В России создали маркетплейс услуг ИБ
Команда энтузиастов из стартапа «Третья сторона» загорелась амбициозной целью: изменить рынок ИБ-услуг в России и сделать его более прозрачным. Разработчики считают, что длинные цепочки субподрядчиков, грабительские комиссии и непрозрачное ценообразование сильно мешают заказчикам, которые вместо хорошего результата часто получают некачественную работу за большую оплату.
Маркетплейс ИБ услуг «Третья сторона» позволяет работать напрямую с проверенными исполнителями. Есть ощущение, что это не только делает процесс взаимодействия между заказчиками и исполнителями более прозрачным, но и меняет рынок труда в целом. Зачем работать в ИБ-компании за копейки, если можно оформиться самозанятым и делать сразу несколько проектов?
Интересно, как на появление этого проекта среагирует индустрия и ИБ-эксперты.
@NeKaspersky
Команда энтузиастов из стартапа «Третья сторона» загорелась амбициозной целью: изменить рынок ИБ-услуг в России и сделать его более прозрачным. Разработчики считают, что длинные цепочки субподрядчиков, грабительские комиссии и непрозрачное ценообразование сильно мешают заказчикам, которые вместо хорошего результата часто получают некачественную работу за большую оплату.
Маркетплейс ИБ услуг «Третья сторона» позволяет работать напрямую с проверенными исполнителями. Есть ощущение, что это не только делает процесс взаимодействия между заказчиками и исполнителями более прозрачным, но и меняет рынок труда в целом. Зачем работать в ИБ-компании за копейки, если можно оформиться самозанятым и делать сразу несколько проектов?
Интересно, как на появление этого проекта среагирует индустрия и ИБ-эксперты.
@NeKaspersky
👍7😱3👎1🔥1
Лукацкий не медля написал пост про риски ИБ/ИТ-аутсорсинга. Выглядит, как попытка защитить консервативное устройство рынка.
Telegram
Пост Лукацкого
Интересный обзор рисков уголовного преследования, с которыми может столкнуться ИТ/ИБ-аутсорсер в России. В условиях все более активного проникновения сервисной модели ИБ в РФ, учитывать эти риски необходимо. Особенно при работе с государственными заказчиками
😁9
Quantum делает ставку на скорость при атаке на сети
По словам исследователей из DFIR, проанализировавших атаку, на полное ее завершение потребовалось всего 3.75 часа с момента первоначального заражения. Таке известно, что для получения первоначального доступа к компьютеру в целевой организации использовался вредонос IcedID, доставленный жертве с помощью спама.
Через два часа после запуска злоумышленники запустили Cobalt Strike, спрятав его в
Если учесть скорость проведения атаки и выбор времени (обычно — поздно ночью или в выходные дни), у администраторов сети практически не было времени на ее предотвращение. К счастью для последних, кампания Quantum не столь активна по сравнению с предыдущими операциями от разработчиков этой малвари, и количество атак в месяц невелико.
@NeKaspersky
По словам исследователей из DFIR, проанализировавших атаку, на полное ее завершение потребовалось всего 3.75 часа с момента первоначального заражения. Таке известно, что для получения первоначального доступа к компьютеру в целевой организации использовался вредонос IcedID, доставленный жертве с помощью спама.
Через два часа после запуска злоумышленники запустили Cobalt Strike, спрятав его в
C:\Windows\SysWOW64\cmd.exe, что позволило им остаться незамеченными. Далее им удалось креденшлы администратора домена, сдампив LSASS, что в свою очередь открыло новые возможности для латерального перемещения по сети. В конце концов, одолжив достаточно данных и захватив доастаточное количество машин, злоумышленники использовали WMI и PsExec для развертывания рансомвари Quantum Locker и шифрования устройств.Если учесть скорость проведения атаки и выбор времени (обычно — поздно ночью или в выходные дни), у администраторов сети практически не было времени на ее предотвращение. К счастью для последних, кампания Quantum не столь активна по сравнению с предыдущими операциями от разработчиков этой малвари, и количество атак в месяц невелико.
