Служба безопасности Украины совместно с партнерами из США и Великобритании ликвидировала крупный хакерский сервис, предоставляющий платные услуги для кибератак и взлома систем различных учреждений. За время своего существования организаторы сервиса заработали порядка миллиона долларов.
Создателями сервиса оказались граждане Украины, скрывающиеся под различными никнеймами в сети Darknet. В ходе операции были изъяты персональные компьютеры и мобильные телефоны, с помощью которых осуществлялось администрирование сервиса.
Через свою платформу злоумышленники позволяли напрямую подгружать вирусы, шпионское ПО и различные вредоносные программы для взлома систем государственных и коммерческих учреждений, пишут РИА Новости.
В ходе расследования было возбуждено уголовное дело по статьям "несанкционированное вмешательство в работу электронно-вычислительных машин (компьютеров)", "создание с целью использования, распространения или сбыта вредоносных программных" и "легализация доходов, полученных преступным путем".
Согласно данным исследования, проведенного разработчиком антивирусного ПО ESET, каждый пятый россиянин хотел бы стать хакером. При этом отмечается, что больше всего такая работа интересует молодежь до 24 лет, а также скорее мужчин (23%), чем женщин (16%).
Хакеры из FIN7 распространяли USB-накопители с вредоносным ПО под видом подарков 09.01.2022 [15:53]
Участники хакерской группировки FIN7 использовали почту США для отправки USB-накопителей с вредоносным программным обеспечением сотрудникам американских компаний, в том числе из оборонной и транспортной отраслей. Злоумышленники рассчитывают на доверчивость людей и то, что они будут использовать полученные в качестве подарка накопители на рабочих местах.
Согласно имеющимся данным, чаще всего флешки с вредоносным ПО распространялись от имени Министерства здравоохранения США и некоторых социальных служб. Для большей убедительности злоумышленники снабжали посылки описанием содержимого накопителя, утверждая, что на нём хранятся важные данные касательно эпидемии коронавирусной инфекции и актуальные рекомендации для граждан. В некоторых случаях вредоносные USB-накопители доставлялись в декоративной подарочной упаковке, как если бы они были отправлены через Amazon, и дополнялись поддельными благотворительным письмом и подарочной картой.
По данным ФБР, эта схема использовалась хакерами несколько месяцев, а первые подобные посылки были обнаружены ещё в августе прошлого года. Что касается группировки FIN7, то ей за время существования приписывают кражу не менее $1 млрд с помощью разных схем и вредоносного ПО. Источник отмечает, что хакеры не первый раз используют подобные схемы внедрения вредоносных программ в инфраструктуру компаний. Группировка FIN7 также в прошлом использовала подобную схему, доставляя жертвам посылки с поддельными подарочным сертификатом, мягкой игрушкой и USB-накопителем с бэкдором Griffon, позволяющим взять под контроль заражённый компьютер.
Роутеры TP-Link, D-Link и Netgear делают ПК уязвимыми для хакеров
Владельцы беспроводных роутеров Netgear, TP-Link, Tenda, EDiMAX, D-Link и Western Digital рискуют, что подключенные к сетям Wi-Fi в их квартирах и офисах компьютеры и другие устройства будут использованы хакерами для DDoS-атак или добычи криптовалют. Опасность кроется в уязвимости программного модуля NetUSB — он разработан тайваньской KCodes и применяется в каждом пятом сетевом устройстве в мире.
Об этом говорится в исследовании, проведенном работающей в области кибербезопасности фирмы SentinelOne. По оценке специалистов, позволяющая удаленно запускать произвольный код уязвимость затрагивает миллионы пользовательских устройств.
Задача NetUSB — обеспечить взаимодействие находящихся в беспроводной сети устройств с устройствами, подключенными к USB-порту роутера. Например, модуль позволяет компьютеру выводить документы на подключенный к роутеру принтер, как будто бы он был соединен непосредственно с самим ПК.
В SentinelOne говорят, что начали процесс раскрытия данной уязвимости (ей был присвоен идентификатор CVE-2021-45608) в сентябре прошлого года, а к октябрю у KCodes была готова пропатченная версия модуля NetUSB. Однако большинство производителей затронутых роутеров не торопятся выпускать обновленные прошивки — к настоящему времени это сделала только Netgear.
При этом киберисследователи отмечают, что пока что у них нет свидетельств использования обнаруженной бреши хакерами.
Вирус-шифровальщик атаковал тысячи школ по всему миру
Американский разработчик платформы школьного ПО Finalsite стал жертвой вируса-вымогателя — вредоносной программы, которая шифрует данные на зараженных компьютерах и требует выкуп в обмен на разблокировку. Атака затронула сайты более 8 тысяч учебных заведений по всему миру.
В результате действий злоумышленников были временно отключены сайты школ старших классов, интернатов и колледжей. Около 4500 пострадавших учреждений расположены в США, еще около 3500 — в других странах.
В компании сообщили, что зафиксировали атаку еще во вторник, 4 января, после чего изолировали свои компьютерные системы. Накануне сайты "большинства наших школ вернулись в онлайн", передает CNN со ссылкой на представителей Finalsite. "В настоящее время у нас нет никаких свидетельств того, что данные были скомпрометированы", — добавили в компании.
Из-за хакерской атаки пострадавшие школы некоторое время не могли оповещать учащихся о закрытии классов на карантин из-за коронавируса, а также принимать заявки на участие в образовательных программах. Кроме того, возникли проблемы с дистанционным обучением.
По данным киберзащитной компании Emsisoft, за последние три года вирусы-шифровальщики ежегодно атакуют более тысячи школ в США. "К сожалению, нет оснований полагать, что 2022 год будет существенно отличаться от предыдущих лет по числу инцидентов", — отметил аналитик по угрозам Emsisoft Бретт Кэллоу.
Уязвимость в игре Dark Souls 3 позволяет удаленно захватить компьютер
В онлайн-режиме популярной игры Dark Souls 3 была обнаружена уязвимость, которая позволяет злоумышленникам завладеть доступом к компьютеру жертвы и всем хранящимся на устройстве данным. Предположительно, проблема затрагивает и другие игры серии, включая Dark Souls и Dark Souls 2, а также Elden Ring, которая выйдет в феврале.
