Служба безопасности Украины совместно с партнерами из США и Великобритании ликвидировала крупный хакерский сервис, предоставляющий платные услуги для кибератак и взлома систем различных учреждений. За время своего существования организаторы сервиса заработали порядка миллиона долларов.
Создателями сервиса оказались граждане Украины, скрывающиеся под различными никнеймами в сети Darknet. В ходе операции были изъяты персональные компьютеры и мобильные телефоны, с помощью которых осуществлялось администрирование сервиса.
Через свою платформу злоумышленники позволяли напрямую подгружать вирусы, шпионское ПО и различные вредоносные программы для взлома систем государственных и коммерческих учреждений, пишут РИА Новости.
В ходе расследования было возбуждено уголовное дело по статьям "несанкционированное вмешательство в работу электронно-вычислительных машин (компьютеров)", "создание с целью использования, распространения или сбыта вредоносных программных" и "легализация доходов, полученных преступным путем".
Согласно данным исследования, проведенного разработчиком антивирусного ПО ESET, каждый пятый россиянин хотел бы стать хакером. При этом отмечается, что больше всего такая работа интересует молодежь до 24 лет, а также скорее мужчин (23%), чем женщин (16%).
Хакер взломал аккаунт журнала Fast Company в Apple News и разослал расистские сообщения Сайт временно отключили
Неизвестный хакер смог получить доступ к учётной записи делового издания Fast Company на платформе Apple News и разослал ряд непристойных и расистских сообщений с помощью push-уведомлений. Жертвами оказались подписчики.
В Fast Company подтвердили факт взлома, то же заявили и в Apple. На данный момент проводится расследование инцидента.
«Во вторник вечером была взломана учётная запись Fast Company в Apple News. После этого с минутным интервалом были отправлены два push-уведомления непристойного и расистского содержания. Сообщения отвратительны и не соответствуют контенту Fast Company. Мы расследуем инцидент, а ещё приостановили обновление ленты и закрыли FastCompany.com, пока не будем уверены, что ситуация разрешилась», — отметили в издании.
Сам хакер незадолго до отключения разместил на сайте Fast Company целую статью, где подробно рассказал, как ему удалось обойти защиту. Выяснилось, что учётные записи на сайте были защищены одним и тем же паролем, это касается и аккаунта администратора сайта. Получив доступ к ним, хакер смог добраться до токенов аутентификации и авторизоваться на Apple News.
При этом, помимо хулиганства, никаких финансовых убытков или манипуляций не было зафиксировано.
DNS сообщил об утечке данных покупателей и сотрудников 02.10.2022 [16:41]
Компания DNS, владеющая розничной сетью по продаже компьютерной, цифровой и бытовой техники из более чем 2200 магазинов, расположенных в более чем 1000 городах России, сообщила об утечке персональной информации клиентов и сотрудников. Как утверждает компания, данные были похищены в результате хакерской атаки с серверов, находящихся за пределами страны.
«Мы видим, что атака производилась группировкой хакеров. Взлом производился с серверов, расположенных за пределами России», — указано в сообщении компании. DNS также отметила, что специалисты уже обнаружили бреши её информационной инфраструктуры, которыми воспользовались хакеры, и сейчас они занимаются работой по усилению информационной безопасности.
За день до этого, 1 октября, об утечке базы данных пользователей интернет-магазина DNS (dns-shop.ru) сообщил Telegram-канал «Утечки информации». В Сеть попал частичный дамп (файл со структурой и контентом базы данных), содержащий 16 524 282 строки с данными покупателей, включая имена и фамилии, адреса электронной почты, телефоны, имена пользователей на сайте. Дамп был выгружен не раньше 19 сентября 2022 года источником, который ранее опубликовал базу данных клиентов интернет-магазина «Онлайн Трейд», сообщил автор Telegram-канала.
Депутаты расследуют технологическую угрозу кибербезопасности 7 октября 2022 г.
Члены Комитета Палаты общин Великобритании по цифровым технологиям, культуре, СМИ и спорту должны расследовать опасности, которые враждебные и преступные субъекты представляют для подключенных технологий, от виртуальных помощников, интеллектуальных устройств и носимых устройств до умных домов и городов. Несмотря на то, что они используются дома, в городах, на предприятиях и в больницах, исследования показали, что 57% всех подключенных устройств уязвимы для атак средней или высокой степени серьезности.
Ожидается, что депутаты спросят у экспертов, как враждебные субъекты могут нацеливаться на подключенные устройства и используются ли они в настоящее время способами, открывающими их для атак. Также может быть рассказано о том, как подключенные технологии могут способствовать домашнему и сексуальному насилию.
Эта вторая сессия расследования Connected Technology также, вероятно, будет посвящена изучению степени, в которой система кибербезопасности Великобритании соответствует поставленной задаче, и может ли правительственный законопроект о безопасности продуктов и телекоммуникационной инфраструктуре улучшить стандарты кибербезопасности.
Выполнить DDoS-атаку или взломать аккаунт в соцсетях стало проще — хакеры снизили расценки 11.10.2022 [13:56]
Согласно исследованию Positive Technologies, сейчас кибератаки больше обсуждают в мессенджерах, чем на форумах киберпреступников. За последний год число предложений услуг хакеров в Telegram резко выросло, что привело к падению расценок, сообщает РБК.
По данным Positive Technologies, стоимость проведения DDoS-атаки в течение суток в настоящий момент составляет $40 (2,6 тыс. руб. по текущему курсу), взлом аккаунта во «ВКонтакте» — в пределах от $10 до $50 (630–3,13 тыс. руб.), взлом мессенджеров Telegram, Viber и WhatsApp — от $350 (22 тыс. руб.). В ходе исследования было проанализировано 323 публичных канала и группы в Telegram с количеством подписчиков более 1 млн.
Спойлер:
В 2021 году компания BI.ZONE приводила расценки на хакерские услуги: взлом аккаунта во «ВКонтакте» тогда стоил от 700 руб. до 12 тыс. руб., аккаунта в Telegram — от 30 тыс. до 170 тыс. руб., в WhatsApp — от 20 тыс. до 130 тыс. руб.
Также снизилась стоимость вредоносного ПО. По словам аналитика исследовательской группы Positive Technologies Екатерины Семыкиной, за последние четыре года расценки на вредоносное ПО для шифрования упали примерно в 27 раз, с $270 до $10.
Инструменты для запутывания кода стоят от $20 до $100 (от 1,26 тыс. до 6,27 тыс. руб.), а ботнет (сеть компьютеров, заражённая вредоносным софтом) или руководство по его созданию обойдётся гораздо дороже — до $750 (47 тыс. руб.). Цены на вымогательское ПО составляют десятки долларов.
Аналитик назвала причиной популярности Telegram среди злоумышленников то, что в нём проще создавать анонимные аккаунты. Также за четыре года вредоносов написано множество, товар стал менее уникальным, и даже хакеры с низким уровнем квалификации могут собрать вредонос, чтобы потом продавать его в сети.
Всего во втором квартале этого года в Telegram было размещено более 27 тыс. постов на хакерскую тематику, что в 2,5 раза больше, чем за аналогичный период прошлого года.
По словам экспертов, хакеры начали массово переходить в мессенджеры с киберпреступных форумов после того, как в 2020–2021 гг. несколько крупных форумов были взломаны из-за уязвимостей. Большинство сообщений в мессенджерах (52 %) касаются пользовательских данных, включая их продажу, 29 % — посвящены различным услугам киберпреступников, 15 % — распространению вредоносного ПО, 3 % — обсуждению уязвимостей и эксплойтов, 1 % — проблемам доступа к корпоративным сетям.
