DailyMail выпустила забавное расследование про «супер-хакера» из России, который якобы связан с REvil. Часть материала посвящена автопарку подозреваемого и (внимание!) тортикам и кексам, производством которых занимается его жена. Ради такого эксклюзива британским журналистам пришлось установить физическую слежку за домом хакера и помониторить соцсети его семьи.
Евгений Полянин – именно так зовут человека, который, по подозрению ФБР, является аффилированным лицом группировки REvil/Sodinokibi. Как отмечает британское СМИ, в США 28-летний Полянин находится в топе розыска и обвиняется в вымогательстве нескольких миллионов долларов у американских предприятий путём использования ransomware.
На момент расследования Полянин проживал в престижном загородном комплексе в Барнауле с его женой. Подозреваемый был замечен за рулем двухсотого Крузера, оцененного британским СМИ, в 74 тысячи долларов. В гараже его также нашёлся и второй автомобиль - BMW за 108 тысяч долларов. А «роскошное» жильё супругов Поляниных было оценено в 380 тысяч. При этом никаких выписок к расследованию приложено не было. Да и все эти нарочито указанные стоимости имущества никак не вяжутся с суммами, которые «супер-хакер» успел выманить у американцев.
Видимо, по этой же логике репортеры кинулись искать признаки сверх-богатств у родственников Полянина. Но упомянутый DailyMail айфон 8-й серии, принадлежащий его матери – такой из себя вещдок.
В поисках правды журналисты также изучили ассортимент кондитерского онлайн-магазина жены Полянина, но, выражаясь буквально, получили там х**. Среди фотографий тортов, им удалось найти еще и кексы с топпингом в виде мужских гениталий, о которых DailyMail не раз упомянул.
Но бОльшую неурядицу в расследование, внесли опрошенные журналистами однокурсник и профессор технического университета, где учился Полянин. Вопреки всему они заявили о заурядных способностях в программировании разыскиваемого всеми хакера.
Повлияет ли это расследование, по качеству чем-то напоминающее уже известные кексы, на «бездействие» российских властей, верится с трудом. Смешно, но в опубликованном материале даже есть намёк на возможность вынесения дела о барнаульском хакере на внешнеполитическую арену.
Евгений Полянин – именно так зовут человека, который, по подозрению ФБР, является аффилированным лицом группировки REvil/Sodinokibi. Как отмечает британское СМИ, в США 28-летний Полянин находится в топе розыска и обвиняется в вымогательстве нескольких миллионов долларов у американских предприятий путём использования ransomware.
На момент расследования Полянин проживал в престижном загородном комплексе в Барнауле с его женой. Подозреваемый был замечен за рулем двухсотого Крузера, оцененного британским СМИ, в 74 тысячи долларов. В гараже его также нашёлся и второй автомобиль - BMW за 108 тысяч долларов. А «роскошное» жильё супругов Поляниных было оценено в 380 тысяч. При этом никаких выписок к расследованию приложено не было. Да и все эти нарочито указанные стоимости имущества никак не вяжутся с суммами, которые «супер-хакер» успел выманить у американцев.
Видимо, по этой же логике репортеры кинулись искать признаки сверх-богатств у родственников Полянина. Но упомянутый DailyMail айфон 8-й серии, принадлежащий его матери – такой из себя вещдок.
В поисках правды журналисты также изучили ассортимент кондитерского онлайн-магазина жены Полянина, но, выражаясь буквально, получили там х**. Среди фотографий тортов, им удалось найти еще и кексы с топпингом в виде мужских гениталий, о которых DailyMail не раз упомянул.
Но бОльшую неурядицу в расследование, внесли опрошенные журналистами однокурсник и профессор технического университета, где учился Полянин. Вопреки всему они заявили о заурядных способностях в программировании разыскиваемого всеми хакера.
Повлияет ли это расследование, по качеству чем-то напоминающее уже известные кексы, на «бездействие» российских властей, верится с трудом. Смешно, но в опубликованном материале даже есть намёк на возможность вынесения дела о барнаульском хакере на внешнеполитическую арену.
Mail Online
Russian hacker wanted by FBI is unmasked
DailyMail.com tracked suspected super-hacker Yeveniy Polyanin, 28, left, to a $380,000 home in the Siberian city of Barnaul, where his wife, Sofia, right, openly runs a social media baking business.