Эксплойт типа удаленного выполнения кода (RCE) был продемонстрирован во время трансляции на Twitch пользователя под ником The__Grim__Sleeper. В конце стрима игровой процесс внезапно прервался, а роботизированный голос, запущенный сам по себе через скрипт синтезатора речи Microsoft PowerShell, начал критиковать геймплей.
Dexerto отмечает, что хакер знал об уязвимости, и таким способом пытался уведомить о ней FromSoftware. Скорее всего, его прошлые попытки связаться с компанией-разработчиком были проигнорированы, поэтому он начал взламывать стримы, чтобы привлечь внимание к проблеме. После инцидента FromSoftware отключила PvP-серверы трилогии на компьютерах.
Вскоре RCE-эксплойт был устранен при помощи Blue Sentinel — античит-мода для Dark Souls 3, разработкой которого занимается сообщество игроков.
Несмотря на это, до выхода официального патча пользователям рекомендуется воздержаться от игры в Dark Souls в онлайне. Представители издательства Bandai Namco сообщили, что в курсе ситуации, и занимаются устранением проблемы.
Хакерская атака во время турнира по Minecraft оставила Андорру без интернета на полчаса 25.01.2022 [19:28]
Портал Tom’s Hardware сообщает, что на прошедших выходных DDoS-атака во время турнира по Minecraft оставила независимое европейское княжество Андорра без интернета примерно на полчаса.
Речь идёт о соревновании SquidCraft Games, для которого используется модификация, созданная под впечатлением от сериала «Игра в кальмара». Призовой фонд организованного Twitch Rivals состязания составляет $100 тыс.
В ходе проведения турнира неизвестные атаковали серверы единственного провайдера Андорры — Andorra Telecom, — тем самым лишив участников SquidCraft Games шансов на победу, а жителей — интернета.
Из-за множественных перебоев с подключением организаторы SquidCraft Games были вынуждены отстранить от турнира участников из Андорры (их было не меньше восьми), лишь после чего соединение удалось восстановить.
Мотивы злоумышленников остаются загадкой, однако популярные стримеры AuronPlay и Rubius, участвовавшие в SquidCraft Games и пострадавшие из-за ситуации, уже объявили награду за поимку хакеров — по €10 тыс.
Обиженный хакер в одиночку отключил интернет в целой стране
Хакер из США смог самостоятельно отключить от интернета всю Северную Корею. Он сделал это со своего домашнего ПК, проэксплуатировав все найденные им уязвимости в северокорейском сегменте интернета. При этом компьютер работал самостоятельно, а хакер в это время смотрел фильмы. Цифровой «блэкаут» стал актом возмездия за взлом его компьютера хакерами из Северной Кореи в начале 2021 г.
Мститель-одиночка
Американский хакер, представившийся порталу Wired как Р4х, в январе 2022 г. без чьей-либо помощи отрезал от Глобальной сети целую страну. Его жертвой стала Северная Корея, и такой выбор P4x сделал неспроста.
По информации издания, ранее P4x сам пострадал от действий северокорейских хакеров, что ему очень не понравилось. Он решил отомстить по-крупному, что и вылилось в отключение всей страны от Всемирной паутины.
Хакеры «задели» P4x во время массированной атаки на специализирующихся на поиске уязвимостей. Они взламывали их системы и крали результаты исследований, а также используемое ими в работе ПО, работая на правительство Северной Кореи. Атака во всех подробностях рассмотрена в отчете подразделения Google Threat Analysis Group, специалисты которого выявили еще в самом начале 2021 г.
Р4х пострадал в результате этой вредоносной кампании в январе 2021 г. Другой неизвестный ему хакер прислал ему неизвестный файл, назвав его инструментом для эксплуатации уязвимостей. Этот файл, как выяснилось позже, открывал скрытый удаленный доступ к его компьютеру.
Со слов хакера, ему удалось помешать свои корейским «коллегам» украсть у него что-либо ценное. Но, тем не менее, он чувствовал себя глубоко обеспокоенным тем, что спонсируемые государством хакеры нацелились на него лично, а также отсутствием какой-либо видимой реакции со стороны правительства США.
Подготовка к «бою»
Спойлер:
Став жертвой взлома, Р4х решил, что лучшая защита – это нападение. «Мне казалось, что правильным было поступить именно так. Если они (хакеры из Северной Кореи – прим. CNews) не увидят, что у нас есть зубы, они будут продолжать появляться», – сказал P4x в разговоре с сотрудниками Wired.
Хакер начал с анализа северокорейского сегмента интернета и быстро выявил многочисленные неустраненные уязвимости, резко повышающие вероятность успеха в случае проведения DDoS-атаки. В интервью Wired он не стал раскрывать все секреты, сославшись на то, что власти атакованной им страны могут прочесть статью и распорядиться устранить бреши.
Тем не менее, Р4х все же привел несколько примеров. В частности, он сообщил, что нашел незакрытую общеизвестную «дыру» в веб-сервере Nginx, которая неправильно обрабатывает определенные заголовки HTTP, позволяя отключать или перезагружать серверы, на которых он запущен.
Р4х также упомянул некие «древние» версии веб-сервера Apache и сказал, что начал изучать собственную национальную доморощенную операционную систему Северной Кореи, известную как Red Star OS, которую он назвал старой и, вероятно, очень уязвимой версией Linux.
«Пижамная месть»
Собрав «анамнез», Р4х решил проэксплуатировать все найденные им уязвимости в сетях Северной Кореи. С его слов, «положить» интернет во всей Северной Корее он смог прямо из своего дома, при этом не особо концентрируясь на процессе.
Хакер утверждает, что во время взлома он сидел на диване в своей гостиной в футболке, пижамных штанах и тапочках, смотрел фильмы про инопланетян и перекусывал острыми кукурузными снеками. Всю работу за него выполнял его компьютер, и он лишь периодически отвлекался от просмотра фильмов, чтобы проверить, как все продвигается.
