Служба безопасности Украины совместно с партнерами из США и Великобритании ликвидировала крупный хакерский сервис, предоставляющий платные услуги для кибератак и взлома систем различных учреждений. За время своего существования организаторы сервиса заработали порядка миллиона долларов.
Создателями сервиса оказались граждане Украины, скрывающиеся под различными никнеймами в сети Darknet. В ходе операции были изъяты персональные компьютеры и мобильные телефоны, с помощью которых осуществлялось администрирование сервиса.
Через свою платформу злоумышленники позволяли напрямую подгружать вирусы, шпионское ПО и различные вредоносные программы для взлома систем государственных и коммерческих учреждений, пишут РИА Новости.
В ходе расследования было возбуждено уголовное дело по статьям "несанкционированное вмешательство в работу электронно-вычислительных машин (компьютеров)", "создание с целью использования, распространения или сбыта вредоносных программных" и "легализация доходов, полученных преступным путем".
Согласно данным исследования, проведенного разработчиком антивирусного ПО ESET, каждый пятый россиянин хотел бы стать хакером. При этом отмечается, что больше всего такая работа интересует молодежь до 24 лет, а также скорее мужчин (23%), чем женщин (16%).
Российские спутниковые трансляции продолжают атаковать хакеры 07.07.2023 15:14
Операторы российских спутниковых платформ DTH и DTC до сих пор переживают не лучшие времена – их трансляции подвергаются атакам хакеров, которые нарушают их вещание. Проблемы с помехами спутниковому сигналу у российских платформ возникают с 13 июня 2023 года. И проблема до сих пор не решена.
На первом этапе глушение спутникового сигнала было сосредоточено в основном на основных российских федеральных каналах, сейчас атаки осуществляются на передачи более-менее всех транспондеров операторов.
Срывами спутникового сигнала занимаются операторы платформ платного телевидения Телекарта (Экспресс 80, 80°В), МТС ТВ ( АБС 2А , 74,7°В ), Триколор ТВ и НТВ Плюс ( Евтелсат 36Б и Экспресс АМУ-1). , 36° в.д. ), а также распределительную платформу СТВ (Sputnik Television) на спутнике ABS 2A.
Операторы платформы DTH переводят ключевые федеральные каналы на другие частоты, где помех (пока) не возникает. Но это краткосрочное решение, ведь как только основные программы появятся на другой частоте, хакеры начнут атаковать и новые параметры вещания.
Операторы сетей платного телевидения рекомендуют абонентам перенастроить программы на новые параметры, где вещание (еще) не прерывается, или, возможно, отслеживать свое предложение программ через онлайн-приложение, где вещание все еще идет без перерывов.
В связи с общей озабоченностью распространением телевизионных программ на эфирные передатчики (DVB-T2) в России было принято нестандартное решение. Распределительный спутниковый сигнал для наземных передатчиков вновь обеспечивает военный спутник «Благовест-1» (Космос 2520), который находится в позиции 45° в. д . и работает только в диапазоне С.
Интересен тот факт, что помех ТВ-сигналу в российских мультиплексах Т2-МИ в С-диапазоне и, видимо, даже в Ku-диапазоне нет. Российские DTH-платформы Триколор ТВ Сибирь, НТВ Плюс Восток, а также новый DTH-сервис Русский мир, предназначенный для аннексированных Россией территорий Украины, продолжают вещание без перерывов.
Китайские хакеры взломали почтовые ящики госучреждений США через уязвимость облачной службы Microsoft
Китайские хакеры использовали уязвимость облачной службы Microsoft для целенаправленного взлома несекретных почтовых ящиков, принадлежащих госструктурам США. По данным The Washington Post, проблема была обнаружена в прошлом месяце, и она не затрагивает какие-либо секретные правительственные системы.
«Официальные лица немедленно связались с Microsoft, чтобы найти источник и уязвимость в их облачном сервисе. Мы продолжим предъявлять к поставщикам услуг для правительства США высокие требования по безопасности», — прокомментировал данный вопрос пресс-секретарь Совета национальной безопасности США Адам Ходжес (Adam Hodges).
Спойлер:
По данным источника, расследованием этого инцидента занимается ФБР. Вероятнее всего, в рамках атаки было взломано небольшое количество почтовых ящиков, хотя точные значения не озвучиваются. Также сказано, что почтовые ящики, принадлежащие сотрудникам Пентагона, представителям разведывательных ведомств и военным, не были взломаны.
В сообщении Microsoft касательно этого инцидента сказано, что компания сумела ограничить нежелательные последствия кибератаки, преимущественно направленной против правительственных учреждений и ориентированной на шпионаж и кражу данных. Microsoft провела собственное расследование инцидента, в ходе которого было установлено, что атаку организовали китайские хакеры из группировки Storm-0558. По данным IT-гиганта, злоумышленникам удалось получить доступ к почтовым ящикам около 25 организаций, включая государственные учреждения. В сообщении Microsoft отмечается, что ликвидация нежелательных последствий для всех затронутых атакой пользователей уже завершена.
65 % паролей россиян можно взломать за минуту, показало исследование 14.07.2023 [12:19]
Согласно исследованию компании RTM Group, специализирующейся на обеспечении информационной безопасности, большинство россиян оказались совершенно беззащитны перед взломщиками паролей. Как сообщает «Газета.Ru» со ссылкой на результаты исследовательской работы, 65 % паролей жителей России взламываются машинным перебором за минуту.
Было проанализировано 50 млн пар логин-пароль, попавших в Сеть или проданных в даркнете с января 2022 года по май 2023 года. Оценивались пароли, используемые представителями малого бизнеса, средних и крупных компаний, а также обычных пользователей.
Наиболее беспечными признаны физические лица, обычно применяющие простые пароли для защиты своих аккаунтов. Приблизительно в половине случаев слабые пароли используют представители малого бизнеса. Вторая половина из них использует пароли из 8 символов с включением строчных и заглавных букв, взлом которых для современных систем автоматического подбора тоже не составляет особого труда — на это у систем, готовых проверять до 300 млрд комбинаций в секунду, уходят считаные минуты.
Эксперты отметили, что в крупных организациях уделяют информационной безопасности значительно больше внимания. Надёжнее всего пароли у представителей крупного бизнеса, которые не ленятся составлять сложные комбинации паролей. Не в последнюю очередь этому способствует наличие жёстких корпоративных политик безопасности.
В RTM Group отметили, что если буквально несколько лет назад сильным можно было считать пароль из восьми знаков из цифр и букв разного регистра, то сейчас надёжной можно назвать комбинацию из 16 знаков, включающую спецсимволы. Утверждается, что на взлом такого пароля видеокартам актуального поколения понадобится порядка 50 млрд лет.
Впрочем, глобальная статистика ещё хуже. В мая появились данные, что 83 % самых популярных паролей можно взломать за 1 секунду.
Спортивный хакинг вышел в космос — RuVDS и Positive Technologies запустили соревнования по взлому спутника 18.07.2023 [18:04]
Российский хостинг-провайдер RuVDS и компания Positive Technologies сообщили о запуске состязания по спортивному хакингу в формате CTF (Capture the Flag). Особенность мероприятия заключается в том, что участникам предстоит взломать спутник-сервер, который начал работу на орбите Земли в текущем месяце.
Пусковой контейнер со спутником RuVDS был доставлен в космос ракетой-носителем «Союз-2.1б» 27 июня. Подготовкой миссии занималась компания «Стратонавтика», которая разработала «материнский» спутник — «СтратоСат ТК-1». Космический аппарат позволит исследователям изучить работу оборудования, в условиях невесомости, высокой радиации и экстремальных температур.
