Служба безопасности Украины совместно с партнерами из США и Великобритании ликвидировала крупный хакерский сервис, предоставляющий платные услуги для кибератак и взлома систем различных учреждений. За время своего существования организаторы сервиса заработали порядка миллиона долларов.
Создателями сервиса оказались граждане Украины, скрывающиеся под различными никнеймами в сети Darknet. В ходе операции были изъяты персональные компьютеры и мобильные телефоны, с помощью которых осуществлялось администрирование сервиса.
Через свою платформу злоумышленники позволяли напрямую подгружать вирусы, шпионское ПО и различные вредоносные программы для взлома систем государственных и коммерческих учреждений, пишут РИА Новости.
В ходе расследования было возбуждено уголовное дело по статьям "несанкционированное вмешательство в работу электронно-вычислительных машин (компьютеров)", "создание с целью использования, распространения или сбыта вредоносных программных" и "легализация доходов, полученных преступным путем".
Согласно данным исследования, проведенного разработчиком антивирусного ПО ESET, каждый пятый россиянин хотел бы стать хакером. При этом отмечается, что больше всего такая работа интересует молодежь до 24 лет, а также скорее мужчин (23%), чем женщин (16%).
Хакеры украли личные данные тысяч сотрудников Sony через уязвимость нулевого дня 05.10.2023 [14:59]
Подразделение Sony Interactive Entertainment (SIE) сообщило о крупной утечке данных, произошедшей из-за взлома злоумышленниками компьютерных сетей компании с использованием уязвимости нулевого дня CVE-2023-34362 в платформе MOVEit Transfer. По этому поводу компания уведомила примерно 6800 человек, включая нынешних и бывших сотрудников и членов их семей.
В уведомлении сообщается, что взлом произошёл 28 мая, за три дня до того, как Progress Software (поставщик MOVEit) известила SIE об уязвимости, но его обнаружили в начале июня. «2 июня 2023 года мы обнаружили несанкционированные загрузки, немедленно отключили платформу и устранили уязвимость», — сообщила Sony Interactive Entertainment, отметив, что взлом был ограничен конкретной программной платформой и не затронул другие системы, и что о случившемся извещена полиция, а также начато расследование инцидента с привлечением экспертов по кибербезопасности.
Спойлер:
В уведомлении пострадавшим предлагается воспользоваться сервисами кредитного мониторинга и восстановления личности через Equifax, доступ к которым они могут получить до 29 февраля 2024 года, используя свой уникальный код.
В конце прошлого месяца на хакерских форумах появились сообщения об ещё одном взломе систем Sony, в результате которого было украдено 3,14 Гбайт. Утекшие данные, хранившиеся как минимум у двух отдельных хакеров, содержали подробную информацию о платформе SonarQube, сертификатах, Creators Cloud, политиках реагирования на инциденты, эмуляторе устройств для генерации лицензий и т.д.
Компания подтвердила ресурсу BleepingComputer.com факт взлома, отметив, что при содействии внешних экспертов была выявлена активность на одном сервере, расположенном в Японии, который используется для внутреннего тестирования в сфере развлечений, технологий и услуг (ET&S).
Sony отключила на время расследования этот сервер. Как сообщается, нет никаких признаков того, что данные клиентов и деловых партнёров хранились на данном сервере, и что были затронуты какие-либо другие системы компании. Также не было отмечено никаких негативных последствий для Sony.
BYOD — удобство или угроза в эпоху кибератак? Microsoft вынесла вердикт 12:00 / 6 октября, 2023
Почему личные устройства сотрудников — худшие враги безопасности любой организации?
Исследование компании Microsoft показало, что от 80 до 90% всех вымогательских атак в течение последнего года происходили с устройств, которые не находятся под контролем организаций. Эти данные были опубликованы в последнем отчёте Microsoft « Digital Defense Report 2023 ».
Организации, практикующие политику «Принеси своё собственное устройство» (Bring Your Own Device, BYOD), ставят свои сети под угрозу атак. Личные устройства, принесённые из дома сотрудниками, обычно не обладают необходимыми мерами безопасности и часто являются входной точкой компрометации.
Спойлер:
Некоторые эксперты считают, что BYOD никогда не сможет обеспечить такой же уровень безопасности, как полностью контролируемое устройство, предоставленное самой организацией. Поэтому самым надёжным решением, по мнению многих, будет банальный отказ от такого способа работы.