Подведомственный Роскомнадзору Главный радиочастотный центр (ГРЧЦ) подвергся атаке белорусской хакерской группировки "Киберпартизаны". Хакеры выложили в открытый доступ скриншоты внутренней переписки, а также контакты сотрудников и их родственников и сканы документов. По информации источников "Коммерсанта", взлом мог быть произведен через удаленное рабочее место одного из сотрудников организации. При этом ГРЧЦ заявляет, что все находилось под контролем.
Хакеры также сообщают, что они зашифровали рабочие станции сотрудников, таким образом сделав невозможным доступ авторизованным пользователям, и нанесли урон инфраструктуре организации. При этом представители ГРЧЦ заявляют, что рабочие станции сотрудников не зашифрованы, доступ к ним открыт. Служба противодействия кибератакам обнаружила, что хакеры использовали уязвимость, которая раньше не была нигде использована.
Спойлер:
Эксперты предполагают, что "Киберпатризаны" получили доступ к рабочей станции специалиста по информационной безопасности. На это указывают скриншоты консоли внутренней системы защиты компании от утечки информации — DLP-системы (Data Loss Prevention).
"ОрдерКом" опубликовал в своем телеграм-канале ряд документов, до которых добрались хакеры, ссылаясь на слова "Роскомнадзора" о том, что доступа к "закрытой информации" "Киберпартизаны" не получали, а значит, эти файлы можно обнародовать. Среди документов есть списки сотрудников с личными данными, сканы переписки и документов сотрудников, включая паспорта и результаты медицинских обследований, документацию по проектам (в том числе Бот-ферме и системам автоматизированного мониторинга в сети), множество отчетов о слежке в сети как за известными журналистами и блогерами, так и за обычными пользователям, а также доступ к системе оперативного взаимодействия между Роскомнадзором, МВД, ФСО, ФСБ, Генпрокуратурой и другими ведомствами.
18 ноября также произошла другое хакерское нападение — пророссийская группировка Killnet совершила DDoS-атаку на сервисы спутникового интернета Starlink. В результате чего пользователи Starlink не могли попасть в свои личные кабинеты. Однако на сегодняшний день портал снова работает. Хакеры также пригрозили выложить "тонны гигабайт" цифрового мусора в базу Starlink, но неизвестно, смогли ли они получить доступ к серверам компании.
Партию российских мультитулов для хакеров Flipper Zero на $200 тыс. задержала таможня Германии и уничтожит её 15.12.2022 [11:33]
Разработчики электронного мультитула для хакеров Flipper Zero сообщили, что отправленный через «Почту России» груз устройств на сумму около $200 тыс. был ранее задержан немецкой таможней, которая теперь предоставила официальный ответ по инциденту: партия будет уничтожена «без возврата и компенсаций».
Спойлер:
Устройство разработал руководитель сообщества для техноэнтузиастов Neuron Hackspace Павел Жовнер — идея состоит в том, чтобы в одном гаджете собрать все инструменты для «взлома на ходу». Для этого здесь есть: радиомодуль на 433/868 МГц — он используется для подключения к компонентами интернета вещей; ИК-порт для бытовой техники; анализатор радиосигналов для работы с неизвестными протоколами; интерфейс GPIO для подключения к одноплатным компьютерам и контроллерам; USB-C для эмуляции периферийных устройств; модули Bluetooth и RFID, а также другие компоненты.
Интерфейс Flipper Zero выполнен в духе «тамагочи», роль персонажа играет «кибер-дельфин», которому нужно «скармливать» внешние радиосигналы. Код устройства открытый, есть возможность установки стороннего ПО — для этого здесь предусмотрен слот карт памяти microSD.
В 2020 году господин Жовнер с командой запустил кампанию на Kickstarter для запуска устройства в серийное производство — необходимые $60 тыс. были собраны за 8 минут, а за 3 часа набрались уже $300 тыс. В начале июля 2022 года разработчик отчитался о поставке 90 % заказов и открыл предзаказы на новую партию. Оплата за устройство принималась преимущественно через PayPal, но в сентябре администрация системы без объяснения причин заблокировала бизнес-аккаунт производителя, на котором были $1,3 млн. В ноябре разработчику удалось вернуть $980 тыс., а $380 тыс. так и остались у PayPal.
Партию устройств «Почта России» отправила через ФРГ, где размещён логистический хаб оператора. Немецкие власти приняли решение, что Flipper Zero подпадает под введённые ЕС санкции, ограничивающие доступ российских субъектов к технологической продукции: дронам, ПО для шифрования и полупроводникам. Производитель сообщил, что попытается отправить оставшиеся в РФ заказы по другой схеме, но нет уверенности, что она сработает.
Северокорейские хакеры украли виртуальные активы на $1,2 млрд за последние годы 23.12.2022 [12:04]
Как сообщает агентство Associated Press со ссылкой на представителей спецслужб, северокорейские хакеры за пять лет украли криптовалют и других виртуальных активов на сумму, эквивалентную $1,2 млрд.
По данным источников из числа сотрудников государственных ведомств и экспертов, Северная Корея прибегла к подобным мерам на фоне острой необходимости в иностранной валюте для поддержки неустойчивой экономики. Кроме того, предполагается, что средства нужны были для финансирования ядерной программы, борьбы с санкциями и вспышками COVID-19.
Спойлер:
Национальная разведывательная служба (NIS) Южной Кореи сообщила о том, что северный сосед страны имеет один из самых высоких в мире потенциалов для кражи цифровых активов, поскольку вынужден концентрировать усилия на киберпреступлениях с тех пор, как в 2017 году ужесточились экономические санкции ООН в ответ на ядерные и ракетные испытания. Дополнительно экономика страны пострадала от жёстких санитарных ограничений, введённых с началом пандемии.
По данным NIS, работающие на северокорейское правительство хакеры украли с 2017 года виртуальных активов на $1,2 млрд, включая $626 млн — только в текущем году. Около $78 млн похищено из Южной Кореи. Согласно опубликованным данным, северокорейские хакеры предпримут в следующем году ещё больше атак для хищения передовых южнокорейских технологий и конфиденциальной информации, связанной с южнокорейской внешней политикой и национальной безопасностью.
Ранее в текущем месяце высокоранговые дипломаты из США, Южной Кореи и Японии договорились нарастить попытки по сдерживанию северокорейской киберактивности. В феврале эксперты ООН заявили, что Северная Корея продолжала хищения сотен миллионов долларов у зарубежных финансовых институтов, криптобирж и криптообменников.
Хакеры предложили Twitter эксклюзивную сделку — они продают данные 400 млн пользователей соцсети за $200 тысяч 27.12.2022 [11:36]
На хакерском форуме Breach пользователь с ником Ryushi опубликовал заявление, предложив владельцу и главе Twitter Илону Маску (Elon Musk) эксклюзивную сделку. Хакер сообщил, что располагает данными более 400 млн аккаунтов соцсети — они были получены благодаря уязвимости, обнаруженной в 2021 году и сегодня уже закрытой. В противном случае ресурсу угрожает утечка данных с последующими огромными штрафами со стороны европейских регуляторов.
Согласно общему регламенту о защите данных (GDPR), принятому в ЕС, Twitter грозит многомиллионный штраф за утечку, о чём и упоминает хакер, обращаясь к руководству социальной сети на форуме: «Ваш лучший вариант избежать уплаты $276 млн долларов штрафа в соответствии с GDPR — эксклюзивно купить данные». Дополнительно шантажист оставил ссылку на страницу, где рассказывается, как именно такие сведения могут быть использованы другими злоумышленниками — для фишинговых атак, криптомошенничества и атак BEC-типа, предполагающих подмену легитимных пользователей их «клонами».
Спойлер:
В посте размещён образец с данными о 37 знаменитостях, включая звёзд, чиновников, политиков, журналистов и бизнесменов, а также сведения тысячи профилей обычных пользователей, включая электронные адреса, имена, количество подписчиков, даты создания аккаунтов и телефонные номера. Хотя почти все из этих данных являются общедоступными, адреса электронной почты и телефонные номера обычно не афишируются.