Спойлер:
Анонсированные хакерские CTF-состязания включают в себя семь заданий, для выполнения которых участникам потребуется продемонстрировать знание различных аспектов информационной безопасности. Кроме того, энтузиастам предстоит взломать ИИ-систему на основе языковой модели ChatGPT.
Участникам будут предложены задачи, разработанные специально для CTF-мероприятия, которое проходило на Positive Hack Days в мае 2023 года. Отмечается, что задания разрабатывались таким образом, чтобы объединить интересы самой разной аудитории — от радиолюбителей до опытных хакеров.
Новое состязание стартовало сегодня — оно продлится приблизительно 90 часов. Для участия в хакатоне не требуется регистрация, но сам он начнется неожиданно. Победитель получит денежное вознаграждение от RuVDS, а наиболее отличившиеся участники соревнований — подарки от Positive Technologies.
У взлома Microsoft Azure китайскими хакерами будут серьёзные последствия, считают исследователи Wiz 23.07.2023 [15:48]
Обнародованные на прошлой неделе данные о взломе китайскими хакерами ряда учётных записей электронной почты правительства США, указывают на то, что проблема намного серьёзнее, чем предполагалось изначально, говорится в исследовании американского стартапа по облачной безопасности Wiz Inc., о котором сообщил ресурс SiliconANGLE.
Спойлер:
Как утверждают исследователи, последствия взлома могут оказаться столь же разрушительными и далеко идущими, как атаки в цепочке поставок SolarWinds. Ранее Microsoft сообщила, что атаку произвели китайские хакеры из группировки Storm-0558, а также рассказала о действиях злоумышленников в своей облачной сети и сервисах Azure, в частности о том, что при атаке использовались скомпрометированные ключи шифрования для онлайн-служб электронной почты Microsoft Exchange.
Однако, по мнению экспертов, Microsoft предоставила неполную информацию. «Злоумышленник смог получить новые токены доступа, воспользовавшись ранее выпущенными из-за ошибок в архитектуре», — говорится в отчёте Wiz. Как сообщается, эти недоработки уже были устранены. Токены использовались для доступа к электронной почте служб Outlook Web Access и Outlook.com. Однако позднее выяснилось, что ими можно было воспользоваться для получения доступа к различным службам, использующим Azure Active Directory (AAD) для аутентификации.
Wiz посоветовал клиентам определить все потенциально уязвимые приложения с помощью поиска поддельных ключей, обновить всех экземпляры Azure SDK и убедиться, что они не используют кешированную версию каких-либо сертификатов Microsoft OpenID. Microsoft заявила, что утверждения Wiz не подтверждаются никакими доказательствами. Тем не менее, Wiz считает, что взлом серьёзно подорвал доверие к Microsoft миллионов пользователей, которые использовали службы аутентификации Microsoft и сервис Microsoft OpenID для входа в свои учётные записи.
Чаще всех DDoS-атакам в России во II квартале подвергались телеком и транспорт 24.07.2023 [19:09]
Компания «ТрансТелеКом» (ТТК) подготовила аналитику об угрозах пользователям, выявленных с помощью фирменного сервиса «Защита от DDoS-атак» за II квартал 2023 года, сообщает пресс-служба компании. Так, количество DDoS-атак в прошлом квартале выросло в 1,5 раза в сравнении с I кварталом 2023 года.
Спойлер:
Основной удар приняли на себя транспортная и телекоммуникационная сферы. На транспортную IT-инфраструктуру число атак выросло квартал к кварталу в 4,5 раза, а атак на телекоммуникационные бизнесы и вовсе стало в 5 раз больше. По итогам I полугодия 2023-го наиболее атакуемыми стали телеком и ИТ-отрасль. Отдельное внимание злоумышленники уделили сфере образования.
По данным ТТК, самая продолжительная из зарегистрированных атак за указанный квартал длилась 2,5 дня. Её мощность достигала 60 Гбит/с, тогда как 34 % атак имели мощность более 1 Гбит/с. 38 % атак в отчётном квартале пришлось на активность типа SYN flood (год к году их число выросло в 2 раза), в 3 раза выросло число атак ACK flood за тот же период.
При этом по итогам полугодия количество DDoS-атак до 500 Мбит/с выросло год к году в 2 раза, а атак со мощностью 1–5 Гбит/с — в 3,5 раза. По итогам квартала число атак на сайты выросло в 3,5 раза до 26 % от всех атак согласно полному тексту доклада.
Впервые цепочки поставок ПО были атакованы с использованием открытого кода
Цепочки поставок ПО стали регулярным объектом атак хакеров. В самом этом явлении ничего нового нет, но впервые выявлены случаи использования открытого кода в таком контексте.
Кибератака с открытым кодом
Эксперты компании Checkmarx выявили серию атак на цепочки поставок программного обеспечения, направленных против банковского сектора. В некоторых случаях для совершения таких атак применялось открытое ПО. Подобное наблюдалось впервые.
Под цепочками поставок ПО принято понимать совокупность компонентов, библиотек, инструментов и техпроцессов, используемых для разработки, сборки и публикации программных продуктов.
Спойлер:
По данным экспертов, злоумышленники использовали весьма продвинутые методы. В частности, они специально работали по конкретным компонентам веб-активов, добавляя к ним вредоносную функциональность. Для этого использовались специализированные пакеты NPM (Node Package Manager, это диспетчер пакетов для среды выполнения JavaScript Node.js). Злоумышленники также формировали специализированные командные серверы под каждый объект атаки и с их помощью эксплуатировали легитимные сервисы для незаконных действий.
Вредоносные компоненты NPM к настоящему времени удалены, их названия не раскрываются.
В ходе первой отмеченной атаки автор вредоноса загрузил в реестр NPM два вредоносных компонента, представляясь сотрудником целевого банка. Модули содержали скрипт предустановки, активировавший последовательность инфекции. Чтобы дополнительно замаскировать атаку, ее оператор создал весьма убедительный профиль в соцсети LinkedIn.
После запуска скрипт определяет операционную систему жертвы и скачивает соответствующий компонент вредоноса второй стадии с удаленного сервера. Тот обозначен субдоменом в облаке Azure с названием атакованного банка.
В Checkmarx отметили, что это крайне умная тактика, поскольку она позволяет обходить традиционные методы блокировки доступа с сомнительных доменов: Azure в большей части случаев рассматривается как доверенный ресурс.
Вредоносом второй стадии оказывается Havoc, опенсорсный фреймворк для удаленного управления, который используется как средство вторжения и создания контрольного сервера. Опять же, это позволяет обойти традиционные механизмы обнаружения угроз, которые реагируют на использование более популярных у хакеров средств — Cobalt Strike, Sliver и Brute Ratel.
В феврале 2023 г. отмечена еще одна атака со стороны уже других злоумышленников, в ходе которой в репозиторий NPM был загружен пакет, «тщательно подготовленный для скрытного внедрения в веб-сайт целевого банка; он должен был оставаться в спящем состоянии до сигнала со стороны атакующих», — указывается в публикации Checkmarx.
Говоря конкретнее, этот компонент должен был перехватывать логины и выводить информацию в инфраструктуру злоумышленников.
«Безопасность цепочек поставок вращается вокруг защиты всего процесса разработки ПО и распространения, с начальных стадий и до внедрения в системы конечного пользователя, — указывается в материале Checkmarx. — Как только вредоносный опенсорсный пакет интегрируется в цепочку процессов, это уже состоявшийся взлом, против которого любые последующие контрмеры оказываются неэффективными. Иными словами, ущерб уже нанесен».