В то же время, Центр кибербезопасности Великобритании (NCSC) предлагает рекомендации по грамотному внедрению политики BYOD, учитывая все её преимущества, такие как удобство использования и экономия средств для компании. Да и сама Microsoft придерживается правильной интеграции BYOD в организации вместо её полного запрета.
Тем не менее, доля успешных атак с использованием личных устройств сотрудников может возродить дискуссии о целесообразности применения BYOD в современных организациях.
Угроза от BYOD усугубляется в том числе общим резким ростом вымогательских атак в этом году. По данным той же Microsoft, число атак с использованием программ-вымогателей, управляемых человеком, увеличилось более чем на 200 процентов с сентября 2022 года.
При этом только 2% попыток атак привели к реальному развёртыванию вымогательского ПО у жертв, что является хорошим показателем. Как отмечается, высокоэффективную защиту от современных вымогательских атак удаётся обеспечить лишь благодаря по-настоящему надёжным мерам безопасности.
Рекомендации организациям, которые не хотят попасть в эти злополучные 2 процента, не изменились по сравнению с рекомендациями прошлых лет:
внедряйте меры безопасности с нулевым доверием и наименьшими привилегиями;
регулярно создавайте резервные копии;
развёртывайте решения, которые обнаруживают злоумышленников на основе известных сигналов и автономно устраняют угрозы.
Согласно данным Microsoft, большинство вымогательских атак в июне 2023 года было осуществлено всевозможными аффилиатами RaaS-групп. Исследователи насчитывают их больше сотни. Самые активные четыре RaaS-группы в настоящее время — Magniber, LockBit, Hive и BlackCat. Они стали инициаторами почти двух третей всех глобальных вымогательских атак.
Именно по причине роста числа аффилиатов, Microsoft считает, что число вымогательских атак будет лишь увеличиваться и в 2024 году наверняка побьёт новые «рекорды».
Ключевой тенденцией, наблюдаемой в деятельности преступников-вымогателей за последний год, стало «резкое увеличение» методов удалённого шифрования, используемых операторами программ-вымогателей.
«Удалённое шифрование — это когда компьютерная программа шифрует файл на другом компьютере, а затем отправляет зашифрованный файл на исходный компьютер, подменяя оригинал. Это может произойти, если один компьютер в сети взломан и имеет доступ к другому компьютеру», — объяснили в Microsoft.
«Это может произойти без необходимости установки хакером какого-либо дополнительного программного обеспечения на исходном компьютере. Например, когда файлы зашифрованы в общей папке или если файлы зашифрованы во время сеанса удалённого рабочего стола, когда хакер имеет доступ к файловой системе».
Своевременно обнаружить такие атаки очень трудно, поэтому большинство случаев, когда злоумышленники всё же смогли проникнуть в корпоративную систему и применить удалённое шифрование — заканчивается успешно для вымогателей.
В завершение, учитывая постоянное развитие киберугроз, эксперты настаивают на внедрении самых последних и строгих мер безопасности, а также регулярных проверках защищённости корпоративных сетей. Только так получится дать отпор киберпреступникам и сохранить свои драгоценные данные.
Закон кибербумеранга: вымогательская группа Lorenz стала жертвой своей же утечки
Данные всех, кто пытался связаться с хакерами за 2 года, оказались в открытом доступе.
Группа вымогателей Lorenz непреднамеренно раскрыла данные всех людей, которые пытались связаться с ней через онлайн-форму на темном сайте в течение последних двух лет. Среди этих данных — имена, email-адреса и темы запросов.
Проблему обнаружил исследователь безопасности, известный под псевдонимом Htmalgae. Он зафиксировал утечку бэкэнд-кода и опубликовал извлеченные сведения на GitHub .
Причиной инцидента стала ошибка в настройках веб-сервера Apache2 со стороны команды Lorenz.
Спойлер:
«Кто-то из Lorenz допустил ошибку в настройках веб-сервера Apache2. Это привело к утечке раскрытию формы авторизации», — объясняет Htmalgae. «Эта утечка, пожалуй, одна из самых простых, которые я когда-либо находил. Я обнаружил неисправную форму обратной связи Lorenz во время ежедневной проверки вымогательских сайтов. Мне достаточно было просмотреть исходный код страницы и скопировать адрес утекшего файла».
Htmalgae также уточнил, что Lorenz временно закрыли доступ к своей контактной форме, но основная проблема «так и осталась нерешенной». Сайт по-прежнему функционирует, пользователи могут отправлять запросы (хотя до хакеров они уже не доходят).
Сам факт утечки может подорвать репутацию группы в киберкриминальном мире и привести к арестам.
