агентство Германии (NADA) было взломано.
И хотя расследование пока еще на ранней стадии, уже появился подозреваемый - это российская APT 28 aka Fancy Bear, которая, как считается, работает на ГРУ. Правда тут же допускается оговорка - "пока слишком рано что-то утверждать точно".
Что же, подождем TTPs. Хотя их, скорее всего, не будет.
Немецкий инфосек журналист сообщает в Twitter, что предположительно 15 сентября Национальное антидопинговое агентство Германии (NADA) было взломано.
И хотя расследование пока еще на ранней стадии, уже появился подозреваемый - это российская APT 28 aka Fancy Bear, которая, как считается, работает на ГРУ. Правда тут же допускается оговорка - "пока слишком рано что-то утверждать точно".
Что же, подождем TTPs. Хотя их, скорее всего, не будет.
Twitter
hakan
New: The German National Anti-Doping-Agency (NADA) was hacked. Suspicious mails were noticed starting Sep. 15th. Investigation is in early stages, sources tell @FlorianFlade and me that method used matches APT28, but too early to say for sure. https://t.co/QlfUTOOzDy
Оператор ransomware Sodinokibi (REvil) демонстрирует, что денег у него - как известной субстанции за баней.
Sodinokibi, как и многие другие вымогатели, работает по схеме RaaS (Ransomware-as-a-Service), предлагая хакерам воспользоваться своей вредоносной инфраструктурой для атаки на сеть жертвы. В целях расширения своей деятельности стоящая за Sodinokibi группировка размещает объявления на хакерских форумах, приглашая к сотрудничеству талантливых хакеров, которые могут взломать сети крупных компаний, с которых можно потребовать большой выкуп.
В качестве подтверждения серьезности своих намерений представитель хакерской группы под псевдонимом Unknown внес на депозитный биткоин-кошелек, привязанный к одному из форумов, 99 BTC, что эквивалентно приблизительно 1 млн. долларов США.
Этим REvil показали, что не особо сильно беспокоятся о судьбе таких денег, поскольку доступ к кошельку имеют администраторы форума.
А мы давно говорили, что скоро операторы ransomware будут богаче наркокартелей.
Sodinokibi, как и многие другие вымогатели, работает по схеме RaaS (Ransomware-as-a-Service), предлагая хакерам воспользоваться своей вредоносной инфраструктурой для атаки на сеть жертвы. В целях расширения своей деятельности стоящая за Sodinokibi группировка размещает объявления на хакерских форумах, приглашая к сотрудничеству талантливых хакеров, которые могут взломать сети крупных компаний, с которых можно потребовать большой выкуп.
В качестве подтверждения серьезности своих намерений представитель хакерской группы под псевдонимом Unknown внес на депозитный биткоин-кошелек, привязанный к одному из форумов, 99 BTC, что эквивалентно приблизительно 1 млн. долларов США.
Этим REvil показали, что не особо сильно беспокоятся о судьбе таких денег, поскольку доступ к кошельку имеют администраторы форума.
А мы давно говорили, что скоро операторы ransomware будут богаче наркокартелей.
Ну и, чтобы почтенная публика могла просто представить масштаб активности ransomware, дадим краткое перечисление событий, которые случились в мире шифровальщиков всего за одну неделю (используя материалы BleepingComputer).
1. Успешно атакована итальянская компания Luxottica, которая является крупнейшим в мире производителем очков.
2. Успешно атакована американская компания Tyler Technoligies, один из крупнейших поставщиков программного обеспечения и ИТ-услуг для государственного сектора США.
3. Найден новый вымогатель Egregor, оставляющий записку с требованием выкупа под названием RECOVER-FILES.txt.
4. Найден новый вариант вымогателя LeakThemAll, добавляющий расширение .montana к зашифрованным файлам.
5. Найдено новое ransomware (названия пока не дали), добавляющее расширение .zhen к зашифрованным файлам.
6. Обнаружен новый вариант ransomware STOP, добавляющий расширение .kolz к зашифрованным файлам.
7. Инфосек компания Tesorion опубликовала отчет о новом семействе вымогателей ThunderX, а также анонсировала бесплатный дешифратор.