Как удалось выяснить сотрудникам портала BleepingComputer у самого Ryushi (возможно, речь идёт не об одном человеке, а группе лиц), пока предлагается Twitter приобрести базу за $200 тыс. с последующим её удалением шантажистом. Если предложение не будет принято, её начнут продавать «в розницу» разным людям, по $60 тыс. за копию. На вопрос о том, связывался ли злоумышленник с Twitter, журналистам ответили, что попытки наладить контакты были, но в социальной сети на предложение не ответили.
Злоумышленник подтвердил, что получил номера телефонов и адреса электронной почты благодаря уязвимости API, обнаруженной в 2021 году и устранённой в январе 2022-го. Ранее считалось, что произошла утечка данных только 5,4 млн аккаунтов. В BleepingComputer сообщают, что проверка образцов показала достоверность данных как минимум из двух профилей. По данным экспертов по кибербезопасности Hudson Rock, они провели собственную проверку и установили, что опубликованные в общем доступе образцы настоящие. Тем не менее, в компании подчёркивают, что пока нет возможности проверить, имеются ли в базе данные всех 400 млн пользователей.
Сведения об утечке появились в неблагоприятные для социальной сети времена: ирландский регулятор как раз начал расследование недавней публикации сведений о 5,4 млн пользователей, украденных в 2021 году. Известно, что ещё один злоумышленник заявлял о краже сведений 17 млн профилей, которые пока не выставлены на продажу. Всего в Twitter зарегистрированы более 1 млрд аккаунтов.
Очень просто: немецкие исследователи предупреждают о возможности взлома светофоров хакерами
Возможно ли манипулировать дорожным движением в большом городе, используя для этого компьютерные технологии и несколько знаний?
Недавние примеры по взлому интеллектуальной транспортной системы в нидерландских городах уже дали утвердительный ответ на этот вопрос. А в Германии тем временем исследователи предупреждают об устаревших некоторых протоколах, используемых для управления светофорами в стране.
Довольно простая техника взлома
Спойлер:
В подтверждение своих слов исследователи продемонстрировали возможность переключения с помощью простых компьютерных манипуляций отдельных светофоров с красного на зеленый свет быстрее, чем это должно происходить по плану. Или, напротив, – медленнее. Для проведения взлома понадобятся только лэптоп, радиопередатчик и простая антенна.
Чтобы подтвердить свою теорию на практике, два компьютерных инженера пригласили группу журналистов на перекресток с очень интенсивным движением, расположенное в северном Ганновере.
Сидя в автомобиле, в салоне которого была установлена необходимая аппаратура, компьютерщики во время демонстрации с легкостью меняли продолжительность времени, когда светофор горел зеленым светом.
Система защищена достаточно для того, чтобы, например, сделать невозможным ситуацию, когда все светофоры одновременно станут зелеными. Однако ею все же можно в какой-то степени манипулировать, создавая огромные пробки на автодорогах или увеличивая риск аварий.
Проводя эту демонстрацию, исследователи имели целью показать потенциальную опасность, связанную с эксплуатацией достаточно устаревшей системы.
Эксперты отметили, что у них не было никаких других целей, кроме желания указать на действующую проблему. При этом хакеры пожелали сохранить анонимность во избежание возможной уголовной ответственности.
Устаревшая система в эпоху цифровых технологий
На самом деле обнаруженная исследователями «дыра» в защите связана с работой системы, созданной для того, чтобы сделать дорожное движение более плавным. Обнаружившие проблему компьютерные инженеры использовали тот же аналоговый радиосигнал, который используется автобусами и трамваями, позволяя им проезжать на зеленый свет при приближении к светофоров. Эта технология была разработана еще в 80-х годах и сигнал, конечно, не кодируется.
Журналисты обратились к специалистам по управлению дорожным движением из 13 крупных городов Германии. Они спросили, используется ли в их городах подобная технология, позволяющая контролировать движение и включать зеленый свет, давая дорогу автобусам и поездам.
В результате выяснилось, что почти все эти города используют старую аналоговую радиотехнологию. А специалисты по управлению дорожным движением признали, что это может нести риск. В общей сложности почти 80 городов Германии все еще используют аналоговый сигнал.
К счастью, в Германии существует закон, обязывающий все немецкие города до 2028 года перевести светофоры на цифровой радиосигнал. Этот сигнал будет передаваться в закодированном виде, поэтому он более безопасен.
Хакеры стали использовать ИИ-бот ChatGPT для создания вирусов 07.01.2023 [14:10]
С момента запуска ИИ-бот ChatGPT успели испытать на решении широкого круга задач: она не только отвечает на вопросы, но также пишет технические статьи, эссе, стихи и компьютерный код. Как оказалось, на последнее следует обратить пристальное внимание, потому что этот код может быть вредоносным, если такую задачу ставит перед искусственным интеллектом пользователь.
Эксперты по кибербезопасности компании Check Point Research опубликовали доклад, в котором рассказали, как участники хакерских форумов используют ChatGPT для написания вредоносного кода и фишинговых электронных писем — некоторые из этих людей имеют небольшой опыт в программировании или вообще его лишены. В одном из приведённых примеров описывается скрипт на языке Python, который при некоторой доработке можно превратить в программу-вымогатель, способную шифровать данные на компьютере пользователя. Ещё один созданный ChatGPT скрипт на Python производит поиск файлов заданного типа, например, PDF, на локальной машине, осуществляет их сжатие и отправку на сервер потенциального злоумышленника — это стандартный сценарий кражи информации.
Спойлер:
На языке Java нейросеть создала код, который производит скрытую загрузку SSH- и telnet-клиента PuTTY для последующего запуска интерфейса PowerShell. В другом примере написанный ChatGPT скрипт предназначался для запуска торговой онлайн-площадки, на которой производится покупка или обмен скомпрометированных учётных записей, данных банковских карт, вредоносных программ и прочих виртуальных товаров, которые продаются в даркнете. Скрипт подключался к стороннему интерфейсу для получения актуальных данных о котировках наиболее популярных криптовалют для упрощения расчётов.
Исследователи Check Point Research и сами попытались использовать нейросеть для моделирования хакерской атаки — ИИ «не подвёл». Бот любезно сочинил им убедительное фишинговое письмо, в котором сообщалось о блокировке аккаунта у одного из хостеров и предлагалось открыть вложенный файл Excel. С нескольких попыток ChatGPT написал и встроенный в этот файл вредоносный VBA-макрос. Но куда более мощным инструментом оказалась специализированная ИИ-система генерации кода Codex, с которой исследователи получили целый комплект вредоносов: интерфейс Reverse Shell и скрипты сканирования портов, обнаружения песочницы, а также компиляции кода на Python в исполняемый файл Windows.
У менеджера паролей Norton украли личные данные пользователей, в том числе сами пароли 16.01.2023 [19:39]
NortonLifeLock объявила, что за последние несколько недель злоумышленникам удалось скомпрометировать учётные записи тысяч пользователей менеджера паролей Norton Password Manager. В настоящее время компания рассылает соответствующие уведомления клиентам, которых затрагивает данный инцидент.
Согласно имеющимся данным, инцидент произошёл не из-за какой-либо уязвимости в IT-системах компании или программном обеспечении. В уведомлении сказано, что злоумышленники провели массовую атаку с подстановкой учётных данных, т.е. пытались авторизоваться в менеджере паролей с данными, полученными из сторонних источников, возможно, в ходе других утечек информации. Проще говоря, злоумышленники проверяли возможность авторизации в Norton Password Manager с данными пользователей от других учётных записей.