Lorenz впервые появилась на радаре экспертов в 2021 году. Есть версия, что их вымогательское ПО — модификация штамма .sZ40, обнаруженного в октябре 2020 года. Этот штамм, в свою очередь, связан с программой ThunderCrypt 2017 года.
Хакеры часто применяют тактику, известную как «двойной выкуп». После компрометации файлов шифруются сами устройства. Такой подход не позволяет жертве восстановить информацию с помощью резервных копий, избегая переговоров с преступниками.
Группа также известна как брокер начального доступа (initial access broker, IAB). Простыми словами, она продает доступ к корпоративным сетям атакованных компаний другим киберпреступникам.
Cybereason оценивает уровень угрозы, исходящей от Lorenz, как «высокий», подчеркивая разрушительный характер их действий. Говорят, что хакеры используют особо изощренные методы, находя к каждой компании «особый подход».
Однако в 2023 году, несмотря на свою активность, Lorenz не попала ни в один в топ вымогательских группировок. За 10 месяцев на их сайте были опубликованы всего 16 жертв.
Admin/1234: стандартные учётные данные в Cisco Emergency Responder чуть не стали причиной масштабной атаки 17:35 / 5 октября, 2023
Root-доступ на любом устройстве можно было получить в два клика, успели ли хакеры воспользоваться шансом?
Компания Cisco выпустила обновления безопасности для устранения уязвимости в Cisco Emergency Responder (CER), из-за которой злоумышленники могли входить в необновлённые системы с помощью жёстко закодированных учётных данных.
CER помогает организациям эффективно реагировать на чрезвычайные ситуации, позволяя точно отслеживать местоположение IP-телефонов, позволяя перенаправлять экстренные вызовы в соответствующие пункты реагирования общественной безопасности.
Спойлер:
Уязвимость, зарегистрированная под идентификатором CVE-2023-20101 , позволяет неаутентифицированным атакующим получить доступ к целевому устройству, используя учётную запись root с постоянными учётными данными, которые нельзя было изменить.
Компания объяснила в своей рекомендации по безопасности: «Эта уязвимость обусловлена наличием статических учётных данных пользователя для учётной записи root, которые обычно зарезервированы для использования во время разработки. Успешная эксплуатация позволяет злоумышленнику войти в систему и выполнять произвольные команды от имени root-пользователя».
Компания заявляет, что критическая уязвимость затрагивает только Cisco Emergency Responder версии 12.5(1)SU4. Всем пользователям данной версии CER желательно как можно быстрее обновиться до 12.5(1)SU5 или более свежих версий при наличии.
Уязвимость, связанная с жёстко закодированными учётными данными, была обнаружена во время внутреннего тестирования безопасности. Команда реагирования на инциденты безопасности продуктов Cisco не обнаружила информации о публичных раскрытиях или злонамеренной эксплуатации данной уязвимости.
К сожалению, временных решений для смягчения этой уязвимости не существует, поэтому администраторам рекомендуется как можно скорее обновить уязвимые установки.
Примечательно, что на прошлой неделе Cisco призывала своих клиентов устранить уязвимость нулевого дня под идентификатором CVE-2023-20109 , нацеленную на фирменное программное обеспечение IOS и IOS XE.
А в начале сентября компания предупреждала пользователей о другой zero-day уязвимости с идентификатором CVE-2023-20269 в своих устройствах Cisco ASA и Cisco FTD. Брешь в защите активно эксплуатировали банды вымогателей для взлома корпоративных сетей.
Таким образом, для Cisco последний месяц складывается не очень удачно, ведь отовсюду то и дело лезут новые уязвимости. Тем не менее, компания быстро «латает дыры» и своевременно обеспечивает необходимую поддержку своим пользователям.
В дешёвых китайских ТВ-приставках с Aliexpress обнаружен опасный бэкдор 07.10.2023 [18:54]
В минувшем январе эксперт по кибербезопасности Дэниел Милишич (Daniel Milisic) обнаружил, что приставка T95 под управлением Android TV (продаётся, например, на Aliexpress) пришла заражённой вредоносным ПО прямо из коробки. Но это была лишь верхушка айсберга: компания Human Security выявила (PDF) целую теневую сеть, связанную с заражёнными устройствами и вредоносными приложениями.
Исследователи из Human Security обнаружили семь приставок под Android TV и один планшетный компьютер, которые продаются с предустановленными бэкдорами, и выявили признаки вредоносной активности ещё у 200 различных моделей Android-устройств. Эти устройства используются в домохозяйствах, образовательных учреждениях и на предприятиях. Эксперты сравнили проект со «швейцарским армейским ножом, совершающим нехорошие поступки в интернете». Схема включает в себя два направления: Badbox — сеть устройств в предустановленными бэкдорами; и Peachpit — сеть приложений, посредством которых реализуются мошеннические рекламные схемы.