8. Найдено новое ransomware (название пока не дали), добавляющее расширение .encrypted к зашифрованным файлам.
9. Выявлен новый вариант вымогателя Matrix, добавляющий расширение .JB88 к зашифрованным файлам.
10. Обнаружен новый вариант ransomware Nefilim, добавляющий расширение .TRAPGET к зашифрованным файлам.
11. Выявлен новый вариант вымогателя Matrix, добавляющий расширение .FG69 к зашифрованным файлам.
12. Выявлен новый вариант вымогателя Matrix, добавляющий расширение .AW46 к зашифрованным файлам.
13. Обнаружено новое ransomware (названия пока нет), добавляющее расширение .CRPTD к зашифрованным файлам.
14. Group-IB опубликовала отчет о русскоязычном операторе ransomware OldGremlin, атакующем исключительно российские компании.
15. Найден новый вымогатель, выдающий себя за ransomware Sodinokibi. Скорее всего это просто wiper.
16. Описано новое семейство ransomware MountLocker, нацеленное на сети крупных коммерческих организаций.
17. Выявлен новый вымогатель Dusk v1.0.
18. Обнаружено новое ransomware Exorcist 2.0.
19. Найден новый вариант вымогателя STOP, добавляющий расширение .copa к зашифрованным файлам.
20. Найдено новый вариант вымогателя Matrix, добавляющий расширение .DEUS к зашифрованным файлам.
И все это за одну неделю! У нас тут кроме эпидемии коронавируса нарисовалась, похоже, еще и эпидемия ransomware. Только про нее никто не говорит.
1. Успешно атакована итальянская компания Luxottica, которая является крупнейшим в мире производителем очков.
2. Успешно атакована американская компания Tyler Technoligies, один из крупнейших поставщиков программного обеспечения и ИТ-услуг для государственного сектора США.
3. Найден новый вымогатель Egregor, оставляющий записку с требованием выкупа под названием RECOVER-FILES.txt.
4. Найден новый вариант вымогателя LeakThemAll, добавляющий расширение .montana к зашифрованным файлам.
5. Найдено новое ransomware (названия пока не дали), добавляющее расширение .zhen к зашифрованным файлам.
6. Обнаружен новый вариант ransomware STOP, добавляющий расширение .kolz к зашифрованным файлам.
7. Инфосек компания Tesorion опубликовала отчет о новом семействе вымогателей ThunderX, а также анонсировала бесплатный дешифратор.
8. Найдено новое ransomware (название пока не дали), добавляющее расширение .encrypted к зашифрованным файлам.
9. Выявлен новый вариант вымогателя Matrix, добавляющий расширение .JB88 к зашифрованным файлам.
10. Обнаружен новый вариант ransomware Nefilim, добавляющий расширение .TRAPGET к зашифрованным файлам.
11. Выявлен новый вариант вымогателя Matrix, добавляющий расширение .FG69 к зашифрованным файлам.
12. Выявлен новый вариант вымогателя Matrix, добавляющий расширение .AW46 к зашифрованным файлам.
13. Обнаружено новое ransomware (названия пока нет), добавляющее расширение .CRPTD к зашифрованным файлам.
14. Group-IB опубликовала отчет о русскоязычном операторе ransomware OldGremlin, атакующем исключительно российские компании.
15. Найден новый вымогатель, выдающий себя за ransomware Sodinokibi. Скорее всего это просто wiper.
16. Описано новое семейство ransomware MountLocker, нацеленное на сети крупных коммерческих организаций.
17. Выявлен новый вымогатель Dusk v1.0.
18. Обнаружено новое ransomware Exorcist 2.0.
19. Найден новый вариант вымогателя STOP, добавляющий расширение .copa к зашифрованным файлам.
20. Найдено новый вариант вымогателя Matrix, добавляющий расширение .DEUS к зашифрованным файлам.
И все это за одну неделю! У нас тут кроме эпидемии коронавируса нарисовалась, похоже, еще и эпидемия ransomware. Только про нее никто не говорит.
BleepingComputer
The Week in Ransomware - September 25th 2020 - A Modern-Day Gold Rush
This week showed continued attacks against large organizations as new ransomware operations rush to join a modern-day ransomware gold rush.