Отмечается, что проведение такой атаки было невозможным в случае, если бы все пользователи менеджера паролей задействовали функцию двухфакторной аутентификации, которая не позволяет получить доступ к данным только по паролю. Касательно инцидента сказано, что 12 декабря специалисты Norton зафиксировали необычно большое количество неудачных попыток авторизации в системе. Внутреннее расследование, которое было проведено после выявления действий злоумышленников, показало, что первые атаки с подстановкой учётных данных начались 1 декабря.
По данным источника, компания Gen Digital, являющаяся дочерним предприятием NortonLifeLock, разослала 6450 уведомлений клиентам, чьи учётные записи затронуты в данном инциденте. Другой источник сообщает, что злоумышленники могли атаковать около 925 тыс. активных и неактивных учётных записей клиентов компании. Клиенты получили уведомление о том, что злоумышленники могли получить доступ к логинам и паролям, а также личной информации, такой как ФИО, номера телефонов и адреса электронной почты. Компания настоятельно рекомендует пользователям использовать двухфакторную аутентификацию, чтобы в дальнейшем избежать подобных инцидентов.
Хакеры украли данные 37 млн пользователей T-Mobile 21 января 2023, 13:07
Хакеры добрались до крупнейшего мобильного оператора в мире, похитив данные миллионов его клиентов.
Речь идет об операторе T-Mobile. Как сообщили в его пресс-службе, благодаря хакерской атаке, совершенной 5 января текущего года, злоумышленники похитили данные 37 млн пользователей.
По информации оператора, нет никаких доказательств того, что системы безопасности компании были взломаны. То есть хакер не получил доступ к номерам социального страхования, государственным идентификационным номерам, паролями или информации о платежных картах.
В T-Mobile уверяют, что в руки хакеров попали исключительно имена пользователей, их электронные почты и тарифные планы. Все затронутые пользователи уже были уведомлены оператором.
Рынок хакерского шифрования обрушился. Жертвы массово отказываются платить
В 2022 г. шифровальщики-вымогатели смогли заработать на своих жертвах на 40% меньше, чем в предыдущем году. Жертвы все чаще резервируют данные и отказываются платить злоумышленникам.
Год повышенной активности
Доходы шифровальщиков-вымогателей в 2022 г. упали на 40% по сравнению с предыдущим годом. Если в 2021 г. авторы шифровальщиков заработали примерно $766 млн (и почти столько же в 2020 г.), то 2022 г. сумма их заработка составила всего лишь $457 млн. Об этом говорится в исследовании ИБ-фирмы Chainalysis.
И это притом, что шифровальщики-вымогатели проявили в 2022 г. большую активность, чем когда-либо прежде: количество семейств шифровальщиков исчисляется тысячами, а объектами атак становились организации любых размеров.
Спойлер:
Причина такого сильного спада в том, что жертвы все чаще отказываются платить. Это сказалось и на среднем сроке активности каждого отдельно взятого шифровальщика: если в 2021 г. он составлял 153 дня, то в 2022 г. — только 70 дней.
На протяжении 2022 г. появились такие новые шифровальщики как Royal, Play и BlackBasta. Операторы LockBit, Hive, Cuba, BlackCat и Ragnar продолжали исправно атаковать жертв, в то время как группировка Conti свернула деятельность полностью.
Шифровальщики применяют все более широкий вымогательский потенциал: от жертв требуют заплатить не только за зашифрованные данные, но и за то, чтобы украденная информация не стала всеобщим достоянием. В качестве рычагов воздействия также используются DDoS-атаки и обещания донести на пострадавшую организацию в регулирующие органы за недостаточность защитных мер. Тем не менее, злоумышленники все чаще встречают отказ платить.
По данным Coverware, тенденция к этому стала различимой еще в 2019 г., и с тех пор количество жертв шифровальщиков, готовых платить злоумышленникам, непрерывно снижается. Если в 2019 г. около 76% жертв вымогателей платили выкуп, и лишь 24% отказались это делать, то в 2022 г. количество отказников составило 59%.
Три причины
Главных причин у такого изменения в поведении три. Во-первых, жертвы все чаще понимают, что выплата выкупа вовсе не гарантирует возвращения доступа к данным и того, что злоумышленники действительно удалят украденную информацию после получения денег.
Во-вторых, общественность стала больше знать о шифровальщиках-вымогателях, так что утечки данных стали менее негативно сказываться на репутации атакованных компаний.
Ну и, наконец, организации стали применять более адекватные меры по резервированию данных. На этом, помимо прочего, стали настаивать фирмы, занимающиеся страхованием от атак шифровальщиков. В результате повышаются шансы на то, чтобы восстановить поврежденные шифровальщиками данные, не выплачивая злоумышленникам ничего.
Тем не менее, исчезновения шифровальщиков в обозримом будущем ожидать не приходится.
«Пока хотя бы малая часть жертв шифровальщиков готовы платить вымогателям, те не остановятся и будут применять все новые методы воздействия на жертв, — говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Единственный способ остановить шифровальщиков — максимально затруднять им атаки, чтобы прилагаемые ими усилия оказывались непропорциональны заработку. Достичь этого можно лишь комбинацией из технических мер, в первую очередь, резервирования данных, и обучения персонала распознавать и противодействовать хакерским уловкам».
Аккаунты подписчиков Sky Deutschland стали объектом взлома. Немецкий оператор платного телевидения пытается ограничить ущерб и информирует об этом своих клиентов по электронной почте. Как подтвердил Sky Deutschland на своем форуме, атаки на учетные записи клиентов платформы действительно имели место. Не совсем понятно, какова была точная цель этих атак , однако Sky уже приняла контрмеры и теперь информирует своих подписчиков по электронной почте и рекомендует сменить пароль из соображений безопасности. Есть подозрение, что речь шла о дополнительных пакетах для избранных абонентов и показе возможностей, направленных против Sky Deutschland.
Спойлер:
Клиенты немецкой платформы Sky, которые не получили электронное письмо, теперь задаются вопросом, не пострадали ли они и от атаки. На форуме пользователей Sky Deutschland провайдер сделал следующие комментарии для заинтересованных клиентов: - Мы связываемся с клиентами, затронутыми этим инцидентом, с соответствующей информацией и инструкциями. Если вы не были уведомлены нами, вы не пострадали от инцидента.
Заявление Sky о кибератаке:
«У нас есть основания полагать, что киберпреступники недавно получили доступ к ограниченному количеству учетных записей клиентов Sky. Мы немедленно приняли меры информационной безопасности и остановили несанкционированный доступ. Мы также начали расследование, уведомили соответствующие органы по защите данных и как можно скорее связались с потенциально затронутыми клиентами, предоставив им соответствующую информацию и инструкции.
«Наше расследование все еще продолжается, но исходя из того, что мы узнали на данный момент, киберпреступники могли временно получить доступ к личной информации. В настоящее время нет никаких признаков конкретного неправомерного использования этих данных, кроме дополнительных подписок для некоторых затронутых клиентов. Мы приносим извинения за любые неудобства, которые этот инцидент мог причинить клиентам. Мы позаботимся о том, чтобы пострадавшие клиенты не понесли в результате финансового ущерба.
Даже те, кто не получил электронное письмо от Sky, должны защитить себя надежным паролем, что, безусловно, значительно усложнит работу хакерам в будущем. Всем клиентам онлайн-сервисов, желающим предотвратить атаки киберпреступников, рекомендуется регулярная замена паролей, содержащих самые сложные комбинации букв и цифр, на специальные символы.
Надо признать, что эти хакерские действия очень опасны и вскоре станет ясно, откуда берутся эти атаки....
Антивирусное программное обеспечение G Data сделано в Германии 360pxВ последние годы антивирусное программное обеспечение претерпело глубокую метаморфозу. Это решительный ответ производителей на все более сложные и дерзкие атаки киберпреступников. Есть антивирусы нового поколения, которые меняют правила игры, например, от G Data Software .