Спойлер:
Направление Badbox занято преимущественно дешёвыми Android-приставками по цене менее $50, которые продаются в интернете и обычных магазинах. Они поставляются без торговой марки или продаются под разными названиями, что помогает скрыть их происхождение. Эти устройства генерируют вредоносный трафик, обращаясь к домену Flyermobi.com. Подтверждены восемь таких устройств: ТВ-приставки T95, T95Z, T95MAX, X88, Q9, X12PLUS и MXQ Pro 5G, а также планшетный компьютер J5-W. Human Security обнаружила не менее 74 тыс. зараженных устройств, в том числе в образовательных учреждениях в США.
Все они производятся в Китае, и на одном из этапов на них устанавливается бэкдор, основанный на трояне Triada, который «Лаборатория Касперского» обнаружила ещё в 2016 году — он подменяет один из компонентов Android, предоставляя себе доступ к приложениям, установленным на устройстве. Бэкдор без ведома пользователя подключается к расположенному в Китае управляющему серверу (C2), загружает набор инструкций и развёртывает вредоносную активность. Human Security установила несколько видов такой активности: рекламные мошеннические схемы; резидентные прокси, то есть продажа доступа к сетевым ресурсам жертв — владельцев заражённых устройств; регистрация учётных записей Gmail и WhatsApp; удалённое выполнение кода.
Стоящие за схемой лица предлагали доступ к своим сетям, утверждая, что у них есть выход на более чем 10 млн домашних и 7 млн мобильных IP-адресов. По версии экспертов Trend Micro, у организаторов схемы более 20 млн заражённых устройств по всему миру, причём 2 млн из них активны в любой момент времени. В частности, был обнаружен планшетный компьютер в одном из европейских музеев; есть основания полагать, что затронуто множество Android-устройств, включая даже автомобили.
Второе направление носит условное название Peachpit, и связано оно с вредоносными приложениями, которые присутствуют не только на ТВ-приставках, но также добровольно устанавливаются пользователями на Android-телефоны и iPhone. В основном это шаблонные приложения не очень высокого качества, например, комплексы упражнений, как накачать мышцы пресса, или ПО для записи объёмов выпиваемой пользователями воды. В общей сложности выявлены 39 таких приложений для Android, iOS и ТВ-приставок. Параллельно с декларируемыми функциями эти приложения также реализуют мошеннические схемы с рекламой и фальсифицируют трафик. Примечательно, что в этих приложениях обнаружены общие черты с вредоносным ПО, поставляемом на устройствах направления Badbox.
Сеть генерировала до 4 млрд рекламных обращений в день — были задействованы 121 тыс. Android-устройств и 159 тыс. iPhone. По подсчётам исследователей, только Android-приложения были скачаны в общей сложности 15 млн раз. Рекламная индустрия имеет достаточно сложную структуру, поэтому полной картины у исследователей нет, но только по имеющимся у них данным операторы схемы могли легко зарабатывать $2 млн в месяц.
Представитель Google Эд Фернандес (Ed Fernandez) сообщил, что компания удалила из Google Play 20 приложений под Android, на которые указали исследователи Human Security. Он также рассказал, что устройства с предустановленными бэкдорами не проходили сертификации Play Protect, а значит, у Google отсутствуют данные о результатах тестов безопасности и совместимости, но на сайте Android есть список партнёров. Представитель Apple Аршель Телемак (Archelle Thelemaque) рассказала, что компания связалась с разработчиками пяти приложений из доклада Human Security — им дали 14 дней на исправление ошибок, и четыре приложения уже не представляют угрозы.
Результатов в пресечении схем Badbox и Peachpit компании Human Security удалось добиться в конце 2022 года и в первой половине текущего. После первых же действий стоящие за схемами злоумышленники разослали на заражённые устройства обновления, направленные на сокрытие активности. После этого были отключены серверы C2, обеспечивающие функционирование бэкдора в прошивке. Активность обеих схем кардинально снизилась, но люди продолжают пользоваться этими устройствами. Без технических навыков удалить это вредоносное ПО очень непросто, и сейчас ТВ-приставки с предустановленными бэкдорами превратились в своего рода спящих агентов. Потребителям рекомендуется приобретать продукцию, производитель которой известен, и которому они доверяют.