Хакеры взломали Panasonic
Техногигант Panasonic ведет внутреннее расследование по поводу взлома и утечки данных. Хакеры скомпрометировали файловый сервер корпорации и обзавелись доступом к некоторым данным.
В пресс-релизе Panasonic о деталях взлома почти ничего неизвестно. Компания призналась в том, что сторонний доступ удалось обнаружить 11 ноября, зафиксировав аномальный сетевой трафик.
Некоторые источники с ссылкой на местные СМИ сообщают, что хакеры якобы были подключены к серверу на протяжении 4 месяцев. А если говорить о самой утечке, то в тех же источниках есть информация и о затронутых ПД клиентов и сотрудников, а также технических файлах Panasonic. Какие данные затронул взлом — ещё не определили.
Кстати, в ту же передрягу когда-то попадал и техногигант Acer, сервера которого поддавались взлому дважды за неделю. Как признались позже хакеры, это было что-то из рода показательной порки для остальных крупных компаний, пренебрегающих надежной защитой персональных данных, сотрудничавших с ними лиц.
Техногигант Panasonic ведет внутреннее расследование по поводу взлома и утечки данных. Хакеры скомпрометировали файловый сервер корпорации и обзавелись доступом к некоторым данным.
В пресс-релизе Panasonic о деталях взлома почти ничего неизвестно. Компания призналась в том, что сторонний доступ удалось обнаружить 11 ноября, зафиксировав аномальный сетевой трафик.
Некоторые источники с ссылкой на местные СМИ сообщают, что хакеры якобы были подключены к серверу на протяжении 4 месяцев. А если говорить о самой утечке, то в тех же источниках есть информация и о затронутых ПД клиентов и сотрудников, а также технических файлах Panasonic. Какие данные затронул взлом — ещё не определили.
Кстати, в ту же передрягу когда-то попадал и техногигант Acer, сервера которого поддавались взлому дважды за неделю. Как признались позже хакеры, это было что-то из рода показательной порки для остальных крупных компаний, пренебрегающих надежной защитой персональных данных, сотрудничавших с ними лиц.
DDoS-атака убила самый крупный рынок марихуанны в даркнете
Операторы теневого маркетплейса Cannazon ушли на покой. Причиной стала мощная DDoS-атака, положившая основной onion-сайт и его зеркала.
Возможно, в Tor появятся клоны теневого магазина каннабиса, но не исключено, что это будут мошенники. Связана ли атака на маркетплейс с борьбой правоохранителей против наркоторговли — неизвестно.
Операторы теневого маркетплейса Cannazon ушли на покой. Причиной стала мощная DDoS-атака, положившая основной onion-сайт и его зеркала.
Возможно, в Tor появятся клоны теневого магазина каннабиса, но не исключено, что это будут мошенники. Связана ли атака на маркетплейс с борьбой правоохранителей против наркоторговли — неизвестно.
BleepingComputer
Dark web market Cannazon shuts down after massive DDoS attack
Cannazon, one of the largest dark web marketplaces for buying marijuana products, shut down last week after suffering a debilitating distributed denial of service attack.
МФТИ попал под санкции США
Минпромторг США добавил в санкционный список Московский физико-технологический институт. Причём, МФТИ там в отличии от других организаций не в списке правил экспортного контроля, а с меткой военного конечного пользователя.
В список входят 27 иностранных организаций, которые якобы «участвуют в деятельности, противоречащей интересам национальной безопасности или внешней политики США». На самом деле формулировка подразумевает то, что эти организации сильно продвинулись в распространении технологии квантовых вычислений.
В августе 2021 под санкции попали 7 китайских компаний, разрабатывающих квантовые компьютеры. Китаю это сыграло на руку: власти приняли стратегию развития своих технологий, чтобы в будущем быть самодостаточными в этой области.
МФТИ всегда был и остаётся одним из сильнейших вузов не только в России, но и в мире. Попадание в санкционный список — лучший сигнал для Российской науки, что наши разработки котируются в мире.
Минпромторг США добавил в санкционный список Московский физико-технологический институт. Причём, МФТИ там в отличии от других организаций не в списке правил экспортного контроля, а с меткой военного конечного пользователя.