P4x утверждает, что ему удалось в значительной степени автоматизировать свои атаки на северокорейские системы. Ему нужно было только периодически запускать различные сценарии, которые делали всю работу за него.
Моментальный эффект, который почти никто не заметил
Простые и в то же время безотказные методы, которые хакер избрал для мести, сделали свое дело почти моментально. На момент проведения атаки, пишет Wired, почти каждый северокорейский сайт перестал открываться.
Джунад Али (Junade Ali), исследователь кибербезопасности, отслеживающий северокорейский интернет, сообщил Wired, что зафиксировал таинственные массированные DDoS-атаки на северокорейский сегмент Паутины. Он не имел ни малейшего понятия, кто за ними стоял, но видел, как ключевые маршрутизаторы страны периодически выходили из строя, унося с собой не только доступ к веб-сайтам страны, но и к ее электронной почте и любым другим интернет-сервисам. «Поскольку их маршрутизаторы выходят из строя, передача данных в Северную Корею становится буквально невозможной», – сказал Али, описывая результат атаки как «фактически полное отключение интернета, затрагивающее всю страну».
Пока неизвестно, как власти Северной Кореи отреагировали на DDoS-атаки на сеть их страны, и что они скажут, когда узнают, что отрезать их от интернета смог всего лишь один любитель фильмов про инопланетян. Однако абсолютное большинство населения страны ничего не заметила, поскольку доступа в интернет у них и так нет. По оценке экспертов, десятки, ставших недоступными в результате атаки Р4х, в основном используются для пропаганды и других схожих целей, и они нацелены на международную аудиторию, а не на граждан страны.
Сам Р4х, похоже, осведомлен об этом. Он заявил, что никогда не хотел навредить простым жителям Северной Кореи. «Я определенно стремился как можно меньше зацепить простых людей и как можно больше – правительство», – сказал хакер.
Один за всех и все за одного
Единожды сломав интернет в Северной Корее, Р4х даже не думает останавливаться на достигнутом. Вероятно, он хочет устроить властям этой страны настоящий «цифровой ад», и с этой целью он организовал в даркнете сообщество FUNK Project, аббревиатура в названии которого расшифровывается как F..k you North Korea.
Он надеется, что его идеи по взлому Северной Кореи разделят и другие хакеры, которые объединятся и коллективно обрушатся на компьютерные сети страны. «Цель проекта в том, чтобы атаковать системы и вести сбор информации, чтобы не дать Северной Корее беспрепятственно взламывать западный мир», – говорится на сайте проекта.
Став жертвой спонсируемого чужим государством кибершпионажа в начале 2021 г., P4x потратил большую часть этого года на другие свои проекты. Но, так и не увидев никакой реакции властей США на атаки северокорейских хакеров, он решил взять дело в свои руки, что и вылилось в DDoS-атаки на целую страну из его домашнего «офиса».
P4x заявил, что его хактивистские усилия направлены не только на правительство Северной Кореи, но и на его собственное. Его кибератаки на северокорейские сети, по его словам, отчасти являются попыткой привлечь внимание к тому, что он считает отсутствием реакции правительства на нападения Северной Кореи на американских граждан. «Если мне никто не поможет, я сам себе помогу», – подытожил он.
В пятницу утром официальный сайт Чешского телевидения (ЧТ) был недоступен. Причиной стала массированная хакерская атака на сайты общественных вещателей. КТ совмещает нападение со стартом зимних Олимпийских игр (Олимпийских игр) в Пекине.
« Сегодня начинаются Олимпийские игры. И, вероятно, именно поэтому наши сайты столкнулись с действительно масштабной DDoS-атакой. Мы делаем все, что можем, но, пожалуйста, будьте снисходительны », — говорится в сообщении Чешского телевидения в социальной сети Twitter.
Помимо сайта ЦТ, во время отключения также не работают приложения, в том числе и HbbTV.
" Если вы хотели присоединиться к HbbTV ČT или попробовать одно из наших мобильных приложений, к сожалению, сегодня не лучший день. Помимо отказа веб-сайтов ČT, приложения также не работают. Мы пытаемся ввести все в действие до тех пор, пока начало олимпиады , шитье.
Лидера хакерской группировки Lurk приговорили к 14 годам лишения свободы 15.02.2022 [14:16]
14 февраля Кировский суд Екатеринбурга вынес приговор организатору хакерской группы Lurk, прославившейся крупными кражами со счетов российских банков и предпринимателей. Признанного виновным Константина Козловского осудили сразу по двум статьям УК РФ.
Это первое в России дело, возбужденное по статьям «Организация преступного сообщества» и «Мошенничество в сфере компьютерной информации» одновременно. Козловский приговорён к 14 годам колонии строгого режима. Как сообщалось ранее, преступления раскрыты МВД и ФСБ РФ при сотрудничестве со Сбербанком и «Лабораторией Касперского», специалисты которых оказывали активную помощь в идентификации злоумышленников.
Известно, что в результате деятельности киберпреступников у банков и предпринимателей было похищено около 3 млрд рублей, рекордная сумма для российских хакерских групп. С 2013 года злоумышленники использовали троянское ПО Lurk, для внедрения которого задействовались как уязвимости в информационных системах компаний, так и заражённое легальное программное обеспечение.
Пострадал ряд крупных компаний:
Спойлер:
ООО «СтройИнвест» (украдено 7,6 млн руб.); филиал банка «Таатта» (99,7 млн руб.); «Металлинвестбанк» (677,7 млн руб.); «Ростовская снэковая компания» (1,6 млн руб.); банк «Метрополь» (148,9 млн руб.); «Солид Банк» (60,5 млн руб.); банк «Гарант Инвест» (67 млн руб.).
Целью вредоносного ПО являлись компьютеры юридических лиц и предпринимателей с установленным бухгалтерским программным обеспечением. При обнаружении подобного софта автоматически подменялись реквизиты в бухгалтерских платёжных поручениях, после чего преступники выводили деньги на счета компаний-однодневок и обналичивали.