На протяжении десятилетий антивирусное программное обеспечение использовало файлы на основе сигнатур для идентификации вирусов. В настоящее время это метод, который не гарантирует остановки хакеров, потому что он является реактивным . Вирус должен быть выпущен и начать заражать системы и сети, а после обнаружения поставщики проводят анализ, разрабатывают сигнатуру и обновляют свое программное обеспечение.
Спойлер:
« Этот старомодный подход не работает с головокружительной скоростью, с которой киберпреступники создают вирусы и другие типы вредоносных программ. В наши дни поставщики антивирусов используют технологии на основе ИИ, такие как машинное обучение и прогнозная аналитика. Вместо того, чтобы полагаться на файлы сигнатур, программное обеспечение выявляет нарушения, анализируя шаблоны и поведение пользователей
, — объясняет Роберт Дземянко , G DATA Software.
Внедренные в последние годы инновации в антивирусной сфере позволяют решать задачи, связанные с ИТ-безопасностью, в более широком масштабе. Что на практике означает остановку таких атак, как программы- вымогатели или брутфорс (методика взлома паролей или криптографических ключей, заключающаяся в проверке всех возможных комбинаций).
Одним из примеров технологии, основанной на машинном обучении, является DeepRay от G DATA, который использует нейронные сети, чтобы определить, достаточно ли подозрительны новые неизвестные файлы. В свою очередь, механизм Зверяотслеживает поведение кода в операционной системе и сохраняет информацию о каждой подозрительной активности в локальной небольшой базе данных. Стоит подчеркнуть, что он не идентифицирует вредоносные файлы как таковые, а наблюдает за моделями вредоносного поведения и их ассоциациями. Beast очень полезен для обнаружения атак нулевого дня и необычного или вредоносного кода, разработанного для данного объекта.
Одной из самых больших киберугроз как для бизнеса, так и для бизнес-пользователей является вредоносное ПО-вымогатель , которое шифрует данные, хранящиеся на локальных и сетевых дисках. По данным Cybersecurity Ventures, в 2021 году каждые 11 секунд компания становилась жертвой такого типа атак. Вот почему ведущие поставщики антивирусов предлагаютмодули защиты от программ-вымогателей .
G DATA Software разработала запатентованную технологию защиты от шифрования жесткого диска. Для частных клиентов этот компонент активирован по умолчанию, а для бизнес-клиентов его необходимо активировать «вручную».
Киберпреступники получают огромную прибыль от своей деятельности, что позволяет им создавать все более изощренные вредоносные программы. Поставщики программного обеспечения для обеспечения безопасности не должны отставать и должны всегда держать руку на пульсе.
-" В этом году ожидается дальнейшее развитие поведенческого анализа на основе искусственного интеллекта и машинного обучения. Мы намерены развивать обнаружение, основанное на наблюдении за процессами, улавливании моделей вредоносного поведения и их связей.
Таинственный новый троян надежно удаляет файлы с дисков в Украине
Эксперты ESET в конце января 2023 г. выявили хакерскую атаку на Украинские инфосистемы при помощи утилиты SwiftSlicer. Она запускает очень надежный алгоритм удаления важных системных файлов на ПК с Windows с минимальной возможностью восстановления. Утилита написана на Golang – фирменном языке Google, который интернет-гигант разрабатывает с 2007 г.
Массовая кибератака
В Сети выявлено новое вредоносное ПО SwiftSlicer для принудительного удаления данных на компьютерах под Windows. Обнаружившая его компания ESET, автор известного антивируса NOD32, считает, что этот софт использовался в ходе недавней массированной кибератаки на Украину.
ESET ушла из России в марте 2022 г. в знак поддержки санкций. Ее эксперты полагают, что софт SwiftSlicer использовался для атаки на Украину хакерской группировкой Sandworm.
Темная история
Спойлер:
Специалисты ESET обнаружили атаку при помощи SwiftSlicer 25 января 2023 г. Они не сообщают, на кого именно она была направлена – это могли быть как обычные пользователи, так и конкретные организации. Количество пострадавших в результате этой атаке тоже не раскрывается.
Хакеры могут в любой момент найти новую цель для SwiftSlicer, не обязательно в Украине. Не исключено, что основной целью хакеров были в первую очередь организации. По данным Bleeping Computer, недавняя атака Sandworm затронула, в том числе, национальное информационное агентство Украины «Укринформ».
В ESET сообщают, что хакеры запустили SwiftSlicer на компьютерах жертв с использованием групповой политики Active Directory, которая позволяет администраторам домена выполнять сценарии и команды на всех устройствах в сети Windows. Исследователи компании утверждают, что SwiftSlicer был развернут для удаления теневых копий и перезаписи важных файлов в системном каталоге Windows, в частности, драйверов и базы данных Active Directory.
Восстановить файлы после того, как на накопителе поработал SwiftSlicer, почти невозможно. Утилита перезаписывает данные, используя блоки по 4096 байт (4 КБ), которые заполняются случайно сгенерированными битами и байтами. В финале программа перезагружает компьютер, на котором работала.
Гарантия выполненной работы
Как пишет Bleeping Computer, при атаке как минимум на компьютеры «Укринформ», хакеры из Sandworm использовали «коктейль» из шести вредоносных утилит. Предназначение каждой из них – удаление данных с накопителя.
Для чего злоумышленникам нужна была такая перестраховка, остается загадкой. Возможно, ответ кроется в выборе программ, из которых лишь четыре работают под Windows.
Хакеры провели атаку при помощи Windows-утилит CaddyWiper, ZeroWipe и SDelete в дополнение к упомянутой SwiftSlicer. Также использовались утилиты BidSwipe под FreeBSD и AwfulShred для Linux.
В опасности каждый
Хакеры Sandworm, согласно информации из открытых источников, обладает внушительным опытом кибератак. В частности, осенью 2022 г. они провели серию выпадов при помощи нового вымогателя Prestige. Целями были выбраны транспортные и логистические компании Украины и Польши.
В теории, используемые группой Sandworm могут быть использованы против любого пользователя интернета. Но многие из них уже есть в базах данных антивирусов. Например, SwiftSlicer была добавлена в VirusTotal 26 января 2023 г. Менее чем через неделю программа научились обнаруживать 43 из 70 антивирусных систем, которые анализирует VirusTotal.
Как Google помогает хакерам
Утилита SwiftSlicer, согласно информации ESET была создана при участии корпорации Google, хотя и косвенно. Разработчики написали этот малварь на языке Go, он де Golang, который создан в недрах Google.
Релиз первой стабильной версии Golang состоялся в ноябре 2009 г., спустя два года после начала работы над ним. Google продолжает развивать и совершенствовать его на протяжении более 13 лет. За этот немалый по меркам языков программирования срок Go дорос до версии 1.19.5, датированной 10 января 2023 г.
В последние годы Golang стал одним из любимейших языков программистов, создающих именно вредоносное ПО. Он покорил их в первую очередь своей универсальностью – написанный на нем код может быть скомпилирован почти для всех платформ и оборудования.
CNews писал, что киберпреступники отдают предпочтение не только Go, но также языкам D (Dlang), Nim и Rust. Однако, судя по всему, из этой четверки больше всего им нравится именно Rust. Хакеры действительно способствуют росту популярности всего квартета, но за год Golang поднялся в рейтинге Tiobe с 13 на 12 места, тогда как Rust взлетел с 26 на 18. Dlang находится на 46 месте, а Nim не входит в топ-50.
03 февраля 2023 09:09 Хакеры выманили привилегированные аккаунты Microsoft для атак на топ-менеджеров и финансистов
Социальная инженерия сработала не только против клиентов облачных ресурсов Microsoft, но и против самого вендора: злоумышленники смогли получить партнерский статус, хоть и ненадолго.