Передаем вредоносы по цепочке
Атаки на цепочки поставок корпоративного ПО набирают популярность, причем это не зависит от того, используется ли опенсорсное ПО или нет.
Атаки на цепочки поставок, в частности, практикует русскоязычная хакерская группировка RedCurl, деятельность которой отслеживает компания F.A.C.C.T. RedCurl в основном используют собственный инструментарий, нередко обновляя его.
В ноябре 2022 г. эта группировка взломала неназванный российский банк, а в мае 2023 г. — австралийский. В обоих случаях речь шла о краже корпоративных секретов и информации о работниках.
По данным F.A.C.C.T., за последние четыре с половиной года злоумышленники совершили как минимум 34 атаки на организации в России, Великобритании, Германии, Канады, Норвегии, Украины и Австралии, причем 20 из них были нацелены как раз на российские организации.
Жертвами стали не только банки, но и строительные, консалтинговые, страховые, юридические организации, финансовые учреждения и банки.
«Любопытно, что в данном случае злоумышленников интересуют не деньги (что более всего ожидаемо в случае атак на банки), а информация. F.A.C.C.T. прямо указывает, что деятельность этой группировки сводится к корпоративному шпионажу и краже документов, — говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Русскоязычные кибергруппировки, как правило, воздерживаются от атак на российские организации, но не в данном случае. Все указывает, что это кибернаемники, работающие на тех, кто больше заплатит».
В Ubuntu найдены две крупные уязвимости для взлома ПК
Исследователи в области IT-безопасности обнаружили две крупные «дыры» в Ubuntu. Они позволяют злоумышленнику получить доступ к содержимому чужого ПК, и затрагивают до 40% установок разных версий популярного дистрибутива. Заодно стало известно, как пользователи могут исправить уязвимость.
Спойлер:
По данным источника, причиной возникновения CVE-2023-32629 и CVE-2023-2640 стали изменения, добавленные в модуль OverlayFS (объединённая файловая система, которая накладывает одну ФС поверх другой) ещё в 2018 году. Они позволили реализовать функцию установки и удаления некоторых расширенных атрибутов файлов (trusted.overlayfs.* xattr) без проверки прав доступа.
Поначалу это не представляло проблемы — но в 2022-м в ядро Linux был добавлен патч, конфликтующий с исправлениями, характерными только для дистрибутивов Ubuntu. В результате проверка прав доступа перестала проводиться для гораздо большего количества файлов, и практически любой пользователь получил возможность получения root-прав после некоторых манипуляций с пространствами имён идентификаторов.
Эксперты отмечают, что для эксплуатации уязвимостей злоумышленнику требуется возможность локального выполнения кода в целевой системе, что делает удалённую атаку маловероятной. Тем не менее пользователям Ubuntu 14.04 и более свежих версий дистрибутива рекомендуется в любом случае установить обновление безопасности от 26 июля, чтобы сократить риск взлома своего ПК.
Хакеры выставили на продажу софт для тайного удалённого доступа к Apple Mac за $60 тысяч
Эксперты по кибербезопасности из компании Guardz обнаружили выставленную на продажу программу класса Hidden VNC, позволяющую оператору получать полный доступ к компьютерам под управлением Apple macOS — она предназначается для кражи личной информации и учётных данных. В качестве гарантии работоспособности программы хакеры внесли на теневой площадке залог в $100 тыс.
Спойлер:
Система удалённого доступа VNC (Virtual Network Computer) используется службами техподдержки — она позволяет сотрудникам сервисов контролировать машины пользователей, но пользователи должны предоставить разрешение на работу программы, и они обычно видят, что делает специалист. Есть и скрытая разновидность этой системы HVNC (Hidden VNC), которая предоставляет удалённому оператору те же возможности, но не требует разрешения и не позволяет владельцу машины видеть манипуляций с ней.
Выставленный на теневом ресурсе инструмент продаётся с пожизненной «лицензией» за $60 тыс. Он включает в себя обратный шелл (Reverse Shell) и удалённый файловый менеджер, а протестирован инструмент был на машинах под управлением macOS от 10 до 13.2. В качестве гарантии работоспособности разработчики вредоноса разместили на эскроу-счёте администрации хакерского ресурса депозит в размере $100 тыс.
В качестве меры защиты владельцам компьютеров Apple рекомендовано регулярно обновлять ПО: вредонос работает на машинах под управлением macOS версии до Ventura 13.2, тогда как текущая версия платформы — 13.4.1. Если возможность установить актуальную версию macOS отсутствует, рекомендуется не устанавливать программ из неизвестных источников, ограничившись магазином Mac App Store, не открывать вложений из сомнительных писем электронной почты и не переходить по сомнительным ссылкам.
«Литрес» подтвердил утечку данных пользователей и пообещал ужесточить меры безопасности 05.08.2023 [20:03]
Книжный онлайн-магазин «Литрес» подтвердил утечку данных пользователей, включая адреса электронной почты и зашифрованные пароли. Платёжные данные остались в безопасности. Хакерская группировка NLB заявила о доступе к базе из 97 млн строк. Сервис ужесточил меры безопасности и обратился к Роскомнадзору.
5 августа 2023 года стало известно о серьёзной утечке данных пользователей книжного онлайн-магазина «Литрес». Согласно заявлению компании, опубликованному в Telegram-канале, злоумышленники получили доступ к адресам электронной почты. Платёжные реквизиты не пострадали, так как сервис их не хранит.
Хакерская группировка NLB утверждает, что получила базу данных с 97 млн строк. Опубликована часть этой базы — около 3 %, содержащая 3 млн записей, включая идентификаторы пользователей, фамилии и имена, зашифрованные пароли и адреса электронной почты (588 877 уникальных).
Спойлер:
«Литрес» принёс извинения за произошедшую утечку и заявил, что начал ужесточать контроль за хранением пользовательских данных, усилит уровень защиты и будет следить за доступом к информации. Компания также проинформировала Роскомнадзор о случившемся.
Пользователям сервиса рекомендовано сменить пароли не только на сайте «Литрес», но и на всех других площадках, где использовался похожий пароль. В случае несанкционированных действий с аккаунтом, сервис пообещал по запросу их отменить. Это не первый случай утечки данных в России в последнее время. В начале июня торговая сеть «Ашан» также подтвердила утечку данных клиентов, включая имена, фамилии, номера телефонов и адреса электронной почты.
Утечка данных «Литрес» является частью тревожного тренда, свидетельствующего о росте киберпреступности. Вопрос безопасности персональных данных становится всё более актуальным, особенно в свете недавно предложенного законопроекта о введении штрафов для бизнеса до 500 млн рублей за подобные инциденты. Ситуация с «Литрес» подчёркивает необходимость более строгого регулирования и контроля за хранением и обработкой персональных данных, а также ответственного отношения к вопросам конфиденциальности и безопасности клиентов.
Китайские хакеры изощренно атаковали аэрокосмические компании России и важные предприятия Сербии
Группировка Space Pirates атакует российские и сербские организации. Злоумышленники используют новое, по-видимому самописное, вредоносное ПО и постоянно дорабатывают и совершенствуют его, добавляя атипичные функции.
16 жертв кибершпионажа
По меньшей мере 16 организаций в России и Сербии стали жертвами атак со стороны кибергруппировки Space Pirates. Операторы этих атак использовали новаторскую тактику и новые инструменты.
Спойлер:
Как сообщается в отчете компании Positive Technologies, деятельность «космических пиратов» сводится к кибершпионажу и хищению конфиденциальной информации. Теперь они расширили и географический ареал, и сферу интересов — отраслевой диапазон жертв атак.