По имеющимся данным, в группу входили специалисты в области информационных технологий. Для ведения преступной деятельности использовались VPN, Tor и другие средства сокрытия личностей и местоположения, но это не помогло преступникам — группировка была ликвидирована ещё в 2016 году.
Банковским системам предрекли рост числа внутренних взломов 15.02.2022 [10:34]
Хотя по существующей статистике в целом число атак на информационные системы российских банков снижается, всё большую угрозу финансовым структурам в ближайшем будущем будут представлять их собственные сотрудники — специалисты по кибербезопасности компании RTM Group прогнозируют рост преступности в среде инсайдеров.
Как сообщает «Коммерсант», по мнению экспертов банки уже научились справляться с киберугрозами, и сейчас преступникам целесообразнее привлекать к атакам сотрудников организаций для взлома систем изнутри. Согласно докладу RTM Group, доля хищений в категории внешних атак снизится с 15 % в текущем году до 3 % в следующем, зато количество инцидентов с участием персонала банков, наоборот, вырастет. По прогнозам экспертов, доля подобных действий, включая утечки, проявление халатности и участие в мошеннических схемах, вырастет с 30 % в текущем году до 50 %.
Такой прогноз в компании сделали на основе сообщений об инцидентах, переданных в Центробанк, а также информации из других источников RTM в банковской сфере. Эксперты считают, что динамика связана с ростом сложности внешних взломов систем, а также растущей стоимостью украденных данных. В качестве ключевых целей названы счета бизнеса, физических лиц и внутренняя банковская переписка.
По данным Банка России, всего за третий квартал 2021 года проведено «несогласованных» операций на сумму 3,2 млрд руб., причём только 7,7 % из них тем или иным образом были возвращены или компенсированы. При этом отдельная статистика по инцидентам с участием сотрудников банков не предоставляется.
Как сообщает глава отдела аналитики SearchInform Алексей Парфентьев, инсайдеров преступникам выгодно использовать ещё и потому, что банки не обязаны по закону устанавливать программы для защиты от утечек данных и прочих инсайдерских рисков. По его сведениям, подобным ПО в стране оснащены около трети банков.
Как сообщает «Коммерсант», в банках нет единого мнения относительно прогнозов роста «инсайдерских» взломов. Например, в Росбанке не ожидают роста доли внутренних утечек, в МКБ заявили, что уровень инсайдерских угроз практически не меняется со временем, а в Тинькофф-банке подчеркнули, что укрепляют все направления безопасности.
Тем временем представитель компании InfoWatch, занимающейся разработкой и интеграцией систем информационной безопасности, подчёркивает, что многие утечки совершаются непреднамеренно. Для снижения уровня угрозы необходимо регламентировать правила обработки информации сотрудниками, документировать требования и ответственность за их нарушение.
Хакеры заблокировали данные огромного российского агрохолдинга
Хакеры атаковали информационные системы крупнейшего мясного холдинга «Мираторг». В результате были нарушены функции деятельности некоторых предприятий. На данный момент последствия хакерских атак не ликвидированы.
Атака на «Мираторг»
Хакеры атаковали информационные ресурсы крупнейшего мясного холдинга «Мираторг», нарушив деятельность некоторых его предприятий. Об этом сообщил Россельхознадзор.
Пострадало 18 предприятий, включая «Мираторг запад», «Продмир», «Торговую компанию “мираторг”», «Калининградскую мясную компанию» и т.д. «Вероятнее всего, перечисленные хозяйствующие субъекты будут не в состоянии оформлять производственные и транспортные эВСД (электронные ветеринарные сопроводительные документы - прим. CNews) в течение нескольких суток», — говорится в сообщении Россельхознадзора.
Редакция ждет ответа от представителей «Мираторга», сможет ли холдинг бесперебойно поставлять свою продукцию. На момент публикации материала на официальном сайте холдинга информации о ликвидации последствий атаки опубликовано не было. Россельхознадзор также предупредил, что данный инцидент будет не последним.
«Мираторг» — один из крупнейших в России производителей и дистрибьюторов мяса, мясных полуфабрикатов. Также холдинг является системообразующей российской агропромышленной компанией. У «Мираторга» есть свои свинокомплексы, зерновые предприятия, завод по производству полуфабрикатов, своя транспортная компания и т.д. «Мираторг» в 2021 г. занимал 10,7% рынка свинины.
Какой вирус использовали
Спойлер:
Для хакерской атаки был использован троян Win32:Bitlocker/l!rsm. Он шифрует файлы в дисковой системе зараженных компьютеров (рабочих станций и серверов). В результате содержащиеся в компьютере данные невозможно прочесть и использовать.
Хакеры атаковали «Мираторг»
Чаще всего этот подход применяют шантажисты, которые пытаются продать компании-жертве атаки ключ расшифровки. В Россельхознадзоре отмечают, что до 17 марта 2022 г. «Мираторг» не получал сообщений с предложением выкупа. Поэтому надзорный орган называет эту атаку ИТ-терактом, который направлен исключительно на вредоносные цели.
Без документов
Для разрешения сложившейся ситуации Россельхознадзор предложил «Мираторгу» «учитывая репутацию холдинга», перемещать подконтрольные товары без сопровождения эВСД. Это касается только товаров, не являющихся живыми животными и биологическими отходами. Мера будет действовать до устранения последствий атаки.
«Компании, входящие в холдинг “Мираторг” на это время просим быть “святее Папы Римского” в плане соблюдения норм безопасности перемещения подконтрольных товаров», — говорится на сайте Россельхознадзора.
При перемещении живых животных и биологических отходов ВСД должны оформляться на бумажном носителе с последующим внесением в информационные системы.
ИБ-специалисты связали атаки группировки Lapsus$ с 16-летним подростком из Англии 24.03.2022 [08:51]
По сообщениям сетевых источников, исследователям в сфере информационной безопасности удалось связать недавние атаки хакерской группировки Lapsus$ с 16-летним подростком, проживающим вблизи английского города Оксфорд. По мнению специалистов, именно он является лидером группировки и выступает в качестве своеобразного идейного вдохновителя.