История со взломом Tyler Technologies, одного из крупнейших поставщиков программного обеспечения и ИТ-услуг для государственного сектора США, оператором ransomware RansomExx, о которой стало известно на прошлой неделе, получает неожиданное продолжение.
Оказалось, что мы были правы, когда писали про то, что такие компании как Tyler могут стать целью атак на цепочку поставок. Только мы имели в виду атаки, которые осуществляются прогосударственными APT для дальнейшего внедрения своих бэкдоров в используемое правительственными структурами технологические системы. А в данном случае, как стало известно в выходные, атаку на цепочку поставок провела именно стоящая за вымогателем хакерская группа.
Клиенты Tyler Technologies стали сообщать, что в их сетях появились подозрительные учетные записи, а также установленное третьими лицами ПО удаленного доступа (например, BeyondTrust). После этого, сети некоторых клиентов были атакованы ransomware.
Представители Tyler Technologies в выходные признали, что их взломанные ресурсы могли стать отправной точкой для дальнейшей атаки на сети их партнеров - "мы настоятельно рекомендуем сбросить учетные записи удаленного доступа сотрудников Tyler".
На нашей памяти это первая атака операторов ransomware на цепочку поставок. Очередной ящик Пандоры оказался открыт. Впрочем, этого следовало ожидать.
И еще одна интересная деталь, политическая. По данным Reuters, производимое Tyler ПО планируется использовать на предстоящих президентских выборах в США для передачи результатов голосования с участков в избирательные комиссии. Как быстро появится версия о причастности России к взлому Tyler Technologies?
Оказалось, что мы были правы, когда писали про то, что такие компании как Tyler могут стать целью атак на цепочку поставок. Только мы имели в виду атаки, которые осуществляются прогосударственными APT для дальнейшего внедрения своих бэкдоров в используемое правительственными структурами технологические системы. А в данном случае, как стало известно в выходные, атаку на цепочку поставок провела именно стоящая за вымогателем хакерская группа.
Клиенты Tyler Technologies стали сообщать, что в их сетях появились подозрительные учетные записи, а также установленное третьими лицами ПО удаленного доступа (например, BeyondTrust). После этого, сети некоторых клиентов были атакованы ransomware.
Представители Tyler Technologies в выходные признали, что их взломанные ресурсы могли стать отправной точкой для дальнейшей атаки на сети их партнеров - "мы настоятельно рекомендуем сбросить учетные записи удаленного доступа сотрудников Tyler".
На нашей памяти это первая атака операторов ransomware на цепочку поставок. Очередной ящик Пандоры оказался открыт. Впрочем, этого следовало ожидать.
И еще одна интересная деталь, политическая. По данным Reuters, производимое Tyler ПО планируется использовать на предстоящих президентских выборах в США для передачи результатов голосования с участков в избирательные комиссии. Как быстро появится версия о причастности России к взлому Tyler Technologies?
Telegram
mp3bood🐥. in Masterpiece SCRIMS
@MasterpieceScrims ♡
صباح الخير🤍
عندنا سكرم (اختياري) 🔥
اللوت مدبل✔️
نتائج توب 3 ✔️
التوحيد من 2✔️
• التسجيل : 3:40
• كود اول روم ينزل:4:00
• التسجيل عند :@qq52p
•طريقة التسجيل:
Masterpiece | mp | 🇸🇦🇦🇪
صباح الخير🤍
عندنا سكرم (اختياري) 🔥
اللوت مدبل✔️
نتائج توب 3 ✔️
التوحيد من 2✔️
• التسجيل : 3:40
• كود اول روم ينزل:4:00
• التسجيل عند :@qq52p
•طريقة التسجيل:
Masterpiece | mp | 🇸🇦🇦🇪
Исследователи из индийской инфосек компании Quick Heal опубликовали материал в отношении кибероперации SideCopy, проводимой с начала 2019 года в отношении индийских вооенных учреждений.
Индийцы выявили три вектора атаки, во всех в качестве первичного заражения использовался целевой фишинг. В качестве приманки использовался документ, посвященный политике оборонного производства Индии.