Сейчас Space Pirates пытаются атаковать правительственные учреждения, образовательные институты, частные охранные компании, аэрокосмические организации, производителей сельскохозяйственной продукции, оборонные, энергетические и медицинские фирмы в России и Сербии.
Активны с 2019 года
PositiveTechnologies выявила группировку Space Pirates в мае 2022 г., когда ее члены атаковали ряд компаний аэрокосмического сектора. Однако в Positive утверждают, что группировка была активной самое позднее с конца 2019 г., и что она как-то связана с другой группировкой, которую Symantec называет Webworm.
Анализ инфраструктуры злоумышленников показал, что они питают особенную слабость к архивам e-mail в формате PST, а также активно используют Deed RAT — свой эксклюзивный троянец, предназначенный для удаленного доступа и управления скомпрометированными системами.
Deed RAT считается деривативом от троянца ShadowPad, который, в свою очередь, сам является «эволюционировавшим» вариантом PlugX. И ShadowPad, и PlugX активно использовались китайскими кибершпионскими соединениями.
«Это означает, скорее всего, китайское происхождение и этого вредоноса, — полагает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — И это, в свою очередь, указывает и на региональное происхождение Space Pirates и их заказчиков. И хотя хакеры могут использовать опенсорсные или совсем чужие инструменты для заметания следов, в данном случае речь идет об эксклюзивной программе, которой не пользуется никто, кроме Space Pirates».
Доработка DeedRAT продолжается и по сей день. На данный момент он существует в двух вариациях — 32-битной и 64-битной. Кроме того, он способен подтягивать дополнительные модули с удаленного сервера.
DeedRAT может служить средством подгрузки и установки вредоносов следующей стадии, таких как Voidoor.
Сценический дебют
Этот вредонос попался исследователям впервые. Выяснилось, что Voidoor запрограммирован на установку соединений с легитимным форумом компании Voidtools и репозиторием GitHub, связанным с пользователем hasdhuahd, используемым в качестве контрольного сервера.
Voidtools — это, собственно, разработчик бесплатной поисковой утилиты для десктопов под управлением Microsoft Windows. Их форум базируется на популярной опенсорсной платформе MyBB. Voidoor соединяется с форумом под встроенными в него логином и паролем и проверяет внутрифорумные прямые сообщения — с целью найти каталог, обозначенный идентификатором очередной жертвы.
Связанные с Voidoor аккаунты были зарегистрированы на GitHub и Voidtools в ноябре 2022 г.
В отчете Positive Technologies также указывается, что хакеры Space Pirates активно разрабатывают новые инструменты для взлома и вывода данных, а кроме того, применяют обширный ассортимент общедоступных инструментов для передвижения по сетям и используют сканер уязвимостей Acutinex для предварительной разведки целевой инфраструктуры.
Microsoft предупредила об угрозах кибербезопасности на спортивных мероприятиях
Количество инцидентов кибербезопасности постоянно растёт, причём речь идёт не только об узконаправленных атаках, но и широкомасштабных вредоносных кампаниях. Злоумышленники не ограничиваются проведением атак против крупных компаний, всё чаще обращая внимание на массовые мероприятия, такие как спортивные соревнования. По данным Microsoft, атаки во время крупных спортивных соревнований могут привести к утечке данных, нарушению работы критической инфраструктуры и др.
В недавнем отчёте софтверного гиганта говорится, что угрозы кибербезопасности на спортивных мероприятиях «разнообразны и сложны». Особо отмечается, что «ни одно крупное спортивное мероприятие не имеет одинаковых профилей киберрисков», а целью злоумышленников может являться информация о спортсменах, обслуживающем персонале, организаторах, а также компрометация устройств в точках продаж, устройств посетителей и многое другое.
Независимо от того, какую цель преследуют злоумышленники, каждое конкретное мероприятие отличается по месту проведения, количеству и составу участников, демографическим характеристикам и др. Microsoft провела мониторинг в 45 организациях, участвующих в крупных спортивных мероприятиях и имеющих суммарно около 100 тыс. конечных точек доступа, на которых было совершено 634,6 млн попыток аутентификации. В среднем на одно конечное устройство приходилось около 6340 попыток аутентификации. При этом некоторые конечные устройства являются критически важными, поэтому на их долю может приходиться значительно больше попыток аутентификации.
В сообщении отмечается, что в целом обеспечение кибербезопасности на крупных спортивных мероприятиях является сложным вопросом. Политические и финансовые мотивы, которыми могут руководствоваться злоумышленники, а также разные условия проведения каждого соревнования — всё это усложняет обеспечение кибербезопасности.
«Тоже начал бредить»: пиратская группировка Skidrow рассказала, кем на самом деле является «полностью русская» хакер Empress 17.08.2023 [11:33]
В сообществе игровых пиратов разгорелся скандал. Видная группировка Skidrow заявила, что позиционирующий себя «полностью русской» девушкой хакер Empress является на самом деле не тем, за кого себя выдаёт.
Конфликт начался в середине августа, когда Empress раскритиковала Skidrow за взлом платформера Fe. По мнению хакера, группировка лишь эксплуатировала базовые элементы движка Unity, тогда как к самой защите Denuvo не прикасалась.
Спойлер:
В ответ на это Skidrow опубликовала продолжительное сообщение, в котором по пунктам разобрала обвинения Empress (без ответных оскорблений дело не обошлось) и уличила хакера во лжи.
Отрывок из сообщения Skidrow (источник изображения: Skidrow)
Skidrow утверждает, что за псевдонимом Empress на самом деле скрывается болгарский хакер мужского пола Voksi. Энтузиаст боролся с Denuvo, пока летом 2018 года в его дом не нагрянула полиция и не изъяла его оборудование.
Напомним, на тот момент 21-летний (26-летний сейчас) хакер из болгарского Димитровграда в прощальном сообщении на форуме Reddit сообщил, что «больше не сможет делать то, что делал», после чего пропал со сцены.
«Этот современный Дон Кихот из Болгарии в своей бесконечной борьбе с пресловутыми ветряными мельницами DRM, как и герой оригинальной истории, тоже начал бредить», — гласит сообщение Skidrow.
Стоит отметить, что какими-либо доказательствами сделанные утверждения Skidrow не подкрепила. То же самое, впрочем, актуально и для Empress с заявлениями насчёт своего происхождения.
Уязвимость в WinRAR позволяла хакерам запускать произвольный код при открытии RAR-архивов 19.08.2023 [16:33]
В известном архиваторе WinRAR обнаружена уязвимость, которая отслеживается под номером CVE-2023-40477 — ей присвоен рейтинг 7,8 из 10 (высокий). Заранее уведомлённые о проблеме разработчики уже исправили ошибку в программе, и в версии WinRAR 6.23 уязвимость уже закрыта.
Спойлер:
Проект Zero Day Initiative перечисляет следующие тезисы, связанные с уязвимостью старых версий WinRAR:
уязвимость позволяла злоумышленникам выполнять произвольный код; механизм её работы был связан с обработкой восстановления томов; приложение некорректно проверяло пользовательские данные; в результате вредоносное ПО получало доступ за пределами выделенного буфера памяти; для эксплуатации уязвимости необходимо было заставить пользователя самостоятельно запустить специально созданный вредоносный архив RAR. Проблему выявил исследователь кибербезопасности под ником goodbyeselene. Он сообщил о своём открытии разработчикам WinRAR в начале июня. Исправленная версия WinRAR 6.23, не содержащая уязвимости, вышла 2 августа, а информация о проблеме оглашена 17 августа — у пользователей было достаточно времени для обновления программы.