За последние несколько недель хакерская группировка Lapsus$ приобрела широкую известность, проведя серию успешных кампаний. Жертвами хакеров стали компании NVIDIA, Microsoft, Vodafone, Samsung и др. В ходе проводимых атак хакерам неизменно удавалось проникнуть во внутренние IT-системы компаний с целью кражи исходных кодов и другой конфиденциальной информации.
Согласно имеющимся данным, исследователям удалось установить семь учётных записей, связанных с хакерами из Lapsus$, одна из которых вывела их на подростка из Бразилии. Однако они уверены, что лидером группы является 16-летний житель Англии, хотя связать его со всеми проведёнными группировкой атаками им так и не удалось.
Исследователи изучили доказательства взломов и общедоступную информацию, на основании чего пришли к выводу о связи упомянутого подростка с группировкой Lapsus$. Предполагается, что информацию о нём в сети разместили хакеры из конкурирующей группировки. Личные данные хакера не разглашаются, но известно, что он работал под никами «White» и «Breachbase». Более подробная информация по данному вопросу пока не разглашается.
Илон Маск: Starlink до сих пор сопротивлялся всем попыткам взлома и глушения 6:37 26/03/2022
По заявлению The Washington Post началась кибератака на десятки тысяч спутниковых модемов по всей Европе, предоставленных службой Viasat KA-SAT.
В настоящее время Viasat приходится заменять небезопасные модемы для всех затронутых клиентов. Это вызывает вопросы об уязвимости других широкополосных услуг с плохо поддерживаемой прошивкой в сетевой инфраструктуре их клиентов.
На это сообщение отреагировал Илон Маск, заявив, что Starlink, по крайней мере, до сих пор сопротивлялся всем попыткам взлома и глушения.
Оператор коммерческих спутников Viasat сообщил о взломе спутниковой сети
В регионе Центральной и Восточной Европы были атакованы терминалы коммерческих клиентов спутниковой компании Viasat. В компании считают, что за сбоями стоит хакерская кибератака, сообщает Tadviser.
Многие клиенты службы KA-SAT, управляемой Viasat, лишились доступа к услугам компании, прежде всего, к интернету. По мнению экспертов Viasat, DDos-атака началась в 5 часов утра 24 февраля 2022 года.
Сбои в работе сервисов широкополосного доступа произошли, в частности, на территориях Украины и Германии. Около 3 тысяч ветрогенераторов компании Enercon в Германии, подключенных к сети через спутниковую сеть Viasat и обслуживающихся дистанционно, оказались недоступны для управления. 15 марта в Enercon сообщили, что 85% модемов фирмы до сих пор так и не подсоединены к сети.
До сих пор многие терминалы одного из крупнейших коммерческих спутниковых операторов Viasat не вернулись в строй.
За I квартал хакеры похитили $1,22 миллиарда с криптовалютных платформ 06.04.2022 [12:18]
Компания Immunefi, которая специализируется на кибербезопасности криптовалютных платформ, сообщила, что с начала 2022 года инвесторы цифровых активов потеряли из-за хакеров более $1,22 млрд, и это почти в 8 раз больше, чем за аналогичный период прошлого года, когда были украдены $154 млн.
В 99 % случаев кражи цифровых активов были связаны с эксплуатацией уязвимостей — этот сценарий сработал с платформами Wormhole и Ronin. И к подобному положению вещей следует привыкать, говорят эксперты. Есть вероятность, что в перспективе число подобных инцидентов только увеличится. Хакеры продолжат работать по сектору децентрализованных финансов (DeFi), поскольку объём этого рынка растёт, и атаки оказываются всё более и более прибыльными.
Спойлер:
Объём средств в DeFi за последний год утроился. По данным агрегатора Defi Lama, общая сумма заблокированных в смарт-контрактах активов выросла с $80 до $227,84 млрд. С безумным ростом популярности невзаимозаменяемых токенов (NFT) подорожали комиссии в сети Ethereum, поэтому его место пытаются занять альтернативные блокчейны первого уровня вроде Solana, Avalanche, Polygon, Algorand, Polkadot и Cardano — все они предлагают невысокие комиссии для NFT- и DeFi-проектов. Проблема в том, что число исследователей и аудиторов безопасности катастрофически не поспевает за инновациями: в сегмент DeFi приходит множество талантливых программистов — добросовестных и не очень.
Самым слабым местом оказались сервисы-мосты, предлагающие перевод средств между блокчейнами. Услуга становится все более популярной, поскольку криптоинвесторы стремятся диверсифицировать свои вложения, то есть распределить их между сетями. Львиную долю потерь в криптосекторе составили инциденты со взломом мостов Wormhole и Ronin, где суммы убытков составили $325 и $626 млн соответственно. Примечательно, что обе платформы решили компенсировать пострадавшим похищенное: в Ronin заявили, что собираются вернуть все средства, а инвесторы Wormhole уже получили возмещение. В этой связи эксперты предсказывают, что таких сервисов будет появляться всё меньше, а наибольшее доверие из них будут вызывать те, что располагают достаточным объёмами средств для выплаты компенсаций.
А вот число мошенничеств в секторе DeFi теперь снижается. В прошлом году мошенники похитили у криптоинвесторов $7,7 млрд — в среднем по $1,925 млрд за квартал, а в двух крупнейших инцидентах этого года убытки составили «всего» $11 млн. Активный приток криптоинвесторов-любителей начался во второй половине 2020 года, и тогда не существовало инструкций по выявлению мошеннических схем — рынок достиг пика в ноябре 2021 года, после чего число новичков на рынке DeFi стало снижаться. Вместе с новичками с рынка уходят и мошенники.
Правоохранители закрыли хакерский форум RaidForums, его владельцы арестованы 13.04.2022 [08:34]
Правоохранительные органы ряда европейских стран в сотрудничестве с США провели операцию Tourniquet, в рамках которой было прервано функционирование популярного хакерского форума RaidForums, в основном используемого для торговли краденными базами данных. Также известно, что полицейским удалось взять под контроль инфраструктуру ресурса и арестовать его владельцев.