В список входят 27 иностранных организаций, которые якобы «участвуют в деятельности, противоречащей интересам национальной безопасности или внешней политики США». На самом деле формулировка подразумевает то, что эти организации сильно продвинулись в распространении технологии квантовых вычислений.
В августе 2021 под санкции попали 7 китайских компаний, разрабатывающих квантовые компьютеры. Китаю это сыграло на руку: власти приняли стратегию развития своих технологий, чтобы в будущем быть самодостаточными в этой области.
МФТИ всегда был и остаётся одним из сильнейших вузов не только в России, но и в мире. Попадание в санкционный список — лучший сигнал для Российской науки, что наши разработки котируются в мире.
U.S. Department of Commerce
Commerce Lists Entities Involved in the Support of PRC Military Quantum Computing Applications, Pakistani Nuclear and Missile Proliferation…
The Commerce Department’s Bureau of Industry and Security (BIS) has issued a final rule adding twenty-seven foreign entities and individuals to the Entity List for engaging in activities that are contrary to the
Компания, которая проводит генетические ДНК-тесты пострадала от утечки данных. В базе, которая утекла в сеть, есть информация о 2,1 млн клиентов.
В этой новости два важных момента:
1)В утечку попали полные имена, номер кредитной карты + CVV, номер дебетовой карты + CVV, номер финансового счета, пароль учетной записи платформы. Платежные данные — серьезная утечка, но сколько карт действительны по сей день — неизвестно. База данных была архивная.
2) Данные о результатах исследования ДНК хранились в отдельной базе. И это наилучшая иллюстрация принципа «не храни яйца в одной корзине». В сеть персональная медицинская информация не попала.
Сейчас DNA Diagnostics Centr наняла экспертов по ИБ на аутсорсе, чтобы нивелировать последствия.
Результаты теста на отцовство, генетические заболевания, тест на национальность и исторические корни — очень чувствительная информация. Будет весело, если компания соврала и на самом деле эти данные просто ждут своего часа, чтобы оказаться на хакерском форуме.
В этой новости два важных момента:
1)В утечку попали полные имена, номер кредитной карты + CVV, номер дебетовой карты + CVV, номер финансового счета, пароль учетной записи платформы. Платежные данные — серьезная утечка, но сколько карт действительны по сей день — неизвестно. База данных была архивная.
2) Данные о результатах исследования ДНК хранились в отдельной базе. И это наилучшая иллюстрация принципа «не храни яйца в одной корзине». В сеть персональная медицинская информация не попала.
Сейчас DNA Diagnostics Centr наняла экспертов по ИБ на аутсорсе, чтобы нивелировать последствия.
Результаты теста на отцовство, генетические заболевания, тест на национальность и исторические корни — очень чувствительная информация. Будет весело, если компания соврала и на самом деле эти данные просто ждут своего часа, чтобы оказаться на хакерском форуме.
BleepingComputer
DNA testing firm discloses data breach affecting 2.1 million people
DNA Diagnostics Center (DDC), an Ohio-based DNA testing company, has disclosed a hacking incident that affects 2,102,436 persons.
Microsoft Defender for Endpoint блокирует документы Office и запуск исполняемых файлов. Он помечает файлы как вредоносную программу Emotet.
Сисадмины Windows считают, что баг стал возникать после обновления Защитника до версии 1.353.1874.0. При детектировнии происходит блокировка файла и выдаётся ошибка, связанная с Win32/PowEmotet.SB или Win32/PowEmotet.SC. Блокировка касается Excel-документов и любого приложения Microsoft Office, использующего MSIP.ExecutionHost.exe и splwow64.exe.
Наиболее вероятной причиной может быть проведённая модификация Microsoft, связанная с эскалацией чувствительности Defender к обнаружению поведения подобного Emotet.
Изменение, вероятно, было вызвано недавним возрождением ботнета Emotet, после того как исследовательская группа Emotet Cryptolaemus, GData и Advanced Intel заметила, что TrickBot заливал на зараженные устройства загрузчики Emotet.
В прошлом Защитник помечал обновления Chrome как бэкдоры PHP.
Сисадмины Windows считают, что баг стал возникать после обновления Защитника до версии 1.353.1874.0. При детектировнии происходит блокировка файла и выдаётся ошибка, связанная с Win32/PowEmotet.SB или Win32/PowEmotet.SC. Блокировка касается Excel-документов и любого приложения Microsoft Office, использующего MSIP.ExecutionHost.exe и splwow64.exe.