@NeKaspersky
👍6
В последнем обновлении Oracle исправили серьезную уязвимость безопасности Java
Только что поступили последние ежеквартальные обновления безопасности Oracle. В рамках обновления была исправлена CVE-2022-21449, уязвимость высокой степени критичности. Она набрала целых 7,5 балла по шкале CVSS. Однако специалист оценил бы опасность проблемы на максимальные 10 баллов «из-за широкого спектра воздействий на различную функциональность в контексте управления доступом».
Легко используемая уязвимость позволяет не аутентифицированному злоумышленнику получить доступ к сети через несколько протоколов для компрометации Oracle Java SE, Oracle GraalVM Enterprise Edition. Успешные атаки этой уязвимости могут привести к несанкционированному созданию, удалению или изменению доступа к критическим данным или ко всем доступным данным Oracle Java SE, Oracle GraalVM Enterprise Edition. По сути, это приводит к аннулированию целостности контента, что гарантируется подписями.
Алгоритм проверки подписи использует математическое уравнение, которое состоит из открытого ключа подписавшего, хеша сообщения и двух значений, которые используются в подписях ECDSA r и s. Подпись подтверждается, когда обе стороны уравнения равны. Неисправная реализация, представленная в Java 15, не проверяет, равны ли эти r и s нулю, и именно здесь начинаются проблемы. Если r и s могут быть равными нулю, то это может привести к тому, что обе стороны уравнения, которые используют их для умножения, будут обнулены, создавая тем самым истинное утверждение 0 = 0. В этом случае подпись будет подтверждена, что позволит злоумышленнику с пустой подписью (полной нулей) получить доступ к контенту, который должен быть защищен.
Недоброжелатель, использующий эту уязвимость, может перехватить (прочитать и изменить) зашифрованные сообщения или обойти аутентификацию в некоторых случаях. Более того, в случаях, когда целостность контента проверяется с помощью подписей ECDSA, процесс проверки может быть скомпрометирован.
Чтобы исправить эту уязвимость Java, мы рекомендуем обновить Java до последней версии. Самые последние версии Java: Java 17 (долгосрочная поддержка) а также Java 18, которые обновляются до 17.0.3 а также 18.0.1 соответственно. Более старые, но все еще поддерживаемые версии, которые также были исправлены Java 7, Java 8 а также Java 11, которые обновляются до версии 7u341, версия 8u331 а также 11.0.15 соответственно.
@NeKaspersky
Только что поступили последние ежеквартальные обновления безопасности Oracle. В рамках обновления была исправлена CVE-2022-21449, уязвимость высокой степени критичности. Она набрала целых 7,5 балла по шкале CVSS. Однако специалист оценил бы опасность проблемы на максимальные 10 баллов «из-за широкого спектра воздействий на различную функциональность в контексте управления доступом».
Легко используемая уязвимость позволяет не аутентифицированному злоумышленнику получить доступ к сети через несколько протоколов для компрометации Oracle Java SE, Oracle GraalVM Enterprise Edition. Успешные атаки этой уязвимости могут привести к несанкционированному созданию, удалению или изменению доступа к критическим данным или ко всем доступным данным Oracle Java SE, Oracle GraalVM Enterprise Edition. По сути, это приводит к аннулированию целостности контента, что гарантируется подписями.
Алгоритм проверки подписи использует математическое уравнение, которое состоит из открытого ключа подписавшего, хеша сообщения и двух значений, которые используются в подписях ECDSA r и s. Подпись подтверждается, когда обе стороны уравнения равны. Неисправная реализация, представленная в Java 15, не проверяет, равны ли эти r и s нулю, и именно здесь начинаются проблемы. Если r и s могут быть равными нулю, то это может привести к тому, что обе стороны уравнения, которые используют их для умножения, будут обнулены, создавая тем самым истинное утверждение 0 = 0. В этом случае подпись будет подтверждена, что позволит злоумышленнику с пустой подписью (полной нулей) получить доступ к контенту, который должен быть защищен.
Недоброжелатель, использующий эту уязвимость, может перехватить (прочитать и изменить) зашифрованные сообщения или обойти аутентификацию в некоторых случаях. Более того, в случаях, когда целостность контента проверяется с помощью подписей ECDSA, процесс проверки может быть скомпрометирован.