Спойлер:
Согласно имеющимся данным, главным администратором и основателем хакерского форума является португалец Диогу Сантос Коэльо (Diogo Santos Coelho), известный под ником Omnipotent. Он был арестован в Великобритании 31 января этого года. Минюст США объявил, что Коэльо 21 год. Это означает, что на момент запуска ресурса RaidForums в 2015 году ему было всего 14 лет. В настоящее время он находится под стражей и ожидает экстрадиции в США.
В ходе операции правоохранителей были закрыты три домена, которые использовались для размещения хакерского ресурса: «raidforums.com», «rf.ws» и «raid.lol». По данным Минюста США, на площадке в разное время выставлялись на продажу свыше 10 млрд уникальных записей из сотен украденных баз данных. В заявлении Европола сказано, что RaidForums насчитывал свыше 500 тыс. пользователей и считался «одним из крупнейших в мире хакерских форумов».
«Эта торговая площадка сделала себе имя, продавая доступ к громким утечкам баз данных, принадлежащих американским корпорациям из разных отраслей. В них содержалась информация о миллионах кредитных карт, номерах банковских счетов и маршрутной информации, а также именах пользователей и связанных с ними паролях, необходимых для доступа к онлайн-аккаунтам», — говорится в заявлении Европола.
Нынешняя операция стала результатом совместной деятельности правоохранительных органов из США, Великобритании, Швеции, Португалии и Румынии. Как долго длилось расследование, не уточняется, но известно, что оно помогло полицейским установить роли владельцев форума. В сообщении Европола указано, что Коэльо якобы контролировал RaidForums с 1 января 2015 года. Он организовал структуру для покупки и продажи краденных баз данных и привлёк для управления ресурсом нескольких администраторов. Для извлечения прибыли форум предлагал пользователям разные уровни членства, а также продавал доступ к привилегированным областям сайта и размещённым в них базам данных.
По данным источника, исследователи в сфере информационной безопасности ещё в феврале этого года заподозрили, что контроль над RaidForums перешёл в руки правоохранительных органов. Это связано с тем, что ресурс начал выводить форму авторизации на каждой странице. Предполагалось, что это было частью фишинговой атаки полицейских, которые таким образом пытались собрать учётные данные пользователей нелегального ресурса. В конце февраля DNS-серверы основного домена площадки изменились на те, что ранее уже использовались при захвате хакерских сайтов правоохранителями. После этого стало окончательно ясно, что контроль над RaidForums перешёл в руки полиции.
На украинские ресурсы совершено 362 кибератаки за последние полтора месяца 14 Апр, 2022
За полтора месяца войны количество хакерских атак на украинские ресурсы выросло втрое.
Это интересно: Более 600 российских сайтов подверглись кибератакам IT-армии Украины
По данным Правительственной команды реагирования на компьютерные чрезвычайные события CERT-UA, действующей при Госспецсвязи, в течение 1,5 месяца войны Украина испытала 362 кибератаки. Это втрое больше, чем за аналогичный период прошлого года: тогда было зафиксировано 122 кибератаки.
Свыше половины всех атак были осуществлены с целью сбора информации или распространения вредоносного программного кода.
Среди основных целей вражеских хакеров – правительство и местные органы власти Украины, сектор безопасности и обороны, коммерческие организации.
«Лаборатория Касперского»: в России наблюдается всплеск мошеннических рассылок с электронной почты добросовестных компаний 15.08.2022 [15:36]
Специалисты «Лаборатории Касперского» предупредили о стремительном росте числа мошеннических рассылок, направленных на русскоязычных получателей электронной почты. Крайне важно, что вредоносные письма отправляются с почтовых доменов, связанных с официальными сайтами обычных, добросовестных компаний.
По данным сотрудников «Лаборатории Касперского», рассылки осуществляются без ведома владельцев сайтов. Известно, что с 14 июня по 2 августа 2022 года было отправлено не менее 600 тыс. подобных сообщений — об этом свидетельствует анонимизированная статистика, обрабатываемая антивирусными решениями компании.
Спойлер:
Хотя схема довольно стара, она не теряет актуальности. Злоумышленники обнаруживают сайт, имеющий формы обратной связи, не требующие верификации пользователя, например, с помощью капчи. В поле логина или Ф.И.О. вводится текст вроде «Вы выиграли! Пройдите по ссылке», а в тело письма — развёрнутый текст с изображениями. При этом в раздел контактов добавляются адреса потенциальных жертв.
Схема обмана чрезвычайно проста — сайт сам автоматически рассылает благодарность за регистрацию или сообщения о том, что обращение пользователя принято. В результате жертвы получают и информацию, введённую мошенниками: с предложениями лёгкого заработка, подарков и т. п., со ссылкой на страницу для получения выигрыша или выплаты. Пользователю предлагают оплатить «комиссию» за получения выигрыша, после чего он может лишиться не только средств, но и стать жертвой хищения персональных данных. Истории, разосланные летом, отличались, но пользователю обычно предлагалось указать номер банковской карты и прочие сведения, необходимые мошенникам для хищения средств.
В «Лаборатории Касперского» напоминают, что главная опасность кроется в том, что письма приходят со вполне легитимного адреса благодаря недочётам в оформлении форм связи на самих добросовестных сайтах. Приём рассчитан прежде всего на невнимательных пользователей, не обращающих внимание на то, что тема письма не соответствует части его содержания.
В числе приводимых «Лабораторией Касперского» советов — критически относиться к информации о неожиданных выигрышах, пользоваться антивирусными и антифишинговыми инструментами, не дающими перейти по мошеннической ссылке, а для владельцев ресурсов в числе прочего рекомендуется добавить верификацию (капчу) при вводе пользовательских данных, это позволит избежать массовых рассылок с их адреса.
Хакеры сломали самый безопасный мессенджер: сколько пользователей пострадало
В службе поддержки приложения для обмена сообщениями Signal сообщили о том, что в результате утечки посторонних данных номера пользователей попали в публичное пространство .