Под прикрытием Microsoft
Корпорация Microsoft объявила об отключении нескольких аккаунтов в партнерской сети Microsoft Partner Network. Они были частью продвинутой фишинговой кампании, нацеленной главным образом на корпоративных пользователей в Великобритании и Ирландии. Но Microsoft также можно отнести к жертвам: партнерский статус этим аккаунтам был присвоен вследствие обмана.
Аккаунты использовались злоумышленниками для распространения вредоносных приложений, использующих протокол авторизации Oauth. С помощью этих приложений затем компрометировались чужие облачные ресурсы и почтовые аккаунты.
Спойлер:
Злоумышленники использовали социальную инженерию, чтобы выманить у жертв авторизацию этих приложений в своей облачной инфраструктуре.
Компания Proofpoint выпустила отчет, в котором указывалось, что злоумышленники использовали статус «проверенного издателя» приложений для проникновения в облачные среды целевых организаций.
Хакеры выдавали себя за представителей популярных брендов, таких как Zoom например. И им удалось обмануть не только целевые организации, но и Microsoft.
«Злоумышленники использовали мошеннические партнерские аккаунты, чтобы получить отметку проверенного издателя для OAuth-приложений, созданных в Azure AD», — говорится в сообщении компании.
Разрешите, пожалуйста...
Мошеннические приложения запрашивали множество разрешений, в том числе на такие действия как доступ на чтение электронной почты, изменение настроек почтовых ящиков, доступ к файлам и другим данным, связанным с аккаунтом жертвы.
Конечными жертвами атак оказывались представители финансовых и маркетинговых департаментов целевых компаний, а также менеджеры и директора.
Первые атаки были отмечены в начале декабря 2022 г., когда злоумышленники с помощью поддельных облачных приложений, якобы выпущенных Zoom, произвели вывод конфиденциальных данных.
Были замечены три вредоносных облачных приложения, которые исходили якобы от трех разных издателей. Но все они были нацелены на одни и те же компании и использовали одну и ту же инфраструктуру.
20 декабря 2022 г. компания Proofpoint уведомила Microsoft о происходящем, и 27 декабря все мошеннические аккаунты были заблокированы. В Microsoft отметили, что приняли дополнительные меры безопасности, чтобы подобные инциденты впредь не повторялись.
«Произошедшее свидетельствует о том, что работали профессионалы высшей пробы, и что против социальной инженерии не всегда могут устоять даже крупные технологические компании, — говорит Никита Павлов, эксперт по информационной безопасности компании SEQ. — Ситуации, когда сертификаты безопасности, например, оказывались в руках злоумышленников и использовались в кибератаках, в прошлом происходили не раз, но так, чтобы обманом выманить привилегированный статус партнера Microsoft, — это нечастое явление».
Через поисковую рекламу в Google ведётся массированная вирусная атака — компания пообещала разобраться 04.02.2023 [14:56]
Поиск дистрибутивов популярных программ через Google всегда был сопряжён с некоторым риском, но в последние дни киберпреступники значительно активизировались — ссылки на ресурсы с вредоносными загрузками показываются в рекламном блоке над органической поисковой выдачей. Сама же Google видимых действий не предпринимает, пишет Ars Techinca со ссылкой на информацию от организации Spamhaus.
По ссылкам в рекламе открываются сайты, с которых скачиваются поддельные установочные файлы таких известных программ как Adobe Reader, GIMP, Microsoft Teams, OBS, Slack, Tor, MSI Afterburner и Thunderbird. В реальности компьютеры заражаются вирусами семейств AuroraStealer, IcedID, Meta* Stealer, RedLine Stealer, Vidar, Formbook и Xloader. Ранее эти вредоносы распространялись через фишинговые кампании и спам, но за последний месяц киберпреступники облюбовали рекламную платформу Google Ads, демонстрирующую объявления в поисковой выдаче.
Вредоносы используют сложные механизмы виртуализации, что усложняет их обнаружение, и отправляют по нескольку HTTP-запросов на разные адреса, только один из которых принадлежит настоящему управляющему серверу — серверы же размещаются у общедоступных облачных провайдеров, включая Azure, Tucows, Choopa и Namecheap.
Представитель Google заявил, что киберпреступники часто используют сложных механизмы маскировки вредоносной активности, и компания за последние годы «запустила новые политики сертификации», направленные на проверку рекламодателей. О всплеске мошеннических действий в последние дни компания осведомлена — борьба с ними у неё в приоритете.
В трояне-шифровальщике для ОС Linux есть дыра, позволяющая жертвам вернуть свои файлы, не заплатив ни копейки
Специалисты по информационной безопасности изучили недавно обнаруженный Linux-вариант вируса-шифровальщика известной группировки кибервымогателей Clop. Как выяснилось, он имеет массу недостатков, которых лишена его более зрелая версия для Windows-систем. Эти недостатки позволили экспертам очень быстро подготовить простой и универсальный инструмент для восстановления зашифрованных в результате атаки файлов. Он доступен уже в течение нескольких месяцев и дает возможность пострадавшим от действий злоумышленников ничего не платить Clop.
Уязвимый шифровальщик
Специалисты в области информационной безопасности из компании SentinelLabs выявили ряд изъянов Linux-версии вируса-шифровальщика известной вымогательской группировки Clop. Они позволяют жертвам вредоноса сравнительно легко восстановить собственные файлы, не заплатив злоумышленникам ни копейки. Инструменты, обеспечивающие расшифровку данных, «обработанных» вредоносным ПО Clop доступны в течение нескольких последних месяцев. Об этом сообщило издание Bleeping Computer.
Спойлер:
Вариант шифровальщика Clop, нацеленного на серверы под управлением операционных систем семейства Linux, впервые был обнаружен в декабре 2022 г. специалистом SentinelLabs Антонисом Терефосом (Antonis Terefos). Первой известной целью Linux-версии вируса стала инфраструктура одного из университетов Колумбии. В атаке на нее также применялся и Windows-вариант вредоносной программы.
Как отмечает Bleeping Computer, Windows- и Linux-версии шифровальщика Clop во многом схожи: обе используют идентичный метод шифрования и в них заложена практически одинаковая логика действий. Тем не менее между ними есть и несколько существенных отличий, в основном обусловленных разницей в API операционных систем. Версия для Linux пока отстает от своего Windows-собрата по имеющейся функциональности.
Шифровальщик группировки Clop для Linux оказался полным недостатков Рассчитанное на целевые системы под управлением Linux вымогательское ПО Clop находится на раннем этапе разработки, и ему, с точки зрения злоумышленника, недостает качественной обфускации (запутывания кода) и надежных механизмов защиты от обнаружения. Кроме того, вредонос просто кишит уязвимостями, использование которых дает жертвам атак с его участием вернуть себе доступ к ранее утраченным файлам без выплаты выкупа, отмечает издание.
Цель – серверы баз данных Oracle
Исполняемый файл (ELF) шифровальщика Clop для Linux при запуске порождает новый процесс, который пытается добиться повышения собственных привилегий в системе до уровня, позволяющего осуществить шифрование данных.
Файлы и директории, входящие в сферу интересов вредоноса, могут располагаться в домашнем каталоге рядовых пользователей (“/home”), суперпользователя (“/root”), каталоге “/opt”, предназначенном для размещения дополнительного ПО, каталогах Oracle (“/u01”-“/u04”), в которых хранятся файлы баз данных Oracle или использующиеся в качестве точек монтирования для ПО Oracle.
Нацеленность именно на БД Oracle является нетипичной для вирусов-шифровальщиков под Linux – они, как правило, стремятся установить контроль над файлами виртуальных машин VMware под управлением гипервизора ESXi.