В принципе, ничего выдающегося в SideCopy нет - стандартные приемы APT, кроме одной особенности. Согласно утверждениям индийцев, хакерская группа, стоящая за операцией, частично копирует TTPs индийской же APT SideWinder. В то же время, управляющая инфраструктура и набор инструментов (в том числе описанный ранее Касперскими Crimson RAT) указывают на пакистанскую APT Transparent Tribe. Мы рассказывали про проделки пакистанских хакеров здесь.
По всей видимости, пакистанцы решили потроллить своих индийских визави.
#APT #TransparentTribe
Индийцы выявили три вектора атаки, во всех в качестве первичного заражения использовался целевой фишинг. В качестве приманки использовался документ, посвященный политике оборонного производства Индии.
В принципе, ничего выдающегося в SideCopy нет - стандартные приемы APT, кроме одной особенности. Согласно утверждениям индийцев, хакерская группа, стоящая за операцией, частично копирует TTPs индийской же APT SideWinder. В то же время, управляющая инфраструктура и набор инструментов (в том числе описанный ранее Касперскими Crimson RAT) указывают на пакистанскую APT Transparent Tribe. Мы рассказывали про проделки пакистанских хакеров здесь.
По всей видимости, пакистанцы решили потроллить своих индийских визави.
#APT #TransparentTribe
Blogs on Information Technology, Network & Cybersecurity | Seqrite
Operation SideCopy!
<p>An insight into Transparent Tribe’s sub-division which has been incorrectly attributed for years. Introduction Quick Heal’s threat intelligence team recently uncovered evidence of an advanced persistent threat (APT) against Indian defence forces. Our analysis…
И снова больницы.
Сеть американской компании Universal Health Services (UHS), которая является одним из крупнейших поставщиков медицинских услуг в США, в в ночь с субботы на воскресенье подверглась атаке ransomware. Всего под управлением компании более 400 больниц в США и Великобритании.
С утра 27 октября часть больниц UHS работает без компьютерной поддержки. Прекращены лабораторные исследования, пациенты перенаправляются в другие медицинские учреждения.
Как пишут пользователи Reddit, в некоторых психиатрических больницах UHS пациентам перестали выдавать лекарства, поскольку все назначения хранились в цифровом виде.
В соцсетях пишут, что за атакой стоит ransomware Ryuk. Это достаточно старый штамм, который был впервые замечен еще в 2018 году. Более того, в последние месяцы он был не активен и считалось, что Ryuk исдох и на сцену вышел его преемник - Conti. Однако, здравствуйте.
Кстати, операторам Ryuk приписывают произошедшую в декабре 2019 года атаку на больницу в чешском городе Бенешове.
Изначально Ryuk приписывали северокорейской APT Lazarus. Но затем некоторые инфосек компании стали связывать его с российскими коммерческими хакерскими группами, в частности с Wizard Spider (оператор банковского трояна TrickBot).
Более того, в последнее время в западном инфосек появилось несколько материалов о "связи российских коммерческих хакерских групп и северокорейских кибертеррористов". Так что при желании атаку на UHS можно использовать в качестве основания для очередных санкций против России.
И не можем не вспомнить воззвание Микко Хиппонена, главного исследователя F-Secure, обращенное к операторам ransomware:
"Отъе*итесь от медицинских организаций. Если вы начнете атаковать больничные сети в период пандемии, то мы используем все наши ресурсы, чтобы найти вас".
Похоже, что не подействовало.
Сеть американской компании Universal Health Services (UHS), которая является одним из крупнейших поставщиков медицинских услуг в США, в в ночь с субботы на воскресенье подверглась атаке ransomware. Всего под управлением компании более 400 больниц в США и Великобритании.
С утра 27 октября часть больниц UHS работает без компьютерной поддержки. Прекращены лабораторные исследования, пациенты перенаправляются в другие медицинские учреждения.
Как пишут пользователи Reddit, в некоторых психиатрических больницах UHS пациентам перестали выдавать лекарства, поскольку все назначения хранились в цифровом виде.
В соцсетях пишут, что за атакой стоит ransomware Ryuk. Это достаточно старый штамм, который был впервые замечен еще в 2018 году. Более того, в последние месяцы он был не активен и считалось, что Ryuk исдох и на сцену вышел его преемник - Conti. Однако, здравствуйте.