Наиболее вероятной причиной может быть проведённая модификация Microsoft, связанная с эскалацией чувствительности Defender к обнаружению поведения подобного Emotet.
Изменение, вероятно, было вызвано недавним возрождением ботнета Emotet, после того как исследовательская группа Emotet Cryptolaemus, GData и Advanced Intel заметила, что TrickBot заливал на зараженные устройства загрузчики Emotet.
В прошлом Защитник помечал обновления Chrome как бэкдоры PHP.
Zoom выпустил очередные исправления багов. Уязвимости у них, как и у Microsoft — никогда не заканчиваются.
Не в первый раз Zoom привлекает к себе внимание специалистов по информационной безопасности в связи с уязвимостями. И почему-то каждый раз приложение все больше напоминает рай для хакера и даже обычного ламера, так как его защита оставляет желать лучшего.
В этот раз баги затрагивают версии приложения почти для всех операционных систем: Windows, Linux, Android и даже самых «защищенных» macOS с iOS. Уязвимости обнаружили специалистами команды Google Project Zero, которые утверждают, что эксплуатация багов может привести к атакам, связанным с выполнением кода.
Самая серьезная из двух проблем — CVE-2021-34423, набравшая 7,3 баллов по шкале уязвимостей CVSS. С ее помощью злоумышленники могут спровоцировать сбой службы или приложения, путем переполнения буфера, а затем использовать это для выполнения произвольного кода. Пример: сотрудник, недовольный своим руководителем, теоретически мог «закинуть» троян или же элементарный «батник» (мини вирус с расширением .bat), убивающий систему начальника.
Вторая брешь приводит непосредственно к повреждению памяти. Благодаря ее эксплуатации можно было проверить состояние кэша процесса для нескольких продуктов и компонентов, а также получить представление о произвольных областях памяти.
К счастью, не все так плохо: команда Zoom наконец-то добавила механизм автоматического обновления, чтобы получать все новые патчи сразу после их выхода.
Увы, но данная функция есть лишь на Windows и macOS, а вот обладателям Linux, видимо, придется еще подождать.
Не в первый раз Zoom привлекает к себе внимание специалистов по информационной безопасности в связи с уязвимостями. И почему-то каждый раз приложение все больше напоминает рай для хакера и даже обычного ламера, так как его защита оставляет желать лучшего.
В этот раз баги затрагивают версии приложения почти для всех операционных систем: Windows, Linux, Android и даже самых «защищенных» macOS с iOS. Уязвимости обнаружили специалистами команды Google Project Zero, которые утверждают, что эксплуатация багов может привести к атакам, связанным с выполнением кода.
Самая серьезная из двух проблем — CVE-2021-34423, набравшая 7,3 баллов по шкале уязвимостей CVSS. С ее помощью злоумышленники могут спровоцировать сбой службы или приложения, путем переполнения буфера, а затем использовать это для выполнения произвольного кода. Пример: сотрудник, недовольный своим руководителем, теоретически мог «закинуть» троян или же элементарный «батник» (мини вирус с расширением .bat), убивающий систему начальника.
Вторая брешь приводит непосредственно к повреждению памяти. Благодаря ее эксплуатации можно было проверить состояние кэша процесса для нескольких продуктов и компонентов, а также получить представление о произвольных областях памяти.
К счастью, не все так плохо: команда Zoom наконец-то добавила механизм автоматического обновления, чтобы получать все новые патчи сразу после их выхода.
Увы, но данная функция есть лишь на Windows и macOS, а вот обладателям Linux, видимо, придется еще подождать.
VK попал на свалку интернет-отходов. Холдинг USM Алишера Усманова продал 57,3 % акций VK Согазу. Даже Алишер Усманов понял, что ловить там нечего.
Прошло 7 лет с того момента, как Павел Дуров покинул пост гендиректора ВКонтакте, социальная сеть перешла в Mail ru Group, поменявшей в этом году название на VK, но коренных изменений, вернувших репутацию и доверие пользователей так и не произошло.
Мер принималось много, если можно их так назвать: появилась монетизация, подписка. Но украденные у успешных сервисов фишки были скорее полумерами, которые на короткий срок создавали шумиху в СМИ и никак не помогали в долгосрочной перспективе.
