LONEPAGE: новый бэкдор, похищающий данные с помощью WinRAR
Зарубежные сотрудники стали жертвами кампании с уязвимыми версиями WinRAR
Киберпреступная группа UAC-0099 продолжает атаковать Украину, используя уязвимость в WinRAR для распространения вредоносного ПО LONEPAGE.
По данным ИБ-компании Deep Instinct, основной целью атак являются украинские сотрудники, работающие за пределами страны. Группа UAC-0099 была впервые зафиксирована Командой быстрого реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA) в июне 2023 года. Отмечалось, что атаки направлены на государственные организации и СМИ с целью шпионажа. Группировка UAC-0099 также в 2022-2023 годах получила несанкционированный удаленный доступ к десяткам компьютеров в Украине.
Атаки осуществляются с помощью фишинговых сообщений, содержащих вложения HTA, RAR и LNK, которые приводят к развертыванию LONEPAGE — вредоносного ПО на Visual Basic Script (VBS), способного связываться с сервером управления для получения дополнительных вредоносных программ, таких как кейлоггеры, инфостилеры и программы для создания скриншотов.
Последний анализ Deep Instinct показывает, что использование вложений HTA — это лишь один из трех различных способов заражения. Другие два включают самораспаковывающиеся архивы (self-extracting, SFX) и ZIP-архивы с документы-приманками. ZIP-файлы для распространения LONEPAGE используют уязвимость WinRAR ( CVE-2023-38831 , оценка CVSS: 7.8), позволяющую злоумышленникам выполнять произвольный код при попытке пользователя просмотреть безопасный файл в ZIP-архиве.
В одном из случаев SFX-файл содержит ярлык LNK, замаскированный под файл DOCX с повесткой в суд, и использует значок Microsoft WordPad, чтобы побудить жертву открыть его. Атака приводит к выполнению вредоносного кода PowerShell и установке LONEPAGE.
Другая атака использует специально созданный ZIP-архив, уязвимый для CVE-2023-38831.
IT Дайджест / IT Новости / IT / Технологии
Зарубежные сотрудники стали жертвами кампании с уязвимыми версиями WinRAR
Киберпреступная группа UAC-0099 продолжает атаковать Украину, используя уязвимость в WinRAR для распространения вредоносного ПО LONEPAGE.
По данным ИБ-компании Deep Instinct, основной целью атак являются украинские сотрудники, работающие за пределами страны. Группа UAC-0099 была впервые зафиксирована Командой быстрого реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA) в июне 2023 года. Отмечалось, что атаки направлены на государственные организации и СМИ с целью шпионажа. Группировка UAC-0099 также в 2022-2023 годах получила несанкционированный удаленный доступ к десяткам компьютеров в Украине.
Атаки осуществляются с помощью фишинговых сообщений, содержащих вложения HTA, RAR и LNK, которые приводят к развертыванию LONEPAGE — вредоносного ПО на Visual Basic Script (VBS), способного связываться с сервером управления для получения дополнительных вредоносных программ, таких как кейлоггеры, инфостилеры и программы для создания скриншотов.
Последний анализ Deep Instinct показывает, что использование вложений HTA — это лишь один из трех различных способов заражения. Другие два включают самораспаковывающиеся архивы (self-extracting, SFX) и ZIP-архивы с документы-приманками. ZIP-файлы для распространения LONEPAGE используют уязвимость WinRAR ( CVE-2023-38831 , оценка CVSS: 7.8), позволяющую злоумышленникам выполнять произвольный код при попытке пользователя просмотреть безопасный файл в ZIP-архиве.
В одном из случаев SFX-файл содержит ярлык LNK, замаскированный под файл DOCX с повесткой в суд, и использует значок Microsoft WordPad, чтобы побудить жертву открыть его. Атака приводит к выполнению вредоносного кода PowerShell и установке LONEPAGE.
Другая атака использует специально созданный ZIP-архив, уязвимый для CVE-2023-38831.
IT Дайджест / IT Новости / IT / Технологии
👍4❤2🔥2
Wall of Flippers: борьба с Bluetooth-спамом на медицинские устройства
Проект позволяет привлечь виновника к ответственности за сбои в жизненно важном оборудовании.
Новый проект на Python под названием Wall of Flippers предназначен для обнаружения атак Bluetooth-спама, исходящих от устройств Flipper Zero и Android.