Кстати, операторам Ryuk приписывают произошедшую в декабре 2019 года атаку на больницу в чешском городе Бенешове.
Изначально Ryuk приписывали северокорейской APT Lazarus. Но затем некоторые инфосек компании стали связывать его с российскими коммерческими хакерскими группами, в частности с Wizard Spider (оператор банковского трояна TrickBot).
Более того, в последнее время в западном инфосек появилось несколько материалов о "связи российских коммерческих хакерских групп и северокорейских кибертеррористов". Так что при желании атаку на UHS можно использовать в качестве основания для очередных санкций против России.
И не можем не вспомнить воззвание Микко Хиппонена, главного исследователя F-Secure, обращенное к операторам ransomware:
"Отъе*итесь от медицинских организаций. Если вы начнете атаковать больничные сети в период пандемии, то мы используем все наши ресурсы, чтобы найти вас".
Похоже, что не подействовало.
Twitter
@mikko
Public message to ransomware gangs: Stay the f away from medical organizations. If you target hospital computer systems during the pandemic, we will use all of our resources to hunt you down.
Вам не кажется, что в новостной ленте стало слишком много ransomware? Нам, например, кажется, но ничего поделать мы не можем, это срез сегодняшней ситуации в инфосек.
ZDNet сообщает, что после свежей новости об успешной атаке ransomware на ресурсы французского судоходного гиганта CMA CGM тему вымогателей в отрасли морского судоходства можно закрывать. Поскольку это была последняя (один из наших редакторов настаивает на формулировке "крайняя", но мы его не слушаем, он три раза из самолета катапультировался, причем "крайний" раз неудачно) из четырех ведущих мировых судоходных компаний, ставшая жертвой ransomware.
В июне 2017 A.P. Moller-Maersk словил NotPetya.
В июле 2018 оператор ransomware успешно атаковал COSCO.
В апреле этого года неназванный вымогатель остановил ЦОДы Mediterranean Shipping Company.
И вот вчера CMA CGM в результате атаки Ragnar Locker отключили часть своих сервисов, в том числе систему бронирования контейнеров.
А Ragnar Locker - это друзья и партнеры по "картелю" русскоязычного владельца Maze, с которым они даже поделились техникой развертывания вымогателя в виртуальной машине, что помогает скрыть его активность по шифрованию файлов от антивирусных систем. А еще Ragnar Locker успешно зарансомили европейского энергетического гиганта Energias de Portugal, но мы про это не раз уже писали.
Такая вот драма. Шекспир и племянники (с)
ZDNet сообщает, что после свежей новости об успешной атаке ransomware на ресурсы французского судоходного гиганта CMA CGM тему вымогателей в отрасли морского судоходства можно закрывать. Поскольку это была последняя (один из наших редакторов настаивает на формулировке "крайняя", но мы его не слушаем, он три раза из самолета катапультировался, причем "крайний" раз неудачно) из четырех ведущих мировых судоходных компаний, ставшая жертвой ransomware.
В июне 2017 A.P. Moller-Maersk словил NotPetya.
В июле 2018 оператор ransomware успешно атаковал COSCO.
В апреле этого года неназванный вымогатель остановил ЦОДы Mediterranean Shipping Company.
И вот вчера CMA CGM в результате атаки Ragnar Locker отключили часть своих сервисов, в том числе систему бронирования контейнеров.
А Ragnar Locker - это друзья и партнеры по "картелю" русскоязычного владельца Maze, с которым они даже поделились техникой развертывания вымогателя в виртуальной машине, что помогает скрыть его активность по шифрованию файлов от антивирусных систем. А еще Ragnar Locker успешно зарансомили европейского энергетического гиганта Energias de Portugal, но мы про это не раз уже писали.
Такая вот драма. Шекспир и племянники (с)
ZDNet
All four of the world's largest shipping companies have now been hit by cyber-attacks
Maritime industry needs to focus more on securing shore-based systems and stop prioritizing the less likely ship-based attacks.
Forbes просмотрели отчет о новой экономике в даркнете команды Armor TRU и раскопали информацию про хакерский университет HackTown, предлагающий в даркнете курсы по киберпреступности.