Социальную сеть нужно было менять полностью, делать акцент на удобстве для пользователей, а не заниматься исключительно пиаром. Топ-менеджерам не хватило дальновидности, поэтому ВКонтакте так и осталась дырявой социальной сетью в глазах пользователей и бизнеса.
Прошло 7 лет с того момента, как Павел Дуров покинул пост гендиректора ВКонтакте, социальная сеть перешла в Mail ru Group, поменявшей в этом году название на VK, но коренных изменений, вернувших репутацию и доверие пользователей так и не произошло.
Мер принималось много, если можно их так назвать: появилась монетизация, подписка. Но украденные у успешных сервисов фишки были скорее полумерами, которые на короткий срок создавали шумиху в СМИ и никак не помогали в долгосрочной перспективе.
Социальную сеть нужно было менять полностью, делать акцент на удобстве для пользователей, а не заниматься исключительно пиаром. Топ-менеджерам не хватило дальновидности, поэтому ВКонтакте так и осталась дырявой социальной сетью в глазах пользователей и бизнеса.
Черно-белое лого в виде свастики — новый ребрендинг Group-IB, пока владелец Сачков находится под арестом.
Пока «патриот» и «хороший парень» находится под следствием по делу о госизмене, его команда с лидером Дмитрием Волковым, судя по всему, рассчитывает на новую статью — 354.1 УК РФ Публичные призывы к развязыванию агрессивной войны 😂.
Сегодня они объявили о ребрендинге, представив новое лого и новую концепцию: «путь героя, чья миссия — в борьбе». Кажется, мы где-то такое уже видели, примерно лет 90 назад.
Если в компании Сачкова такие взгляды, не мудрено, что он сейчас под следствием. Следующий шаг у Group-IB — создание секты борьбы против кибербеза и хакерские атаки?
Есть и более приземлённый вариант: пока основатель в тюрьме, команда спешно отмывает последние деньги «международной компании» пузыря с международными офисами по 5 человек. А после мы увидим breaking news — CEO Дмитрий Волков покинул страну. Только все это будет не новостью, а предсказуемым будущим.
Пока «патриот» и «хороший парень» находится под следствием по делу о госизмене, его команда с лидером Дмитрием Волковым, судя по всему, рассчитывает на новую статью — 354.1 УК РФ Публичные призывы к развязыванию агрессивной войны 😂.
Сегодня они объявили о ребрендинге, представив новое лого и новую концепцию: «путь героя, чья миссия — в борьбе». Кажется, мы где-то такое уже видели, примерно лет 90 назад.
Если в компании Сачкова такие взгляды, не мудрено, что он сейчас под следствием. Следующий шаг у Group-IB — создание секты борьбы против кибербеза и хакерские атаки?
Есть и более приземлённый вариант: пока основатель в тюрьме, команда спешно отмывает последние деньги «международной компании» пузыря с международными офисами по 5 человек. А после мы увидим breaking news — CEO Дмитрий Волков покинул страну. Только все это будет не новостью, а предсказуемым будущим.
Билл Гейтс однажды сказал, что нужно отдавать ленивому сложные задачи, потому что он найдёт лёгкий путь их выполнения. Это он явно про ФБР. Силовики нашли новый инструмент для добычи доказательств в деле о штурме Капитолия — Google. Компания снабжает ФБР данными о геолокации пользователей, которые брали Капитолий.
Например, личность Лизы Энн Гомер была установлена после того, как она засветилась в одном из кадров репортажа NYT с места событий. Девушку подвела ее приметная шляпа с надписью «LIONS NOT SHEEP». Копам не составило труда получить ордер на ее арест, после чего они обратились за помощью к Google, которая предоставила им полную карту передвижения смартфона Лизы.
Карта содержала информацию в виде точек, визуализирующих перемещения девушки в здании Капитолия и ее перелеты.
Google добывает данные через GPS, Bluetooth и Wi-Fi, которые не способны дать точнее координат, чем геозоны. Но это не проблема для ФБР, а вот для Лизы — да. Девушку ждёт суд.
Например, личность Лизы Энн Гомер была установлена после того, как она засветилась в одном из кадров репортажа NYT с места событий. Девушку подвела ее приметная шляпа с надписью «LIONS NOT SHEEP». Копам не составило труда получить ордер на ее арест, после чего они обратились за помощью к Google, которая предоставила им полную карту передвижения смартфона Лизы.