Ранее программа «Проводник» в составе предварительной версии Windows 11 получила поддержку формата RAR. Она была реализована при помощи открытой библиотеки libarchive, которая также поддерживает форматы LHA, PAX, TAR, TGZ и 7Z. Возможность распаковки в стабильной версии системы появится в сентябре, а создание архивов станет доступным лишь в следующем году. Разработчиков WinRAR это известие, кажется, не напугало: специализированный архиватор предлагает более широкий набор параметров, чем интегрированная функция в файловом менеджере.
Количество DDoS-атак на российскую IT-инфраструктуру удвоилось 25.08.2023 [13:30],
Россия по итогам II квартала 2023 года оказалась на девятом месте в мире по общему количеству зарегистрированных DDoS-атак. Как сообщает компания «Гарда», ситуация в данной сфере значительно ухудшилась. В период с апреля по июнь включительно на российскую IT-инфраструктуру пришлось 2,3 % от общего числа DDoS-атак в мире. Это в два раза больше по сравнению с I четвертью текущего года.
Спойлер:
По оценкам, в I квартале 2023 года количество DDoS-атак в России составило приблизительно 385 тыс. Абсолютные значения за II четверть года не приводятся, но говорится, что по сравнению с тем же периодом 2022-го показатель увеличился на 28 %. При этом число атак на правительственные организации подскочило за год на 118 %, на энергетический сектор — на 74 %, на нефтяную отрасль — на 53 %.
Наиболее атакуемые страны (Источник: «Гарда»)
В исследовании «Гарда» говорится, что по сравнению с I кварталом 2023 года, во II четверти года несколько изменилось распределение активности по дням недели. Число атак в пятницу и воскресенье снизилось по отношению к предыдущему периоду, а заметный рост наблюдается по вторникам и средам.
Зафиксирован рост TCP-флуда: доля таких атак достигла — 18 %. Суммарная доля TCP ACK и TCP SYN составила 42 %, UDP-флуд по-прежнему занимает второе место. При этом число таких атак сократилось с 47 % до 24 %, стабилен уровень атак типа DNS Amplification —в районе 9-10 %. Доля NTP Amplification значительно выросла —с 1 % до 10 %.
Источник: «Гарда»
Отмечается, что основная часть DDoS-атак реализуется с использованием ботнетов, в состав которых входят компьютеры не только компаний, но и обычных пользователей по всему миру. В техническом плане сложность таких киберпреступных кампаний постоянно растёт. DDoS-атаки организуются на канальный уровень, сетевую инфраструктуру, TCP/IP-стек и уровень приложения.
Наибольшее количество атак во II квартале 2023 года пришлось на США — около 33,5 % от общего числа. На втором месте находится Китай с результатом в 10 %. Количество атак с территории России снизилось: их доля сократилась с 3,09 % до 2,11 %. Лидерами по данному показателю являются Китай (38 %), Индия (24 %) и Южная Корея (10 %).
Личные данные клиентов «МТС Банка» попали в открытый доступ — в банке считают, что ничего страшного не случилось 07.09.2023 [23:33]
Неизвестный хакер выложил в открытый доступ данные клиентов «МТС Банка», сообщил Telegram-канал «Утечки информации» российского сервиса разведки уязвимостей и утечек данных, а также мониторинга мошеннических ресурсов в даркнете DLBI. Утёкшие данные содержатся в трёх файлах в формате .csv.
В одном из этих файлов с 1 млн строк содержатся персональные данные клиентов, включая ФИО, дату рождения, пол, номер ИНН, гражданство. В другом файле, содержащем 3,1 млн строк, указаны данные о банковских картах клиентов, включая тип карты (дебетовая, кредитная, корпоративная), частичную информацию о её номере (6 первых и 4 последних цифры), даты выпуска и завершения срока действия карты. В третьем файле указаны 1,8 млн уникальных номеров телефонов клиентов, 50 тыс. уникальных адресов электронной почты и числовые идентификаторы. Хакер сообщил, что у него имеется полная база из 21 млн строк.
Спойлер:
Ресурс securitylab.ru утверждает, что базу данных «МТС Банка» взломали хакеры из группировки NLB, которые ранее сливали данные клиентов и сотрудников компании «СберЛогистика», образовательного портала «GeekBrains», сервиса электронных книг «Литрес» и многих других.
В свою очередь, «МТС Банк» заверил клиентов, что его инфраструктура не подвергалась атакам, и данные пользователей вне опасности. «Представленная в базе информация не позволяет злоумышленникам совершать финансовые операции от лица клиентов банков, их счета вне опасности, — сообщили в пресс-службе банка. — Проверка базы, опубликованной хакерами, показала, что в ней содержатся персональные данные граждан и маскированные номера банковских карт, выпущенных различными российскими банками. Маскирование представляет собой меру защиты, в рамках которой номер банковской карты виден лишь частично».
«Наличие в базе карт различных эмитентов указывает на то, что утечка произошла не в каком-либо конкретном банке, а, предположительно, у ретейл-компании либо поставщика цифровых сервисов, которые хранят и обрабатывают платёжные данные пользователей именно в таком виде», — добавили в пресс-службе «МТС Банка».
«Лаборатория Касперского»: бэкдор три года распространялся под видом легитимного установщика ПО для Linux
Эксперты «Лаборатории Касперского» обнаружили вредоносную кампанию с использованием Free Download Manager, которая длилась более трёх лет. В ходе атаки легитимное ПО для установки приложений использовалось для распространения бэкдора на устройства под управлением ОС Linux. Жертвы заражались при попытке загрузить программное обеспечение с официального сайта Free Download Manager, что указывает на потенциальную атаку на цепочку поставок. Некоторые образцы вредоносного ПО, использованного в этой кампании, впервые были выявлены в 2013 г. Атаки были зафиксированы в Бразилии, Китае, Саудовской Аравии и России.
Спойлер:
Обнаруженная вредоносная кампания нацелена на системы Linux. Если жертва открывала в браузере легитимный веб-сайт Free Download Manager, а затем нажимала кнопку загрузки программы для Linux, то в некоторых случаях её перенаправляло на вредоносный URL, с которого скачивалась вредоносная версия, выпущенная в 2020 г. После запуска файла на устройстве жертвы устанавливался бэкдор — разновидность троянца для получения удалённого доступа. С заражённого устройства злоумышленники могли красть различную информацию, в том числе сведения о системе, историю браузера, сохранённые пароли, данные криптовалютных кошельков и даже учётные данные облачных сервисов, таких как Amazon Web Services или Google Cloud.
Эксперты «Лаборатории Касперского» полагают, что это может быть атакой на цепочку поставок. В ходе исследования руководств по установке Free Download Manager на YouTube для компьютеров Linux были обнаружены случаи, когда создатели видео непреднамеренно демонстрировали начальный процесс заражения. Но в другом видео загружалась легитимная версия программного обеспечения. Вероятно, разработчики вредоносного ПО предусмотрели, что жертва перенаправлялась на вредоносную версию ПО с определённой степенью вероятности или на основе цифрового следа потенциальной жертвы. В результате некоторые пользователи сталкивались с вредоносным пакетом, а другие получали легитимный.
«Распространено заблуждение, что для Linux не существует вредоносного ПО, поэтому многие пользователи не устанавливают на такие устройства защитные решения. Однако отсутствие средств обеспечения кибербезопасности как раз делает их более привлекательными для злоумышленников. Ситуация с Free Download Manager демонстрирует, что кибератаки на Linux могут долго оставаться необнаруженными. Чтобы этого избежать, нужно обязательно заботиться об эффективных мерах безопасности для компьютеров и серверов, работающих на этой операционной системе», — сказал Леонид Безвершенко, эксперт по кибербезопасности «Лаборатории Касперского».