15 августа кроссплатформенная служба обмена зашифрованными сообщениями Signal сообщила , что в результате утечки данных третьей стороны в публичное пространство попало около 1900 номеров телефонов ее пользователей.
Приложение, рекламируемое как безопасная, частная служба обмена зашифрованными сообщениями, подтвердило, что в результате утечки данных ее партнера по верификации Twillio в публичное пространство попали телефонные номера и SMS-коды примерно 1900 пользователей.
В компании, расположенной в Маунтан-Вью, штат Калифорния, уверяют, что «Доступ к истории сообщений, информации о профилях, списках контактов и других данных не был открыт, и получить такой доступ невозможно». Однако информация, полученная злоумышленниками, теоретически может позволить им зарегистрировать номер телефона пользователя Signal на другом устройстве.
Вряд ли номер обычного пользователя системы Signal мог быть перерезестрирован таким образом. В компании считают, что злоумышленник «явно искал три номера, и мы получили сообщение от одного из этих трех пользователей о том, что их аккаунт был перезарегистрирован», – заявили в компании.
В настоящее время служба поддержки Signal связывается с пострадавшими абонентами и просит их повторно зарегистрировать свой номер и включить блокировку регистрации. Если вы являетесь пользователем мессенджера Signal, вы должны сделать это раньше времени.
Доступ к блокировке можно получить, перейдя в Настройки Signal > Учетная запись > Блокировка регистрации .
В России резко участились кражи персональных данных — число похищенных записей превысило население страны 17.08.2022 [15:51],
В первой половине 2022 года специалисты экспертно-аналитического центра InfoWatch зарегистрировали в мире 2101 утечку данных с ограниченным доступом, что на 93,2 % превосходит показатель за аналогичный период прошлого года. По России число инцидентов за I полугодие достигло 305 — на 45,9 % больше, чем в прошлом году.
Статистика становится более показательной, если взять в расчёт не число инцидентов, а единицы похищенной информации: в «общемировом зачёте» их количество в I полугодии 2022 года снизилось на 27,8 %, зато в России увеличилось сразу в 16,75 раза, достигнув 187,6 млн записей. В InfoWatch напомнили, что за отчётный период утечки фиксировались в РЖД и авиакомпании «Победа», у операторов «Ростелеком» и «ВымпелКом», на портале Ykt.ru, на сервисах «Мир Тесен», Fotostrana.ru и Text.ru, на портале Pikabu, в сервисах доставки «Яндекс.Еда», Delivery Club и 2 Berega, в школе управления «Сколково», а также на образовательном портале GeekBrains.
Спойлер:
Увеличилась доля инцидентов, связанных с действиями киберпреступников извне: в мире она выросла с 60 % до 90 %, а в России — с 21,5 % до 81 %. Эту динамику в InfoWatch объяснили рядом факторов: украинскими событиями, ослаблением контроля над информацией в период пандемии, а также господствующими в западных странах стереотипами — в любом инциденте проще обвинить «русских хакеров», чем добросовестно провести расследование в соответствии с требованиями закона.
Чаще прочих кражи информации производятся в США и в России — такой результат показал мониторинг закрытых форумов в дарквебе и анонимных Telegram-каналов. При этом на российские компании, принадлежащие к категории «Торговля и HoReCa» пришлось 27 %, что несколько выше, чем 22 %, которые наблюдаются по всему миру. А промышленные и транспортные компании из России, атакованные в 10 % случаев, оказались у хакеров менее «популярными», чем их коллеги из других стран, ставшие жертвами в 19 % инцидентов. Наконец, самым продаваемым на теневых ресурсах типом данных стали персональные с 81 %, коммерческие тайны компаний продаются в 13 % объявлений, платёжная информация предлагается в 3 % случаев, и ещё 2 % составляют государственную тайну.
Хакери захопили управління супутником та стрімили з нього фільми
Хакери захопили управління виведеним з експлуатації супутником та використовували його для трансляції фільмів.
Захоплення супутника було продемонстровано хакерською групою Shadytel на конференції хакерів Def Con, що проходила в Лас-Вегасі (США).
Група використала обладнання Hack RF вартістю 300 доларів, з допомогою якого її члени підключилися до канадського супутника Anik F1R, який до виведення з експлуатації використовувався оператором Telesat Canada.
Отримавши доступ до занедбаного аплінку, хакери вирішили «трохи порозважатися» із супутником, який наразі перебуває на геостаціонарній орбіті на висоті приблизно 35 768 кілометрів над поверхнею Землі.
«Супутники, по суті, просто відображають будь-який сигнал, який вони отримують, – зазначив під час презентації на конференції Def Con член групи Shadytel Карл Кошер, слова якого цитує видання Motherboard. – Якщо ви вмієте голосно кричати, то ви зможете перекричати навіть іншого користувача транспондеру, але якщо транспондер пустий і на супутнику нікого немає, то він просто відобразить те, що ви на нього направите».
Група скористалася супутником Anik F1R для трансляції класичних хакерських фільмів, таких як «Воєнні ігри» (WarGames), а також для організації телефонної конференції.
Супутник Anik F1R виведений з експлуатації в 2020 році і повинен був вийти на так звану «цвинтарну орбіту», перш ніж його захопили хакери.
В іншій презентації в рамках хакерської конференції було представлено злам супутників Starlink, який продемонстрував дослідник питань безпеки з Бельгії, що спромігся отримати доступ до системи роздачі космічного інтернету від SpaceX за допомогою власноруч виготовленої друкованої плати.
Российский онлайн-кинотеатр "START" сообщил о большой утечке данных пользователей
Данные зарегистрированных пользователей онлайн-кинотеатра START выложили в открытый доступ, сообщают специалисты Data Leakage & Breach Intelligence.
Объем базы – 72 Гб, она содержит данные о почти 44 миллионах человек.
Опубликованная информация включает имя/фамилию, адрес электронной почты, пароль хеширования, IP-адрес, страну, дату начала/окончания подписки, последнего входа.