Чтобы исправить эту уязвимость Java, мы рекомендуем обновить Java до последней версии. Самые последние версии Java: Java 17 (долгосрочная поддержка) а также Java 18, которые обновляются до 17.0.3 а также 18.0.1 соответственно. Более старые, но все еще поддерживаемые версии, которые также были исправлены Java 7, Java 8 а также Java 11, которые обновляются до версии 7u341, версия 8u331 а также 11.0.15 соответственно.
@NeKaspersky
👍2
Много шума из ничего, или как в VirusTotal RCE нашли
Исследователи из Cysource сообщили, что гугловский VirusTotal мог позволить злоумышленникам получить RCE в определенных песочницах. Проблема заключалась в том, что ряд сторонних песочниц использовал устаревшую версию ExifTool, уязвимую к CVE-2021-22204 (7.8 CVSS). Для получения заветного reverse shell-а злоумышленнику достаточно было с помощью сайта отправить на сканирование DjVu-документ, содержащий что-то наподобие
О баге незамедлительно сообщили, его столь же быстро поправили и т.д, но суть слегка в другом: во-первых, как понятно из описания, косяк был вообще не со стороны VT, во-вторых, при правильной настройке (за исключением непофикшенного критического бага) тех же песочниц, при всем желании оттуда не получится вытащить ничего полезного. В общем, не ведитесь на заголовки, друзья.
@NeKaspersky
Исследователи из Cysource сообщили, что гугловский VirusTotal мог позволить злоумышленникам получить RCE в определенных песочницах. Проблема заключалась в том, что ряд сторонних песочниц использовал устаревшую версию ExifTool, уязвимую к CVE-2021-22204 (7.8 CVSS). Для получения заветного reverse shell-а злоумышленнику достаточно было с помощью сайта отправить на сканирование DjVu-документ, содержащий что-то наподобие
content: (metadata "\c${system('bash -c \"{echo,ваш_пейлод_в_base64 }|{base64,-d }|{bash,-i }\" ; clear') };") и, потирая руки и злобно смеясь, ожидать.О баге незамедлительно сообщили, его столь же быстро поправили и т.д, но суть слегка в другом: во-первых, как понятно из описания, косяк был вообще не со стороны VT, во-вторых, при правильной настройке (за исключением непофикшенного критического бага) тех же песочниц, при всем желании оттуда не получится вытащить ничего полезного. В общем, не ведитесь на заголовки, друзья.
@NeKaspersky
Prynt: новый игрок в ряду инфостиллеров
За обнаружение вредоноса и описание функционала благодарить стоит Cyble research labs. Судя по предоставленным скриншотам, за пользование хотят $100, $200, $700 и $900 за месяц, 3 месяца год и пожизненную лицензию соответственно.
Теперь к функционалу. Во-первых, вредонос написан на .net, а его бинарник выполняется в несколько стадий. Первая выполняет роль лоадера и выполняет в памяти сырцы второй, закодированные в base64, потом в rot13 и записанные с конца. После расшифровки пейлода и некоторых хардкоднутых настроек (например, токена для бота в телеграм) вредонос создает скрытую папку в
Также, ожидаемо, Prynt проявляет излишний интерес к креденшлам, сохраненным во всевозможных Chromium- и Firefox-based браузерах. Похожая участь постигает кукизы, данные кредиток, историю браузера, закладки и даже список загрузок. В дополнение к краже, инфостиллер производит базовую фильтрацию собранной информации на предмет причастности к одной из трех категорий: крипта, банкинг и порносайты.
На случай, если злоумышленнику не хватает браузерной информации, вредонос способен на кражу токенов и других данных из чатов (Discord, Pidgin и Telegram), игрового софта (Steam, Minecraft, Uplay), криптокошельков (Zcash, Armory, Bytecoin, Jaxx, Ethereum, AtomicWallet, Guarda и Coinomi), FileZilla и VPN-клиентов (OpenVPN, PorotonVPN и NordVPN). Есть и возможность узнать различную информацию о зараженной системе: получить дерево директорий, свойства системы/сети и ключ активации Windows. Ну и на закуску, не обошлось без функционала кейлоггера и возможности делать скриншоты.