Хакеры за неделю взломали две крупнейшие сети казино в Лас-Вегасе 14.09.2023 [19:09]
Во вторник группа киберпреступников, называющая себя ALPHV/BlackCat, нарушила работу сети казино MGM Resorts. Хакеры утверждают, что добыли чувствительную информацию и требуют выкуп, но компания пока платить отказывается. А сеть казино Caesars Entertainment якобы заплатила «десятки миллионов долларов» хакерам, угрожавшим обнародовать украденную информацию, в том числе данные клиентов. Взлом совершила группировка Scattered Spider, хотя ALPHV также настаивает на своей причастности.
Во вторник MGM Resorts начала испытывать перебои в работе игровых автоматов. По состоянию на утро среды MGM Resorts по-прежнему демонстрировала признаки взлома, что, в частности, отражалось в перебоях в работе сайта компании. Сама MGM Resorts утверждает, что её «курорты, включая рестораны, развлечения и игры, в настоящее время работают».
Спойлер:
ALPHV использовала методы социальной инженерии для кибератаки на международную сеть отелей и казино. Хакеры утверждают, что для взлома MGM Resorts им потребовался всего один 10-минутный телефонный звонок. Преступникам оказалось достаточно отыскать данные сотрудников казино на LinkedIn, а затем позвонить в службу поддержки.
Группа ALPHV имеет в сообществе кибербезопасности репутацию «выдающегося специалиста в области социальной инженерии для первоначального доступа». После взлома группа обычно использует программы-вымогатели, чтобы вынудить жертву заплатить. Хакеры в первую очередь атакуют крупные корпорации, в частности в июле ALPHV совместно с другими хакерами смогли организовать утечку данных с сайта гиганта индустрии красоты Estée Lauder.
Caesars Entertainment заплатила «десятки миллионов долларов» хакерам, которые угрожали обнародовать данные компании. Атаку совершила группа под названием Scattered Spider (также известная как UNC 3944), использовавшая социальную инженерию для обхода безопасности корпоративной сети. Атака на Caesars началась ещё 27 августа с получения доступа к внешнему поставщику компании, после чего преступникам удалось проникнуть в сеть Caesars Entertainment.
Группа Scattered Spider активизировалась в мае 2022 года и занимается атаками на телекоммуникационные и бизнес-аутсорсинговые организации. Члены группы выдают себя за ИТ-персонал и используют социальную инженерию и другие инструменты, чтобы убедить должностных лиц компании предоставить удалённый доступ. Также они успешно эксплуатируют уязвимости и используют специализированные инструменты для взлома, чтобы обойти защитное программное обеспечение.
Защита не спасает: больше половины DDoS-атак на российские компании оказались эффективны 20.09.2023 [00:15]
По данным экспертов Stormwall, с 1 июня по 31 августа 2023 года 53 % DDoS-атак на российские организации оказались успешными и блокировали работу всех внешних онлайн-ресурсов. Еще 4 % инцидентов являются частично успешными, нарушая работу только некоторых внешних ресурсов. Оставшиеся 43 % атак не причинили вреда компаниям.
В финансовом секторе 78 % инцидентов оказались успешными, а частично успешными — 2 % от общего количества атак. На ИТ-компании успешными оказались 74 % кибернападений и 2 % — частично успешными. В сфере образования зафиксировано 51 % успешных атак и 1 % частично успешных.
Спойлер:
В госсекторе успешные атаки составляют 32 %, частично успешные — 3 %. В сфере развлечений — 36 % и 2 % соответственно, в ритейле — 26 % и 1 % соответственно.
Как сообщали ранее в Stormwall, из тех компаний, которые используют защиту, 90 % уже применяют профессиональные российские решения, полностью отказавшись от зарубежных аналогов. Вместе с тем примерно 12 % компаний из рейтинга ТОП-500 не имеют никакой специализированной защиты от DDoS-атак. В основном это предприятия из производственного сектора, строительной отрасли и транспортной сферы. Для создания ботнетов хакеры активно используют IoT-устройства и виртуальные частные серверы (VPS).
В целом, на Россию во втором квартале 2023 года пришлось 5,3 % всех DDoS-атак, зарегистрированных в мире. По этому показателю РФ оказалась на восьмом месте. В тройку самых атакуемых стран вошли США (16,2 %), Индия (12,8 %) и Китай (10,4 %).
Intel показала ноутбук на 18-ангстремном Lunar Lake и чипы Arrow Lake, сделанные по техпроцессу Intel 20A 19.09.2023 [23:46]
Intel официально подтвердила, что её мобильные процессоры Meteor Lake с техпроцессом Intel 4 (7 нм) появятся на рынке после 14 декабря. Компания в рамках конференции Innovation 2023 также рассказала о планах, связанных с выпуском будущих потребительских процессоров в течение ближайших двух лет. Производитель собирается выпустить серии чипов Arrow Lake, Lunar Lake и Panther Lake.
Спойлер:
Intel ранее уже сообщала о том, что в процессорах Lunar Lake продолжится использование чиплетного дизайна, начатое в серии Meteor Lake. Основной чиплет с вычислительными ядрами процессоров Lunar Lake будет выпускаться согласно техпроцессу Intel 18A (класс 1,8-нм) — впервые для коммерческого продукта. Это будут энергоэффективные решения, обладающие поддержкой передовых ИИ-алгоритмов и программного обеспечения для машинного обучения. На рынке Lunar Lake ожидаются в 2024 году, после выпуска процессоров Arrow Lake.
Чипы Arrow Lake в свою очередь будут представлять собой второе поколения процессоров серии Core Ultra (первым являются Meteor Lake, анонсированные сегодня). Однако в отличие от Lunar Lake, которые также как и Meteor Lake будут представлены только в мобильном сегменте, чипы Arrow Lake появятся не только в мобильном, но также и настольном сегменте. Arrow Lake будут использовать техпроцесс Intel 20A (2-нм).
В рамках презентации глава Intel Пэт Гелсингер (Pat Gelsinger) показал ноутбук, работающий на базе процессора Lunar Lake, подчеркнув высокую энергоэффективность новой архитектуры при работе с ИИ-алгоритмами.
Компания также официально сообщила, что производство процессоров новой серии Panther Lake, начнётся в первом квартале 2024 года. Однако в продаже эти чипы появятся не ранее 2025 года. Эти процессоры будут использовать техпроцесс Intel 18A (класс 1,8-нм).
WinRAR стал опасен против воли разработчиков. Раскрыта хитрая схема, угрожающая полумиллиарду пользователей 21 Сентября 2023 13:56
Хакер нашел способ эксплуатации огромной уязвимости WinRAR, недавно закрытой разработчиками. Он решил сыграть на шумихе вокруг нее и на любопытстве пользователей и написал ПО, которое якобы демонстрирует последствия использования этой «дыры». Архив с софтом он даже снабдил роликом с примером его работы и Readme-файлом для усыпления бдительности пользователей. На деле его ПО – это всего лишь загрузчик опасного вредоноса VenomRAT.
Никому нельзя верить
Спойлер:
Архиватор WinRAR стал опасен для своих пользователей, коих в мире около 500 млн. как Как пишет портал Hacker News, киберпреступники взяли на вооружение уязвимость CVE-2023-40477, найденную и устраненную в августе 2023 г., и с ее помощью реализуют очень хитрую схему распространения вредоносного ПО.