Карта содержала информацию в виде точек, визуализирующих перемещения девушки в здании Капитолия и ее перелеты.
Google добывает данные через GPS, Bluetooth и Wi-Fi, которые не способны дать точнее координат, чем геозоны. Но это не проблема для ФБР, а вот для Лизы — да. Девушку ждёт суд.
Кстати, вот старая история про GPS и социальную сеть Parler, где сидели сторонники Трампа. В ней тоже про метаданные и передвижения по Капитолию.
Telegram
НеКасперский
Ого! А вот это очень интересная история о визуализации данных.
В штурме Капитолия 6 января участвовали пользователи соц.сети Parler. Они делились фотографиями и видеозаписями. Но так совпало, что Parler не зачищает GPS-метаданные видеороликов(обычно это…
В штурме Капитолия 6 января участвовали пользователи соц.сети Parler. Они делились фотографиями и видеозаписями. Но так совпало, что Parler не зачищает GPS-метаданные видеороликов(обычно это…
Роскомнадзор нашёл новые жертвы для блокировки. В чёрный список попадут ещё 6 VPN: Betternet, Lantern, X-VPN, Cloudflare WARP, Tachyon VPN, PrivateTunnel.
Кстати, PrivateTunnel есть в плане блокировки на 2021 год, который мы опубликовали несколько месяцев назад.
Кстати, PrivateTunnel есть в плане блокировки на 2021 год, который мы опубликовали несколько месяцев назад.
Microsoft рекламирует Edge, унижая Google Chrome
Microsoft уличили в недобросовестной рекламе ее нового браузера Edge. По данным портала Neowin, компания навязывает свою разработку в виде уведомлений, когда пользователь пытается скачать Google Chrome в Edge. И делает это принижая функционал Chrome.
Уведомления всплывают перед пользователями Windows 10 и 11. Информация о том, что Edge якобы лучше Chrome, подаётся в таких вариациях:
К тому же, Microsoft в целях рекламы эксплуатирует и поисковик Bing, отдавая приоритет Edge в поисковой выдаче, если ввести запрос «браузер» или «скачать браузер».
Microsoft начала «дерзить», втюхивая свой браузер Edge, ещё в феврале 2020 года. Тогда у пользователей с установленным по умолчанию Firefox в разделе реков возникал баннер с надписью: «Ещё пользуетесь Firefox? Microsoft Edge здесь».
Никто. Абсолютно никто.
Microsoft: Я продавец — тебе пиздец
Microsoft уличили в недобросовестной рекламе ее нового браузера Edge. По данным портала Neowin, компания навязывает свою разработку в виде уведомлений, когда пользователь пытается скачать Google Chrome в Edge. И делает это принижая функционал Chrome.
Уведомления всплывают перед пользователями Windows 10 и 11. Информация о том, что Edge якобы лучше Chrome, подаётся в таких вариациях:
•Этот браузер (Chrome) как из 2008 года. А знаете, какой новый? Microsoft Edge; •Microsoft Edge работает по тем же технологиям, что и Chrome, в но Microsoft больше доверяет Edge.К тому же, Microsoft в целях рекламы эксплуатирует и поисковик Bing, отдавая приоритет Edge в поисковой выдаче, если ввести запрос «браузер» или «скачать браузер».
Microsoft начала «дерзить», втюхивая свой браузер Edge, ещё в феврале 2020 года. Тогда у пользователей с установленным по умолчанию Firefox в разделе реков возникал баннер с надписью: «Ещё пользуетесь Firefox? Microsoft Edge здесь».
Никто. Абсолютно никто.
Microsoft: Я продавец — тебе пиздец
Злоумышленники из BlackByte захватывают корпоративные сети, используя сервера Microsoft Exchange благодаря уязвимостям ProxyShell.
ProxyShell — это набор из трех уязвимостей Microsoft Exchange, которые можно использовать для удаленного выполнения кода без проверки подлинности на сервере.
На сегодняшний день насчитывается около 2000 взломанных почтовых серверов Microsoft Exchange, а всё лишь потому, что их владельцы не установили патчи для исправления уязвимостей ProxyShell.