Другую более подробно о малвари и индикаторов заражения можно прочитать тут.
@NeKaspersky
За обнаружение вредоноса и описание функционала благодарить стоит Cyble research labs. Судя по предоставленным скриншотам, за пользование хотят $100, $200, $700 и $900 за месяц, 3 месяца год и пожизненную лицензию соответственно.
Теперь к функционалу. Во-первых, вредонос написан на .net, а его бинарник выполняется в несколько стадий. Первая выполняет роль лоадера и выполняет в памяти сырцы второй, закодированные в base64, потом в rot13 и записанные с конца. После расшифровки пейлода и некоторых хардкоднутых настроек (например, токена для бота в телеграм) вредонос создает скрытую папку в
%AppData%, где в дальнейшем будет храниться информация, которую следует отправить оператору. К такой информации, например, относятся документы, файлы БД, исходники и картинки различных расширений, но занимающие до 5120 байт.Также, ожидаемо, Prynt проявляет излишний интерес к креденшлам, сохраненным во всевозможных Chromium- и Firefox-based браузерах. Похожая участь постигает кукизы, данные кредиток, историю браузера, закладки и даже список загрузок. В дополнение к краже, инфостиллер производит базовую фильтрацию собранной информации на предмет причастности к одной из трех категорий: крипта, банкинг и порносайты.
На случай, если злоумышленнику не хватает браузерной информации, вредонос способен на кражу токенов и других данных из чатов (Discord, Pidgin и Telegram), игрового софта (Steam, Minecraft, Uplay), криптокошельков (Zcash, Armory, Bytecoin, Jaxx, Ethereum, AtomicWallet, Guarda и Coinomi), FileZilla и VPN-клиентов (OpenVPN, PorotonVPN и NordVPN). Есть и возможность узнать различную информацию о зараженной системе: получить дерево директорий, свойства системы/сети и ключ активации Windows. Ну и на закуску, не обошлось без функционала кейлоггера и возможности делать скриншоты.
Другую более подробно о малвари и индикаторов заражения можно прочитать тут.
@NeKaspersky
👍4
Coca-Cola стала жертвой атаки хакеров
Компания подверглась атаке хакеров из группировки Stormous ransomware. Деталей взлома пока не так много, известно лишь, что были взломаны сервера и похищено
161 Гб данных.
За данные хакеры хотят $64 000 в BTC. В распоряжении злоумышленников сжатые документы, текстовые файлы с админкой, электронными письмами и паролями, ZIP-архивы учетных записей и платежей.
Интересно, что жертву взлома выбирали с помощью опроса в Telegram.
Компания пока не подтверждает взлом, но сотрудничает с правоохранителями по этому вопросу.
@NeKaspersky
Компания подверглась атаке хакеров из группировки Stormous ransomware. Деталей взлома пока не так много, известно лишь, что были взломаны сервера и похищено
161 Гб данных.
За данные хакеры хотят $64 000 в BTC. В распоряжении злоумышленников сжатые документы, текстовые файлы с админкой, электронными письмами и паролями, ZIP-архивы учетных записей и платежей.
Интересно, что жертву взлома выбирали с помощью опроса в Telegram.
Компания пока не подтверждает взлом, но сотрудничает с правоохранителями по этому вопросу.
@NeKaspersky
👍7
Теперь Илья Сачков сможет помогать Родине прямо из камеры. Такую возможность ему может дать ФСИН, предлагающая использовать IT-специалистов в тюрьмах для работы.
@NeKaspersky
@NeKaspersky
ТАСС
ФСИН намерена привлекать осужденных IT-специалистов к удаленной работе на бизнес
Речь идет о тех, кто отбывает наказание в исправительных центрах
😁16👍2🤬2😱1
США дадут $10 млн за информацию о шести русских хакерах
Власти США предложили вознаграждение за информацию о шести россиянах, которые могут быть причастными к хакерской атаке на институты США в 2017 году с использованием вируса NotPetya.