За новой атакой на пользователей архиватора стоит киберпреступник whalersplonk. Он решил воспользоваться шумихой вокруг «дыры» CVE-2023-40477, позволявшей запускать на компьютере жертвы произвольный код и полностью перехватывать контроль над ПК, и собрал программу, которая демонстрирует работоспособность этой уязвимости.
Другими словами, хакер написал РоС-эксплойт (Proof of Concept), который разместил в открытом доступе на портале GitHub (принадлежит Microsoft, вводит санкции против россиян) в полной уверенности, что широкое освещение проблемы CVE-2023-40477 в интернете привлечет внимание к его новому творению.
Разработчики WinRAR устранили брешь CVE-2023-40477 в сборке 6.23, вышедшей в августе 2023 г., но, вероятнее всего, не все пользователи к моменту выхода материала успели обновить архиватор на своих ПК.
Программа с двойным дном
PoC-эксплоиты создаются с целью наглядной демонстрации того, что хакеры смогут сделать с компьютером, если произойдет реальный взлом. В случае с программой whalersplonk все обстоит совершенно иначе: единственная цель, которую преследовал хакер, заключается в заражении пользователей, желающих посмотреть на последствия эксплуатации CVE-2023-40477 – это заражение его другим вредоносным ПО.
Как пишет Hacker News, запуск хакерской утилиты активирует целую цепочку действий, одна вреднее другой для ПК пользователя. В конечном итоге на него в фоновом режиме загружается вредонос VenomRAT, а это своего рода ключ от всех дверей – он открывает киберпреступнику полный доступ к компьютеру. В числе прочего утилита может следить, что пользователь набирает на клавиатуре, тем самым давая хакеру возможность влезть в его переписку и узнать пароли.
По сути, whalersplonk написал скрипт на Python, представляющий собой слегка модифицированный эксплоит для уязвимости CVE-2023-25157 в программе GeoServer. Его запуск создает batch-скрипт для загрузки PowerShell-скрипта, который скачивает из интернета VenomRAT и попутно создает в планировщике задач скрипт по регулярному запуску вредоноса.
Чтобы никто не догадался
Хакер, решивший сыграть на любопытстве пользователей WinRAR, подстраховался и максимально замаскировал свою программу под нечто совершенно безвредное и даже, наоборот, полезное. В своем профиле на GitHub он выложил Readme-файл, в котором подробно описал, что якобы делает его программа, и как ею пользоваться. Про фоновую загрузку вредоноса в файле, разумеется, упоминаний нет.
Чтобы окончательно усыпить бдительность, хакер выложил 20-секундную запись экрана, в котором демонстрировал работу программы. Он разместил ролик на заблокированном в России в 2019 г. по решению Мосгорсуда сервисе коротких видео Streamable.
К моменту выхода материала профиль whalersplonk на GitHub был недоступен – заблокирован или удален, но ролик на Streamable по-прежнему открывался. Загруженный 22 августа 2023 г., ровно за месяц он собрал лишь около 340 просмотров.
Архиватор с российскими корнями
За архиватором WinRAR стоит российский программист Евгений Рошал, выпустивший первую его версию более 28 лет назад, в апреле 1995 г. На сегодняшний день это один из самых известных и распространенных архиваторов в мире – у него около полумиллиарда пользователей.
В WinRAR периодически находятся как мелкие, так и критические уязвимости, но разработчики стараются оперативно устранять их – CVE-2023-40477, к примеру, они закрыли всего через несколько дней после ее обнаружения. В 2015 г. в нем была найдена критическая брешь, которая позволяла встраивать вредоносный HTML-код в самораспаковывающийся RAR-архив.
В феврале 2019 г. в WinRAR нашли опасную «дыру», эксплуатация которой давала злоумышленнику возможность распаковать нужный ему архив в произвольный каталог Windows, например, архив с вредоносным софтом в папку автозагрузки, чтобы тот активировался при каждом включении ПК.
400 тыс. новых вирусов каждый день: «Лаборатория Касперского» заявила о глобальном росте числа кибератак 24.09.2023 [10:21]
Компания «Лаборатория Касперского» фиксирует динамичный рост количества кибератак по всему миру. Глава компании Евгений Касперский заявил, что ежедневно специалисты «Лаборатории Касперского» сталкиваются с 400 тыс. новых вредоносных файлов. Источник изображений: Pixabay
«Рост атак есть везде на самом деле, это глобальная проблема. Мы каждый день собираем примерно 400 тыс. новых файлов, которые ни разу не видели до этого, причём именно зловредных файлов. Какие-то из них распознаются защитными системами в автоматическом режиме, потому что сигнатура хорошо срабатывает, но, конечно, далеко не все», — рассказал господин Касперский во время беседы с журналистами.
Несмотря на рост количества кибератак, цели злоумышленников остаются прежними. Наибольшее количество кибератак направлены против инфраструктуры бизнеса, госсектора и промышленности. Отмечается, что в большинстве схем хакеры говорят на китайском, испанском, португальском, русском, английском и турецком языках.
По данным МТС RED, количество кибератак против российских компаний в период с апреля по июнь 2023 года увеличилось почти в два раза и составило около 12,7 тыс. инцидентов. Чаще всего злоумышленники атакуют IT-компании, количество таких инцидентов выросло до 4 тыс. По оценкам экспертов, российский рынок кибербезопасности в течение ближайших лет будет в среднем расти на 24 % в год и к 2027 году составит 559 млрд рублей.
Хакеры из России и Украины заявили о взломе «всех систем» Sony. Группировка Ransomed.vc собирается продать украденные данные
Цена не сообщается
Cyber Security Connect сообщает, что хакерская группировка Ransomed.vc заявила об успешном взломе защитных систем Sony Group и теперь угрожает продать украденные данные.
Группировка Ransomed.vc начала свою деятельность только в сентябре, но «на её счету уже впечатляющее количество жертв и Sony – одна из них», как утверждает Cyber Security Connect.
«Мы успешно взломали все системы Sony. Мы не будем требовать за них выкуп. Мы продадим данные, из-за того, что Sony не хочет платить. Данные продаются», — заявили в Ransomed.vc.
В качестве доказательства взлома предоставляются скриншоты страницы входа в систему, внутренняя презентация PowerPoint с изложением деталей тестового стенда и ряд Java-файлов.
Ransomed.vc также опубликовал файловое дерево всей утечки, в котором, судя по всему, содержится около 6000 файлов, что кажется небольшим для «всех систем Sony». В список включены «файлы журналов сборки», широкий спектр ресурсов Java и файлы HTML. Во многих файлах присутствуют японские символы.
Группа также указала «дату публикации» — 28 сентября 2023 года. Если никто не купит данные, то, предположительно, тогда Ransomed.vc опубликует их. Цена не сообщается.
По данным Cyber Security Connect, Ransomed.vc является одновременно и оператором программ-вымогателей, и организацией, предоставляющей программы-вымогатели как услугу. Большинство участников группировки базируются в России и Украине.
Китайские хакеры тайно захватили роутеры Cisco в важнейших секторах США — ФБР и АНБ забили тревогу 30.09.2023 [14:48]
Хакерская группировка BlackTech, предположительно связанная с властями Китая, осуществляет масштабные атаки на роутеры Cisco, используемые в правительственных учреждениях, СМИ, военной промышленности и других ключевых секторах США. Американские и японские агентства безопасности и правоохранительные органы бьют тревогу, так как хакеры внедряют в оборудование Cisco уязвимости, оставаясь незамеченными для системных администраторов.