В Linux-версии, в отличие от Windows-варианта, также не реализован алгоритм хэширования, который позволяет вередоносу отсеивать определенные типы файлов и не тратить ресурсы на их шифрование. Отсутствует в нем и механизм, позволяющий по-разному обрабатывать файлы различного размера. Кроме того, программе недостает поддержки приема аргументов командной строки, которая могла бы обеспечить злоумышленнику более гибкое управление процессом шифрования данных.
Недостатки функциональности шифрования
В своем нынешнем виде Linux-вариант программы-вымогателя группировки Clop не шифрует ключи RC4 (Rivest cipher 4; поточный шифр) в то время, как в его более зрелой версии для Windows соответствующая мера предусмотрена – используется ассиметричный RSA-подобный алгоритм.
Вместо этого Linux-версией используется единственный заданный в коде «мастер-ключ» RC4, применяемый при генерации ключа шифрования для обработки данных жертвы и его же хранения в локальном файле в опять же зашифрованном «мастер-ключом» виде. Кроме того, вариант вредоноса Clop для проведения атак на Linux-системы не осуществляет валидацию ключа RC4 – в отличие от ситуации с Windows-версией.
Как поясняют эксперты по ИБ, при использовании подобной схемы необходимые криптографические ключи возможно извлечь, а ранее зашифрованные данные – откатить к исходному состоянию. SentinelLabs для этих целей предлагает собственноручно разработанный скрипт на языке Python (содержит всего 146 строк кода), который можно загрузить на хостинге проектов GitHub.
Ко всему прочему специалисты SentinelLabs обратили внимание на тот факт, что Linux-воплощение вируса при записи зашифрованного ключа в файл также добавляет туда некоторое количество дополнительной информации, такой как, к примеру, размер соответствующего файла и время шифрования. Сведения такого рода разработчикам следовало бы держать в тайне, поскольку они позволяют осуществить выборочное восстановление конкретных особо ценных файлов, отмечает Bleeping Computer.
Придется доработать
Вирус-вымогатель Clop для Linux вряд ли получит широкое распространение в текущем его виде, считают эксперты. Легкая доступность скрипта для дешифрования вынудит его авторов поработать над улучшением своего творения.
В разговоре с Bleeping Computer представитель SentinelLabs заявил, что компания передала разработанный ей инструмент для восстановления данных, правоохранительным органам, которые, в свою очередь, смогут оказать помощь пострадавшим от нового вредоноса Clop организациям.
Лучше плохой инструмент, чем его полное отсутствие
Применение Linux-варианта в атаках группировки Clop, несмотря на все его недостатки, по мнению специалистов по ИБ, свидетельствует о том, что злоумышленникам важно иметь хоть какой-то инструмент для воздействия на сегменты инфраструктуры под управлением ОС семейства Linux, чем не иметь его вовсе.
По данным Positive Technologies, число хакерских атак на Linux-системы в III квартале 2022 г. в мире увеличилось более чем в два раза по сравнению со II кварталом того же года. Доля инцидентов с участием Linux выросла с 12% до 30%.
Согласно аналитическому отчету «Лаборатории Касперского», только в заключительном квартале 2022 г. от целевых атак шифровальщиков пострадало не менее 730 организаций по всему миру. В числе наиболее активных группировок, принявших участие в атаках, – Clop.
Никому ни слова: LastPass готов рассказать подробности о взломе, но только при подписании клиентом соглашения о неразглашении 11.02.2023 [11:46]
Сервис для хранения паролей LastPass выразил готовность предоставить пользователям дополнительную информацию о взломе, происшедшем в прошлом году, но только при личной встрече и при условии, что те заранее подпишут соглашение о неразглашении, сообщил ресурс FTM со ссылкой на электронное письмо, отправленное LastPass голландскому ИТ-менеджеру.
LastPass уверяет пользователей в том, что ничего опасного для их конфиденциальности не произошло, но при этом крайне неохотно делится информацией о взломе, происшедшем в августе прошлого года. Гендиректор LastPass Карим Тубба (Karim Toubba) лишь спустя пару недель после инцидента сообщил о взломе, заверив пользователей, что злоумышленники похитили закрытую техническую информацию, не имеющую отношения к их данным. По его словам, клиентам LastPass не нужно было беспокоиться или предпринимать какие-либо действия.
Спойлер:
В середине сентября компания сообщила о результатах внутреннего расследования, согласно которому хакер имел доступ к её системе в течение четырёх дней, но ничего важного не похитил. В конце ноября компания отметила, что кибератака всё-таки была довольно серьёзной, так как хакеру удалось получить доступ к «определённым элементам клиентской информации». При этом LastPass по-прежнему утверждала, что причин для беспокойства нет.
Но в декабре сервис LastPass, наконец, признал, что хакер похитил данные хранилища паролей, скопировав названия компаний, имена пользователей, платёжные адреса, адреса электронной почты, номера телефонов и записи IP-адресов. Как выясняется, хакер украл файлы, которые содержали пароли 30 млн пользователей и 85 тыс. компаний.
При этом LastPass продолжал настаивать на том, что особых причин для беспокойства у пользователей нет — если у них был хороший мастер-пароль, их пароли в безопасности. По словам сервиса, на взлом 12-символьного пароля потребуются миллионы лет при использовании «общедоступной технологии».
Белый хакер Рики Геверс (Ricky Gevers) был возмущён тем, как LastPass извещал пользователей об этом взломе. «Он как бы говорит: все в безопасности, не волнуйтесь, — сказал Геверс ресурсу FTM. — Это то, во что я верил, как и многие другие люди». На деле всё не совсем так — хакер, взломав мастер-пароль, получит доступ ко всем данным, которые вы сохранили с помощью менеджера паролей.
К тому же, как выяснил FTM, личное хранилище паролей пользователей представляло собой не папку с зашифрованным доступом, а текстовый документ с несколькими зашифрованными полями. FTM также отметил, что, утверждая, что пароли в безопасности при условии применения пользователем хорошего мастер-пароля, LastPass перекладывает на клиента сервиса ответственность за сохранность данных. То есть, если хакер завладел вашими паролями, виноваты вы, так как у вас должен был быть более надёжный мастер-пароль.
Reddit взломали и похитили некоторые данные сотрудников и исходные коды
Компания Reddit, которой принадлежит одноименная социальная платформа, подверглась в минувшее воскресенье хакерской атаке, позволившей злоумышленникам получить доступ к внутренним бизнес-системам, а также документам и исходному коду.
Как сообщается на сайте Reddit, системы платформы были взломаны в результате «изощрённой и целенаправленной фишинговой атаки». Хакеры создали веб-сайт, который якобы являлся порталом внутренней сети Reddit для персонала компании, с целью украсть учётные данные сотрудников и токены двухфакторной аутентификации.
«После успешного получения учётных данных одного сотрудника злоумышленник получил доступ к некоторым внутренним документам, коду, а также к некоторым внутренним информационным панелям и бизнес-системам», — пояснила Reddit, добавив, что не было обнаружено признаков взлома основных производственных систем (частей стека, которые запускают Reddit и хранят большую часть данных).
Reddit сообщила, что пострадавший сотрудник сам сообщил об инциденте в службу безопасности компании. Проведённое расследование показало, что хакерам удалось похитить ограниченную информацию о контактах компании, а также о нынешних и бывших сотрудниках (порядка 100 аккаунтов). Кроме того, злоумышленники получили доступ к некоторым сведениям о рекламодателях компании.
Компания отметила, что информация о кредитных картах и паролях пользователей не пострадала. Тем не менее участникам форума рекомендуется запустить двухфакторную аутентификацию, обеспечивающую дополнительный уровень безопасности при доступе к аккаунту Reddit.