В Вашингтоне считают, что они работают в Главном управлении Генштаба ВС РФ. Их подразделение известно ИБ-исследователям, как Sandworm Team, Telebots, Voodoo Bear и Iron Viking.
В результате атаки 2017 года пострадали компьютеры больниц и других медучреждений, крупного производителя фармацевтики. Совокупный ущерб от атаки составил $1 млрд. NotPetya блокировал компьютерные системы компаний и требовал выкуп за разблокировку.
@NeKaspersky
Власти США предложили вознаграждение за информацию о шести россиянах, которые могут быть причастными к хакерской атаке на институты США в 2017 году с использованием вируса NotPetya.
В Вашингтоне считают, что они работают в Главном управлении Генштаба ВС РФ. Их подразделение известно ИБ-исследователям, как Sandworm Team, Telebots, Voodoo Bear и Iron Viking.
В результате атаки 2017 года пострадали компьютеры больниц и других медучреждений, крупного производителя фармацевтики. Совокупный ущерб от атаки составил $1 млрд. NotPetya блокировал компьютерные системы компаний и требовал выкуп за разблокировку.
@NeKaspersky
😁6😱5👍2
Google Play Store теперь заставляет разработчиков раскрывать, какие данные собирают их приложения
До сих пор софт, размещенный в Play Store должнен был сопровождаться ссылкой на политику конфиденциальности в разделе "Дополнительная информация", однако у такого подхода сразу несколько проблем. Во-первых, размещение документа на внешнем сервере позволяет разработчику беспрепятственно изменять его содержимое, не предупреждая пользователей. Во-вторых, для рядового пользователя читатьть объемный текст, полный юридических терминов, проблематично, так что этим не занимался практически никто. Google решили исправить эту проблему вводом нового раздела «Data Safety».
По словам Google, в нем разработчики будут вынуждены сообщить не только какие данные собирают, но и о том, чем конкретно делятся с третьими лицами, что поможет пользователю решить, действительно ли ему нужно ставить конкретную софтину. Помимо этого придется указать, как именно разработчик обеспечивает безопасность собранных данных (вроде следования стандарту «MASVS») и предоставляется ли пользователям возможность запросить удаление своих данных в любое время. Наконец, там также удастся узнать, следует ли приложение политике «Google Play Families», направленной, очевидно, на защиту детей.
С другой стороны, все не так уж и радужно: Google не планирует проверять предоставленную разработчиками информацию. В случае, если обнаружится, что приложение собирает какие-то другие данные, автора попросят исправить столь досадное недоразумение, и только если это не поможет, приложению дадут бан.
Также известно, что раздел начнут вводить в эксплуатацию постепенно, так что пользователям Android доведется познакомиться с ним в течение следующих нескольких недель. Разработчики уже могут начать выполнять требования Google, но дедлайн состоится — 20 июля 2022 года. Подробнее можно почитать тут.
@NeKaspersky
До сих пор софт, размещенный в Play Store должнен был сопровождаться ссылкой на политику конфиденциальности в разделе "Дополнительная информация", однако у такого подхода сразу несколько проблем. Во-первых, размещение документа на внешнем сервере позволяет разработчику беспрепятственно изменять его содержимое, не предупреждая пользователей. Во-вторых, для рядового пользователя читатьть объемный текст, полный юридических терминов, проблематично, так что этим не занимался практически никто. Google решили исправить эту проблему вводом нового раздела «Data Safety».
По словам Google, в нем разработчики будут вынуждены сообщить не только какие данные собирают, но и о том, чем конкретно делятся с третьими лицами, что поможет пользователю решить, действительно ли ему нужно ставить конкретную софтину. Помимо этого придется указать, как именно разработчик обеспечивает безопасность собранных данных (вроде следования стандарту «MASVS») и предоставляется ли пользователям возможность запросить удаление своих данных в любое время. Наконец, там также удастся узнать, следует ли приложение политике «Google Play Families», направленной, очевидно, на защиту детей.
С другой стороны, все не так уж и радужно: Google не планирует проверять предоставленную разработчиками информацию. В случае, если обнаружится, что приложение собирает какие-то другие данные, автора попросят исправить столь досадное недоразумение, и только если это не поможет, приложению дадут бан.