Спойлер:
Агентство национальной безопасности (АНБ), Федеральное бюро расследований (ФБР) и Агентство по кибербезопасности и защите инфраструктуры США (CISA), полиция США и Японский Национальный центр готовности к инцидентам и стратегии кибербезопасности (NISC) подготовили отчёт о деятельности этой хакерской группы, подчёркивая серьёзность и масштаб возникшей угрозы. В отчёте приводится список вредоносных программ, таких как BendyBear, Bifrose, SpiderPig и WaterBear, которые используются для атак на операционные системы Windows, Linux и даже FreeBSD.
BlackTech, также известная как Palmerworm, Temp.Overboard, Circuit Panda и Radio Panda, ведёт свою преступную деятельность с 2010 года. Эта китайская APT-группировка (Advanced Persistent Threat — англ. постоянная серьезная угроза) создаёт и использует специализированное вредоносное ПО для проникновения в сети через оборудование компании Cisco и других крупных брендов, таких как Fortinet, SonicWall и TP-Link.
Хакеры BlackTech предпочитают атаковать филиалы компаний в небольших городах, где системы защиты могут быть менее надёжными. После получения доступа к локальной сети филиалов, они подключаются к сети головных организаций. Целью группировки являются правительственный сектор, компании с госучастием, а также предприятия из сфер промышленности, информационных технологий, телекоммуникаций и электроники.
Специфика методов, которыми BlackTech получает первоначальный доступ к устройствам своих жертв, остаётся неизвестной. Это могут быть как кража учётных данных сотрудников, так и неизвестные и чрезвычайно изощрённые уязвимости нулевого дня. После проникновения киберпреступники используют интерфейс командной строки Cisco IOS (CLI) для замены легитимной прошивки маршрутизатора на скомпрометированную версию.
Всё начинается с того, что прошивка модифицируется в памяти с использованием метода «горячего патчинга». Этот этап критически важен для установки модифицированного загрузчика и изменённой прошивки. После завершения установки, модифицированная прошивка может обходить защитные механизмы маршрутизатора, активировать бэкдоры, не оставляя при этом следов в системных журналах и игнорируя ограничения, установленные списками контроля доступа (ACL).
Киберпреступники применяют различные методы сокрытия своего присутствия в сетях жертвы, включая отключение ведения логов на скомпрометированных устройствах и используют украденные сертификаты подписи кода для подписи ROM-файлов. Хакеры используют специализированные UDP- и TCP-пакеты для включения и отключения SSH-бэкдоров на роутерах Cisco в произвольные моменты времени, скрывая таким образом свою активность от системных администраторов.
Cisco усугубляет проблему, отказываясь от поддержки своего устаревшего оборудования и устранения известных уязвимостей в своих роутерах. Например, компания регулярно отказывается устранять опасные уязвимости, такие как CVE-2022-20923 и CVE-2023-20025, в своих устаревших роутерах, чей срок поддержки давно истёк. Так, весной 2023 года, Cisco отказалась выпускать патч для роутеров, предназначенных для домашнего использования и малого бизнеса, в которых была найдена опасная уязвимость. Это создаёт дополнительные риски для пользователей и открывает возможности для киберпреступников.
Для выявления и блокирования вредоносных действий BlackTech компаниям и организациям настоятельно рекомендуется придерживаться оптимальных стратегий смягчения рисков. ИТ-специалистам следует блокировать исходящие соединения, используя конфигурационную команду «transport output none» к виртуальным телетайповым (VTY) линиям, а также контролировать все соединения, ограничивать доступ и вести детализированный учёт событий в системных журналах.
«Лаборатория Касперского» рассказала о новых версиях финансовых зловредов
Устройства российских пользователей атакует новая версия уже известного стилера, который крадет логи криптовалютных кошельков. Эксперты «Лаборатории Касперского» проанализировали новые вредоносные инструменты, один из которых, стилер Lumma, атакует в том числе российских пользователей.
Откуда взялся Lumma. Его предвестник — стилер Arkei, впервые замеченный в мае 2018 г. Lumma — это новая версия Arkei. Она распространяется через поддельный веб-сайт для преобразования файлов .docx в .pdf. Загруженные файлы возвращаются с двойным расширением — .pdf.exe, и при попытке их открытия на компьютер устанавливается зловред. Стилер умеет красть кэшированные файлы, конфигурационные файлы и логи криптовалютных кошельков. Он может работать как плагин для браузера, а также совместим с приложением Binance. В Lumma есть и функции, которых не было в предыдущих версиях стилера, — возможность получать списки системных процессов, усовершенствованные техники шифрования, а также использование динамических конфигурационных файлов, которые присылает командный сервер.
Спойлер:
Эволюция Zanubis. Банковский троянец Zanubis, который атакует пользователей из Перу под видом легитимных приложений, известен с 2022 г. Он выманивает разрешение на доступ к Accessibility Services (службе специальных возможностей). Сначала он маскировался под финансовые и криптовалютные сервисы на Android, а в апреле 2023 г. появилась имитация под официальное приложение перуанского Национального управления таможенной и налоговой администрации (SUNAT). Для запутывания кода (обфускации) Zanubis использует Obfuscapk — популярный обфускатор файлов приложений для Android. Троянец подгружает реальный сайт SUNAT с помощью системного компонента WebView, отвечающего за открытие веб-страниц в приложениях.
Как выяснили эксперты, для связи с командным сервером троянец использует протокол WebSocket и библиотеку Socket.IO. Это позволяет ему адаптироваться и оставаться на связи даже в случае проблем. Как и во многих современных вредоносных программах, у Zanubis нет фиксированного списка приложений для атаки: этот список злоумышленники могут настроить под каждое конкретное устройство. При этом зловред может создавать второе соединение, позволяющее получить полный контроль над устройством и даже полностью заблокировать его под видом обновления для Android.
Новый криптор. Эксперты «Лаборатории Касперского» также проанализировали ASMCrypt — недавно обнаруженный криптор/загрузчик, продающийся на подпольных форумах. Инструменты такого типа используются, чтобы скрыть сам процесс загрузки или другое вредоносное ПО. ASMCrypt — это более продвинутая версия загрузчика DoubleFinger, используемая в качестве «фасада» для службы, которая выполняется в сети TOR. Покупатели могут настроить под себя методы заражения, цели атаки, параметры автозагрузки, а также разные возможности ВПО. Вредоносный функционал скрыт внутри изображения с разрешением .png, загруженного на хостинговый сайт.
«В погоне за прибылью злоумышленники активно используют тему криптовалют и имитируют приложения государственных учреждений. На примере стилера Lumma и троянца Zanubis можно проследить, как меняется ландшафт вредоносного ПО и сама природа подобных киберугроз. Специалистам в области кибербезопасности нужно постоянно отслеживать изменения вредоносного кода и тактик злоумышленников. Чтобы защититься от развивающихся угроз, организациям важно сохранять бдительность и быть в курсе того, как они эволюционируют. Наши отчеты предоставляют информацию о новейших вредоносных инструментах и методах злоумышленников. Это позволяет нам быть на шаг впереди в борьбе за цифровую безопасность», — сказала Татьяна Шишкова, ведущий исследователь угроз информационной безопасности в «Лаборатории Касперского».
Чтобы защититься от подобных киберугроз, эксперты «Лаборатории Касперского» рекомендуют: создавать резервные офлайн-копии данных, к которым не смогут получить доступ злоумышленники, чтобы в экстренной ситуации ими можно было быстро воспользоваться; установить защитные программы от программ-вымогателей для всех конечных устройств; пользователям — защищать все устройства, с помощью которых кошелек подключается к интернету, с помощью надежного решения; компаниям — предоставлять сотрудникам отдела кибербезопасности возможность доступа к свежей информации о новейших тактиках, техниках и процедурах злоумышленников.