Специалисты выборочно проверили случайные записи из дампа из-за функции восстановления пароля на сайте start.ru. Все логины из этих записей оказались действительными. Судя по информации из этой дампы, он был сделан не раньше 22 сентября 2021 года.
"START" подтвердил утечку данных своих пользователей, отметив, что "база не является большим интересом для злоумышленников". Информация в базе не полностью актуальна, данные в ней за 2021 год. Самое важное, что там – e-mail или телефон, с которого пользователь мог подключаться. В базе нет паролей в открытом виде, истории просмотров и главное – нет финансовой информации.
Хакеры используют фото космического телескопа Джеймс Вебб для рассылки вредоносных программ
Платформа аналитики безопасности Securonix обнаружила новую кампанию вредоносного программного обеспечения, в которой используются изображения, сделанные телескопом Джеймс Вебб.
Как сообщает Engadget, неизвестные хакеры рассылают письма, содержащие вложения Microsoft Office. В метаданных документа скрыт URL-адрес, который загружает файл со запускаемым сценарием, если включены определенные макросы Word. Это, в свою очередь, загружает копию фотографии Вебба, содержащей вредоносный код, маскирующийся под сертификат.
Securonix сообщила, что антивирусные программы не смогли обнаружить вредоносный код на изображении.
Причины, по которым злоумышленники используют фото Вебба, могут быть в том, что изображение имеет огромные размеры и может избежать подозрений. Кроме того, даже если антивредоносная программа обозначает его, на это могут не обратить внимание, поскольку за последние несколько месяцев фото широко распространялось в интернете.
Ранее сообщалось, что хакеры захватили управление спутником для трансляции фильмов.
Хакеры используют ранее неизвестные уязвимости Microsoft Exchange для проведения атак 30.09.2022 [12:47]
По данным вьетнамской компании GTSC, работающей в сфере информационной безопасности, злоумышленники используют две ранее неизвестные уязвимости для проведения атак на серверы Microsoft Exchange. Обнаруженные уязвимости позволяют хакерам осуществить удалённое выполнение кода, а в первые их удалось выявить в августе 2022 года.
Речь идёт о двух уязвимостях, которым ещё не были присвоены идентификаторы CVE. Проект Zero Day Initiative отслеживает их под идентификаторами ZDI-Can-18333 (критичность 8,8 балла по шкале CVSS) и ZDI-CAN-18802 (критичность 6,3 балла по шкале CVSS). По данным GTSC, эксплуатация этих уязвимостей позволяет злоумышленникам взломать систему жертвы и осуществлять дальнейшие перемещения во внутренней сети.
Спойлер:
«Мы обнаружили, что веб-оболочки, в основном обфусцированные, перебрасываются на серверы Exchange. Используя специальный user-agent, мы обнаружили, что злоумышленник использует Antsword, китайский кроссплатформенный инструмент для управления веб-сайтами с открытым исходным кодом, который открывает административный доступ к веб-консоли», — говорится в сообщении GTSC.
В компании считают, что за атаками на серверы Microsoft Exchange с помощью упомянутых уязвимостей стоит одна из китайских хакерских группировок. Помимо кода на упрощённом китайском языке на это указывает использование бэкдора China Chopper, предназначенного для того, чтобы дать злоумышленникам возможность в любое время повторно подключиться к системам жертвы. После проникновения в IT-системы жертвы хакеры, как правило, внедряют вредоносные DLL-библиотеки в память, а также загружают другое вредоносное ПО с помощью утилиты WMI.
Официальные представители Microsoft пока никак не комментируют данный вопрос. Вероятно, в скором времени софтверный гигант выпустит патч для устранения обнаруженных уязвимостей.
Среднестатистическому хакеру для поиска уязвимостей требуется менее 10 часов времени 29.09.2022 [16:22]
Исследование Института SANS и компании Bishop Fox, работающей в сфере информационной безопасности, показало, что среднестатистический «белый» хакер обнаруживает уязвимости, позволяющие проникнуть во внутреннюю сеть жертвы, в среднем менее чем за 10 часов. Быстрее это сделать удаётся специалистам, занимающимся тестированием безопасности облачных систем. После обнаружения уязвимости или слабого места около 58 % «белых» хакеров проникают во внутреннюю сеть менее чем за 5 часов.
В ходе упомянутого исследования были опрошены 300 экспертов в сфере информационной безопасности. По словам респондентов, чаще всего уязвимости и слабые места, позволяющие проникнуть во внутреннюю сеть, связаны с уязвимыми конфигурациями IT-инфраструктуры, недостатками программного обеспечения и недостаточно защищёнными веб-сервисами.
Спойлер:
Результаты исследования отражают показатели реальных злонамеренных атак и подчёркивают ограниченное количество времени, которым располагают компании для обнаружения и реагирования на киберугрозы, считает Том Эстон (Tom Eston), помощник-вице-президента Bishop Fox. «Пять или шесть часов для взлома, необходимые этичному хакеру, не являются большой неожиданностью. Это соответствует тому, что делают настоящие хакеры, особенно с помощью социальной инженерии, фишинга и других реальных векторов атак», — отметил Эстон.
По мнению опрошенных специалистов, многие организации не обладают возможностями для оперативного обнаружения и реагирования на хакерские атаки. В Bishop Fox считают, что исследование компании должно убедить организации сосредоточиться на предотвращении атак и обеспечении безопасности своих IT-систем. Для минимизации ущерба им необходимо со стремительной быстротой реагировать на подобные инциденты. Отмечается, что человеческий фактор продолжает оставаться наиболее уязвимым местом, поскольку около 49 % успешных атак проводятся с применением инструментов социальной инженерии и фишинга.
Также в ходе исследования был составлен профиль среднестатистического «белого» хакера. Почти две трети респондентов имеют опыт работы от 1 до 6 лет, только 1 из 10 этичных хакеров работает в профессии менее года, а около 30 % — имеют опыт работы от 7 до 20 лет. Большинство «белых» хакеров имеют опыт работы в сфере сетевой безопасности (71 % респондентов), внутреннего тестирования на проникновение (67 % респондентов) и безопасности приложений (58 % респондентов).