Изначально HackTown предлагает несколько бесплатных базовых курсов, но за плату в размере 125 долларов дает доступ к широкому набору "лекций", посвященных разным аспектам киберпреступной деятельности - как взламывать Wi-Fi, как развернуть RAT, как вывести украденные деньги, как брутфорсить, как организовать атаку MITM и пр. Причем курсы, согласно описанию HackTown, рассчитаны на людей, слабо разбирающихся в современных ИТ-технологиях. Эдакий "Хакинг для чайников".
Мы, значит, людей по CISSP сертифицируем, а мамкины хакеры в HackTown бегут. Хотя, скорее всего, это тупо разводка на деньги. Лох не мамонт даже в даркнете.
Изначально HackTown предлагает несколько бесплатных базовых курсов, но за плату в размере 125 долларов дает доступ к широкому набору "лекций", посвященных разным аспектам киберпреступной деятельности - как взламывать Wi-Fi, как развернуть RAT, как вывести украденные деньги, как брутфорсить, как организовать атаку MITM и пр. Причем курсы, согласно описанию HackTown, рассчитаны на людей, слабо разбирающихся в современных ИТ-технологиях. Эдакий "Хакинг для чайников".
Мы, значит, людей по CISSP сертифицируем, а мамкины хакеры в HackTown бегут. Хотя, скорее всего, это тупо разводка на деньги. Лох не мамонт даже в даркнете.
Forbes
This ‘Hacker University’ Offers Dark Web Cybercrime Degrees For $125
Underground 'HackTown' education facility teaches wannabe hackers how to become professional cybercriminals
Мы кое-что очень интересное нашли.
Если помните - мы писали отдельный обзор, посвященный американской APT Equation, которая фактически является подразделением в составе Управления по компьютерным сетевым операциям (CNO) АНБ.
Еще тогда мы упоминали, что, судя по косвенным данным, Equation либо принимали непосредственное участие, либо оказывали техническую поддержку израильским спецслужбам в проведении операции Stuxnet против иранских центрифуг по обогащению урана. Этими данными было найденное Касперскими сходство между Stuxnet и принадлежащим американским хакерам вредоносом Fanny, а также утверждение хакеров из Shadow Brokers, сливших в сеть в 2016-2017 годах кучу внутренней информации Equation, в том числе пресловутые эксплойт EternalBlue и бэкдор DoublePulsar, использовавшиеся потом в WannaCry.
И вот аргентинский исследователь Факундо Муньос поподробнее изучил данные Сноудена, информацию Shadow Brokers, а также материалы расследования Касперских в отношении Equation, и сделал интересные выводы.
В двух частях своего исследования (раз и два) ресерчер показывает, что примерно в 2008-2009 годах Equation разработала два эксплойта, которые в дальнейшем были переданы разработчикам Stuxnet для усиления его возможности по распространению в атакованных сетях.
Шах и мат, аметисты! Все тайное рано или поздно становится явным.
Если помните - мы писали отдельный обзор, посвященный американской APT Equation, которая фактически является подразделением в составе Управления по компьютерным сетевым операциям (CNO) АНБ.
Еще тогда мы упоминали, что, судя по косвенным данным, Equation либо принимали непосредственное участие, либо оказывали техническую поддержку израильским спецслужбам в проведении операции Stuxnet против иранских центрифуг по обогащению урана. Этими данными было найденное Касперскими сходство между Stuxnet и принадлежащим американским хакерам вредоносом Fanny, а также утверждение хакеров из Shadow Brokers, сливших в сеть в 2016-2017 годах кучу внутренней информации Equation, в том числе пресловутые эксплойт EternalBlue и бэкдор DoublePulsar, использовавшиеся потом в WannaCry.
И вот аргентинский исследователь Факундо Муньос поподробнее изучил данные Сноудена, информацию Shadow Brokers, а также материалы расследования Касперских в отношении Equation, и сделал интересные выводы.
В двух частях своего исследования (раз и два) ресерчер показывает, что примерно в 2008-2009 годах Equation разработала два эксплойта, которые в дальнейшем были переданы разработчикам Stuxnet для усиления его возможности по распространению в атакованных сетях.