Также известно, что раздел начнут вводить в эксплуатацию постепенно, так что пользователям Android доведется познакомиться с ним в течение следующих нескольких недель. Разработчики уже могут начать выполнять требования Google, но дедлайн состоится — 20 июля 2022 года. Подробнее можно почитать тут.
@NeKaspersky
👍9👎1
Microsoft: в Linux есть серьезные уязвимости, ставящие под угрозу обычных пользователей
Буквально на этой неделе специалисты по информационной безопасности Microsoft обнаружили целых две дыры безопасности, связанные с Linux. Вместе эти уязвимости получили название Nimbuspwn. Благодаря им локальный злоумышленник может повысить привилегии до root на многих конечных точках рабочего стола Linux. Недоброжелателю это позволит развернуть различные вредоносные программы, начиная от бэкдоров и программамм-вымогателей и заканчивая вредоносными действиями посредством произвольного выполнения корневого кода.
Уязвимости, получившие идентификаторы CVE-2022-29799 и CVE-2022-29800, были обнаружены в компоненте под названием networkd-dispatcher, который отправляет изменения статуса соединения на Linux. Данный компонент запускается от имени root, когда система начинает отправлять изменения состояния сети и запускать сценарии для реагирования на новое состояние сети. Также компонент включает в себя метод _run_hooks_for_state для обнаружения и запуска скриптов.
Как заявляют исследователи, именно в данном методе и нашли проблемы, подвергающие систему Linux уязвимости обхода каталогов, Symlink race (условия гонки) Time-of-check-time-of-use (TOCTOU).
Данный недостаток в системе безопасности позволяет злоумышленникам заменять скрипты, которые, по мнению networkd-dispatcher, принадлежат root, на содержащие вредоносный код. Значит, даже недоброжелатель, имеющий низкий уровень привилегий, может использовать несколько вредоносных скриптов один за другим. Таким образом, злоумышленник может воспользоваться уязвимостью, объединить уязвимости в цепочку, передав определенный сигнал, чтобы получить root-доступ для дальнейшего использования по своему усмотрению.
Как заявляют специалисты по информационной безопасности Microsoft, данные уязвимости уже исправлены в последней версии network-dispatcher. Также они советуют всем пользователям обновить систему.
@NeKaspersky
Буквально на этой неделе специалисты по информационной безопасности Microsoft обнаружили целых две дыры безопасности, связанные с Linux. Вместе эти уязвимости получили название Nimbuspwn. Благодаря им локальный злоумышленник может повысить привилегии до root на многих конечных точках рабочего стола Linux. Недоброжелателю это позволит развернуть различные вредоносные программы, начиная от бэкдоров и программамм-вымогателей и заканчивая вредоносными действиями посредством произвольного выполнения корневого кода.
Уязвимости, получившие идентификаторы CVE-2022-29799 и CVE-2022-29800, были обнаружены в компоненте под названием networkd-dispatcher, который отправляет изменения статуса соединения на Linux. Данный компонент запускается от имени root, когда система начинает отправлять изменения состояния сети и запускать сценарии для реагирования на новое состояние сети. Также компонент включает в себя метод _run_hooks_for_state для обнаружения и запуска скриптов.
Как заявляют исследователи, именно в данном методе и нашли проблемы, подвергающие систему Linux уязвимости обхода каталогов, Symlink race (условия гонки) Time-of-check-time-of-use (TOCTOU).
Данный недостаток в системе безопасности позволяет злоумышленникам заменять скрипты, которые, по мнению networkd-dispatcher, принадлежат root, на содержащие вредоносный код. Значит, даже недоброжелатель, имеющий низкий уровень привилегий, может использовать несколько вредоносных скриптов один за другим. Таким образом, злоумышленник может воспользоваться уязвимостью, объединить уязвимости в цепочку, передав определенный сигнал, чтобы получить root-доступ для дальнейшего использования по своему усмотрению.
Как заявляют специалисты по информационной безопасности Microsoft, данные уязвимости уже исправлены в последней версии network-dispatcher. Также они советуют всем пользователям обновить систему.