Количество фишинговых атак на пользователей Telegram выросло в 37 раз 16.02.2023 [18:33]
Программные продукты «Лаборатории Касперского» в январе этого года заблокировали 151 тыс. попыток перехода на фишинговые ресурсы, имитирующие Telegram, что в десятки раз превышает аналогичный показатель годом ранее. Соответствующее сообщение опубликовано на официальном сайте компании.
«Это в 37 раз больше, чем за аналогичный период прошлого года, и составляет почти половину от общего числа таких попыток за весь 2022 год по России. Всплеск количества подобных фишинговых атак начался в ноябре прошлого года», — говорится в сообщении «Лаборатории Касперского».
Согласно имеющимся данным, основная цель создателей фишинговых ресурсов заключается в выманивании учётных данных: телефонного номера и кода подтверждения. После получения доступа к Telegram-аккаунтам жертв злоумышленники могут использовать их для разных целей, в том числе для кражи данных, шантажа и рассылки мошеннических сообщений.
Отмечается, что злоумышленники активно используют тактики социальной инженерии. Одна из наиболее распространённых схем связана с предложением принять участие в голосовании, например, за лучший детский рисунок. В некоторых случаях злоумышленники предлагают жертвам бесплатно протестировать премиум-подписку Telegram. В любом из случаев жертв побуждают перейти по ссылке, после чего они попадают на ресурс, где нужно ввести свои данные. После этого злоумышленники получают доступ к Telegram-аккаунту атакуемого.
В Windows нашли чрезвычайно скрытный бэкдор, который позволяет следить за всем трафиком 17.02.2023 [12:58]
Исследователи в области кибербезопасности обнаружили необычную вредоносную программу, которая производит на компьютерах под Windows извлечение данных и позволяет исполнять произвольный код. Программа внедряется в Microsoft Internet Information Services (IIS) и создаёт бэкдор, через который можно перехватывать трафик, рассказали в Symantec.
IIS — это веб-сервер общего назначения на компьютерах Windows. Он принимает от удалённых клиентов запросы и возвращает ответы. По данным Netcraft, на июль 2021 года в 13,5 млн уникальных доменов работали 51,6 млн инстансов IIS. У сервера есть функция под названием Failed Request Event Buffering (FREB) — она используется для диагностики ошибок и собирает данные о веб-запросах от удалённых клиентов: их IP-адреса, порты, HTTP-заголовки и файлы cookie. При отладке администратор извлекает запросы, соответствующие определенным критериям, из буфера и записывает их на диск. Это помогает, например, разбираться с причинами ошибок 401 (Unauthorized) и 404 (Not Found), а также повисших или прерванных запросов.
Спойлер:
Неизвестные злоумышленники придумали, как эксплуатировать функцию FREB для отправки и выполнения вредоносного кода в защищённой области скомпрометированной сети, а также извлечения данных — механизм сочетается с легитимными запросами и обеспечивает выход на новый уровень проникновения в сеть. Эксплуатирующему этот метод ПО присвоили название Frebniis — он включает на машине FREB, перехватывает выполнение функции, внедряет в память процесса IIS вредоносный код и производит его запуск. В итоге программа контролирует все HTTP-запросы сервера. В системе не создаётся никаких файлов, а в памяти не заводится подозрительных процессов, так что Frebniis по-своему уникален.
Frebniis отслеживает все HTTP-запросы с методом POST при обращении к файлам logon.aspx или default.aspx и позволяет злоумышленникам дополнять их новыми параметрами, например, значением пароля. Когда доступ получен, Frebniis расшифровывает и выполняет код .NET, управляющий всеми функциями бэкдора — при этом никакие файлы на диск не сохраняются. Этот код, во-первых, запускает прокси, позволяющий использовать скомпрометированный сервер IIS для взаимодействия или связи с внутренними ресурсами, недоступными из интернета напрямую.
Во-вторых, он обеспечивает выполнение на IIS произвольного кода: отправляя запрос с кодом на C# к файлам logon.aspx или default.aspx, Frebniis автоматически расшифровывает код и исполняет прямо в оперативной памяти, где обнаружить его чрезвычайно трудно. Пока неясно, насколько Frebniis распространён в настоящее время, но в Symantec опубликовали два хеша файлов, связанных с бэкдором.
Атака хакеров-вымогателей на поставщика обойдётся Applied Materials в $250 млн 20.02.2023 [16:49]
Известный производитель оборудования и программного обеспечения для выпуска чипов Applied Materials в ходе недавнего финансового отчёта заявил, что атака хакеров-вымогателей на одного из его поставщиков дорого обойдётся бизнесу. Applied Materials это будет стоить в следующем квартале $250 млн упущенной выручки.
Производитель предпочёл не сообщать, о каком именно поставщике идёт речь, но некоторые отраслевые эксперты считают, что речь идёт о компании MKS Instruments, поставляющей инструменты и технологии, которая в понедельник внезапно объявила, что должна перенести собственный доклад о доходах в IV квартале именно из-за атаки вымогателей, информация о которой появилась 3 февраля.
Спойлер:
По данным представителя Applied Materials, сбои в работе одного из поставщиков повлияют на поставки во втором квартале. По прогнозу, за второй квартал фискального 2023 года выручка составит порядка $6,40 млрд, с учётом влияния недавнего киберинцидента у одного из поставщиков, негативный эффект от которого составит $250 млн. На прямой вопрос о том, идёт ли речь об MKS Instruments, представитель бизнеса не ответил. В самой MKS заявляют, что находятся в «стадии восстановления» после атаки.
Сообщается, что атака повлияла на способность компании обрабатывать заказы в первом квартале, поставлять продукты и обеспечивать сервисное обслуживание в подразделениях Vacuum Solutions и Photonics Solutions. В MKS добавили, что пока неизвестно, когда последствия инцидента будут устранены полностью. Дополнительно бизнес оценивает, насколько страховка покроет расходы, связанные с атакой. Известно, что теперь отчёт перенесён на 28 февраля. Ни одна из групп кибервымогателей не взяла на себя публичной ответственности за атаку.
Важно, что атака на MKS подтверждает худшие страхи экспертов по кибербезопасности, связанные с тем, что вместо крупной, хорошо защищённой компании злоумышленники могут напасть на более мелкую, при этом нанеся весьма ощутимый урон всей производственной цепочке. Полупроводниковая отрасль является одним из самых сложных и важных сегментов в глобальной экономике, в то же время очень уязвимым.
По мнению экспертов, перебои на полупроводниковом рынке могут иметь долговременные последствия и влиять буквально на всё, от производства автомобилей до цен на еду. Поэтому такие атаки заслуживают намного больше внимания, чем оказывается сегодня.
Хакер Empress всё-таки взломала Hogwarts Legacy — пиратская версия уже на просторах интернета 23.02.2023 [11:06]
Хакер под псевдонимом Empress, недавно назвавшая себя «полностью русской», объявила о выпуске программы взлома ПК-версии фэнтезийного ролевого экшена с открытым миром Hogwarts Legacy от Warner Bros. Games и Avalanche Software.
О намерении взломать Hogwarts Legacy хакер объявила в начале февраля. Опубликовать пиратскую версию Empress грозилась в течение десяти дней с релиза, однако новейшая защита Denuvo (v17) продержалась почти две недели.
В преддверии стабильного релиза 23 февраля Empress провела несколько раундов «беты» взломанной Hogwarts Legacy, в рамках которых исправила ряд ошибок и разблокировала бонусный контент.
Ссылки на файлы мы публиковать не будем, но взломанную версию Hogwarts Legacy от Empress уже можно без особых проблем найти на популярных пиратских ресурсах. Их участники от нового релиза в восторге.
Hogwarts Legacy дебютировала 7 февраля на PC (Steam, EGS), PS5, Xbox Series X и S для владельцев расширенного издания, а 10 февраля стала доступна остальным покупателям. На Metacritic у игры от 83 до 90 %.