После непосредственного обнаружения и публикации уязвимости злоумышленники начали использовать ее для взлома серверов и установки веб-шеллов(скрипты позволяющие получить полный доступ к чтению и редактированию файлов, находящимся на серваке), майнеров и программ-вымогателей. Более того, вскоре на известном хакерском форуме был опубликован список всех 100 000 доступных серверов Exchange, что еще больше упростило задачу взлома.
Специалисты по информационной безопасности из Red Canary заметили атаку программы-вымогателя BlackByte, в которой используются уязвимости ProxyShell для установки веб-оболочек(небольшие сценарии, загружаемые на веб-серверы для удаленного выполнения команд и загрузки доп.файлов) на скомпрометированный сервер Microsoft Exchange. После чего установленная веб-оболочка используется для размещения Cobalt Strike, который вводится в процесс агента обновления Windows, внедряется инструмент тестирования на проникновение для сброса учетных данных для учетной записи службы в скомпрометированной системе. Наконец, взяв учетную запись, злоумышленники устанавливают инструмент удаленного доступа AnyDesk. Обычно при использовании программ-вымогателей, также внедряются сторонние инструменты для получения повышенных привилегий, но только не при использовании BlackByte. А все из-за того, что фактически исполняемый файл программы-вымогателя BlackByte играет центральную роль, так как он обрабатывает как и повышение привилегий, так и возможность червя или боковое перемещение в скомпрометированной среде.
И по сей день набор ProxyShell активно эксплуатируется, поэтому нужно скорее обновиться, а если такой возможности нет, то рекомендуется контролировать свои открытые системы на предмет действий-предшественников, таких, как удаление теневых копий, подозрительное изменение реестра и выполнение PowerShell в обход политик ограничений.
ProxyShell — это набор из трех уязвимостей Microsoft Exchange, которые можно использовать для удаленного выполнения кода без проверки подлинности на сервере.
На сегодняшний день насчитывается около 2000 взломанных почтовых серверов Microsoft Exchange, а всё лишь потому, что их владельцы не установили патчи для исправления уязвимостей ProxyShell.
После непосредственного обнаружения и публикации уязвимости злоумышленники начали использовать ее для взлома серверов и установки веб-шеллов(скрипты позволяющие получить полный доступ к чтению и редактированию файлов, находящимся на серваке), майнеров и программ-вымогателей. Более того, вскоре на известном хакерском форуме был опубликован список всех 100 000 доступных серверов Exchange, что еще больше упростило задачу взлома.
Специалисты по информационной безопасности из Red Canary заметили атаку программы-вымогателя BlackByte, в которой используются уязвимости ProxyShell для установки веб-оболочек(небольшие сценарии, загружаемые на веб-серверы для удаленного выполнения команд и загрузки доп.файлов) на скомпрометированный сервер Microsoft Exchange. После чего установленная веб-оболочка используется для размещения Cobalt Strike, который вводится в процесс агента обновления Windows, внедряется инструмент тестирования на проникновение для сброса учетных данных для учетной записи службы в скомпрометированной системе. Наконец, взяв учетную запись, злоумышленники устанавливают инструмент удаленного доступа AnyDesk. Обычно при использовании программ-вымогателей, также внедряются сторонние инструменты для получения повышенных привилегий, но только не при использовании BlackByte. А все из-за того, что фактически исполняемый файл программы-вымогателя BlackByte играет центральную роль, так как он обрабатывает как и повышение привилегий, так и возможность червя или боковое перемещение в скомпрометированной среде.
И по сей день набор ProxyShell активно эксплуатируется, поэтому нужно скорее обновиться, а если такой возможности нет, то рекомендуется контролировать свои открытые системы на предмет действий-предшественников, таких, как удаление теневых копий, подозрительное изменение реестра и выполнение PowerShell в обход политик ограничений.
Red Canary
ProxyShell exploitation leads to BlackByte ransomware | Red Canary
BlackByte ransomware leverages ProxyShell Microsoft Exchange vulnerabilities for initial access and Cobalt Strike for lateral movement.
This media is not supported in your browser
VIEW IN TELEGRAM
Как вы думаете, для чего нужны такие человекоподобные роботы?
Пользователи Reddit, как всегда знают ответы на все вопросы
Пользователи Reddit, как всегда знают ответы на все вопросы