Шах и мат, аметисты! Все тайное рано или поздно становится явным.
Новостей про ransomware появляется так много, что приходится писать только про самые-самые. Например, про атаку на американскую страховую компанию Arthur J. Gallagher мы писать не будем, хотя у нее дохода под 7 млрд. долларов.
Мы напишем про всем известную швейцарскую часовую компанию Swatch Group. А если она кому-то неизвестна, то скажем, что кроме собственно марки Swatch швейцарцам принадлежит большинство известных у нас швейцарских же часовых брендов - Breguet, Omega, Longines, Blancpain, Tissot, Rado и другие. Выручка в 2019 году - почти 10 млрд. долларов (чуть меньше чем бюджет Молдавии).
В выходные Swatch Group обнаружили атаку на их ресурсы и были вынуждены отключить часть своих ИТ-систем для предотвращения ее развития.
Естественно, что такое отключение "повлияло на некоторые операции", как говорят представители Swatch.
С почти 100%-й вероятностью можно утверждать, что это атака ransomware. Какого конкретно, полагаем, станет известно в ближайшее время, поскольку Swatch заявили о своем намерении подать заявление в правоохранительные органы.
А между тем это уже пятая компания-миллиардер, которая была успешно атакована вымогателями за неделю. Кажется, владельцы ransomware полетят на Марс раньше Маска.
Мы напишем про всем известную швейцарскую часовую компанию Swatch Group. А если она кому-то неизвестна, то скажем, что кроме собственно марки Swatch швейцарцам принадлежит большинство известных у нас швейцарских же часовых брендов - Breguet, Omega, Longines, Blancpain, Tissot, Rado и другие. Выручка в 2019 году - почти 10 млрд. долларов (чуть меньше чем бюджет Молдавии).
В выходные Swatch Group обнаружили атаку на их ресурсы и были вынуждены отключить часть своих ИТ-систем для предотвращения ее развития.
Естественно, что такое отключение "повлияло на некоторые операции", как говорят представители Swatch.
С почти 100%-й вероятностью можно утверждать, что это атака ransomware. Какого конкретно, полагаем, станет известно в ближайшее время, поскольку Swatch заявили о своем намерении подать заявление в правоохранительные органы.
А между тем это уже пятая компания-миллиардер, которая была успешно атакована вымогателями за неделю. Кажется, владельцы ransomware полетят на Марс раньше Маска.
BleepingComputer
Swiss watchmaker Swatch shuts down IT systems to stop cyberattack
Swiss watchmaker Swatch Group shut down its IT systems over the weekend after identifying a cyberattack targeting its organization.
Напутали в прошлом посте. С учетом атаки ransomware Ragnar Locker на судоходного гиганта CMA CGM, Swatch - это не пятая, а шестая компания-миллиардер, атакованная вымогателями за неделю.
Telegram
SecAtor
Вам не кажется, что в новостной ленте стало слишком много ransomware? Нам, например, кажется, но ничего поделать мы не можем, это срез сегодняшней ситуации в инфосек.
ZDNet сообщает, что после свежей новости об успешной атаке ransomware на ресурсы французского…
ZDNet сообщает, что после свежей новости об успешной атаке ransomware на ресурсы французского…
ESET анонсировали выступление на онлайн конференции VB2020 localhost, в котором обещают подробно рассказать про выявленный весной этого года вредонос Ramsay, предназначенный для атак на физически изолированные сети.
Мы писали про Ramsay в мае. Судя по данным, представленным тогда ESET, этот любопытный вредонос принадлежит APT DarkSeoul, предположительно работающей на южнокорейские спецслужбы. Сейчас обещают дать более широкую информацию по этому поводу.
Если у вас есть возможность - посмотрите обязательно. Ведь что может быть красивее и сложнее атак на air-gapped сети.
Мы писали про Ramsay в мае. Судя по данным, представленным тогда ESET, этот любопытный вредонос принадлежит APT DarkSeoul, предположительно работающей на южнокорейские спецслужбы. Сейчас обещают дать более широкую информацию по этому поводу.
Если у вас есть возможность - посмотрите обязательно. Ведь что может быть красивее и сложнее атак на air-gapped сети.