@NeKaspersky
👍9❤1😁1😱1
Новая рансомварь читерит в шифровании на скорость
Шифровальщик Onyx, на этой неделе обнаруженный исследователями из MalwareHunterTeam, во многом похож на остальную современную рансомварь: он шифрует файлы, предварительно воруя информацию жертвы, чтобы запугать ее публикацией данных в случае неуплаты выкупа (иными словами, операторы следуют стратегии двойного вымогательства). На момент обнаружения, группировка, судя по сказанному на ее сайте, успела зашифровать 6 компаний. Что касается обращения к пострадавшим, за исключением одного слова, оно скопировано с сайта Conti.
Детали имплементации стали известны буквально сегодня, и, если верить сэмплу, попавшему в руки MalwareHunterTeam, Onyx оказался ближе к вайперу, чем к шифровальщику: по-настоящему шифруются файлы до 2 мб, остальные банально затираются случайными данными. Как сообщает другой исследователь, Jiří Vinopal, это вызвано тем, что вредонос основан на Chaos четвертой версии, в которой есть такой вот неприятный баг, хотя наличие проверки на размер файла и совершенно другая логика наводит на мысль, что это «не баг, а фича».
Что, однако, ясно наверняка — так это то, что платить группировке не стоит.
@NeKaspersky
Шифровальщик Onyx, на этой неделе обнаруженный исследователями из MalwareHunterTeam, во многом похож на остальную современную рансомварь: он шифрует файлы, предварительно воруя информацию жертвы, чтобы запугать ее публикацией данных в случае неуплаты выкупа (иными словами, операторы следуют стратегии двойного вымогательства). На момент обнаружения, группировка, судя по сказанному на ее сайте, успела зашифровать 6 компаний. Что касается обращения к пострадавшим, за исключением одного слова, оно скопировано с сайта Conti.
Детали имплементации стали известны буквально сегодня, и, если верить сэмплу, попавшему в руки MalwareHunterTeam, Onyx оказался ближе к вайперу, чем к шифровальщику: по-настоящему шифруются файлы до 2 мб, остальные банально затираются случайными данными. Как сообщает другой исследователь, Jiří Vinopal, это вызвано тем, что вредонос основан на Chaos четвертой версии, в которой есть такой вот неприятный баг, хотя наличие проверки на размер файла и совершенно другая логика наводит на мысль, что это «не баг, а фича».
Что, однако, ясно наверняка — так это то, что платить группировке не стоит.
@NeKaspersky
👍6
Media is too big
VIEW IN TELEGRAM
Актёр Владислав Галкин, известный многим по культовому сериалу «Дальнобойщики» появился в сериале на первом, хотя несколько лет назад он умер. Все дело в технологии deepfake. «Первый» канал, извините за тавтологию, стал первым, кто в России применил эту технологию в фильме. Так можно ведь и Жириновского «оживить».
🔥27💩8👍4❤1
США собираются упростить получение виз для высококвалифицированных специалистов из России, к которым относятся и ИБ-специалисты.
Визовые ограничения планируют отменить для обладателей магистерской и докторской степени в области науки, техники, инженерии, ядерных технологий, искусственного интеллекта, кибербезопасности и передовых направлений IT.
Кстати, не так давно в Совете Федерации что-то говорили о нехватке Российской экономике IT-специалистов. Озвучивалась цифра порядка 1 млн.
Интересно, будут ли ответные меры эффективными и удастся ли предотвратить «утечку мозгов» спустя 30 лет после массовой эмиграции старого поколения учёных.
@NeKaspersky
Визовые ограничения планируют отменить для обладателей магистерской и докторской степени в области науки, техники, инженерии, ядерных технологий, искусственного интеллекта, кибербезопасности и передовых направлений IT.
Кстати, не так давно в Совете Федерации что-то говорили о нехватке Российской экономике IT-специалистов. Озвучивалась цифра порядка 1 млн.
Интересно, будут ли ответные меры эффективными и удастся ли предотвратить «утечку мозгов» спустя 30 лет после массовой эмиграции старого поколения учёных.
@NeKaspersky
😱11👍8🤬5