Ранее стало известно о новой атаке Bluetooth LE (Bluetooth Low Energy, BLE) с помощью Flipper Zero, в ходе которой устройства Apple получали ложные уведомления о подключении по Bluetooth. Однако вскоре другие разработчики создали специальную прошивку для Flipper Zero, позволяющую осуществлять спам-атаки на смартфоны Android и ноутбуки Windows. Затем разработчик Саймон Данкельманн адаптировал атаку для приложения на Android, что позволило проводить атаки без использования Flipper Zero.
Посетители конференции Midwest FurFest 2023 ощутили на себе последствия этих атак. Многие столкнулись с проблемами в работе платежных терминалов Square, а в некоторых случаях возникли более серьезные угрозы, например, сбои в работе контроллеров инсулиновых помп. Пользователи слуховых аппаратов и устройств для мониторинга сердечного ритма также сообщали о нарушениях.
Исследователь из компании Greynoise под ником «remy» поделился информацией о рисках таких атак. Он предупредил, что BLE-спам может серьезно повлиять на здоровье жертв. Для медицинского оборудования с поддержкой BTLE даже незначительные нарушения могут ухудшить качество жизни пострадавших.
Хотя некоторые утверждают, что Apple тихо ввела меры противодействия атакам BLE в iOS 17.2, в Android эта проблема пока не решена. BleepingComputer провела тесты и обнаружила, что спам BLE с Android-устройства на iOS-устройства все еще работает после установки iOS 17.2. От Google пока не поступило ответа о планах по решению этой проблемы.
Проект Wall of Flippers (WoF) нацелен на обнаружение атакующих, проводящих спам-атаки Bluetooth LE, чтобы жертвы могли оперативно реагировать.
IT Дайджест / IT Новости / IT / Технологии
Проект позволяет привлечь виновника к ответственности за сбои в жизненно важном оборудовании.
Новый проект на Python под названием Wall of Flippers предназначен для обнаружения атак Bluetooth-спама, исходящих от устройств Flipper Zero и Android.
Ранее стало известно о новой атаке Bluetooth LE (Bluetooth Low Energy, BLE) с помощью Flipper Zero, в ходе которой устройства Apple получали ложные уведомления о подключении по Bluetooth. Однако вскоре другие разработчики создали специальную прошивку для Flipper Zero, позволяющую осуществлять спам-атаки на смартфоны Android и ноутбуки Windows. Затем разработчик Саймон Данкельманн адаптировал атаку для приложения на Android, что позволило проводить атаки без использования Flipper Zero.
Посетители конференции Midwest FurFest 2023 ощутили на себе последствия этих атак. Многие столкнулись с проблемами в работе платежных терминалов Square, а в некоторых случаях возникли более серьезные угрозы, например, сбои в работе контроллеров инсулиновых помп. Пользователи слуховых аппаратов и устройств для мониторинга сердечного ритма также сообщали о нарушениях.
Исследователь из компании Greynoise под ником «remy» поделился информацией о рисках таких атак. Он предупредил, что BLE-спам может серьезно повлиять на здоровье жертв. Для медицинского оборудования с поддержкой BTLE даже незначительные нарушения могут ухудшить качество жизни пострадавших.
Хотя некоторые утверждают, что Apple тихо ввела меры противодействия атакам BLE в iOS 17.2, в Android эта проблема пока не решена. BleepingComputer провела тесты и обнаружила, что спам BLE с Android-устройства на iOS-устройства все еще работает после установки iOS 17.2. От Google пока не поступило ответа о планах по решению этой проблемы.
Проект Wall of Flippers (WoF) нацелен на обнаружение атакующих, проводящих спам-атаки Bluetooth LE, чтобы жертвы могли оперативно реагировать.
IT Дайджест / IT Новости / IT / Технологии
🔥3👍1💯1
Европол обнаружил веб-скиммеры в 443 онлайн-магазинах
Европол уведомил владельцев более 400 интернет-магазинов о том, что их сайты взломаны и заражены вредоносными скриптами, которые воруют данные дебетовых и кредитных карты у людей, совершающих покупки.
Веб-скиммеры представляют собой небольшие JavaScript-сниппеты, которые внедряются на страницы оформления заказов или загружаются с удаленных ресурсов, чтобы избежать обнаружения. Такие вредоносы предназначены для перехвата и кражи данных платежных карт, имен и адресов доставки, которые затем передаются на серверы злоумышленников.
Впоследствии хакеры используют украденные данные для совершения несанкционированных транзакций (например, совершают покупки в сети) или перепродают информацию об украденных картах другим киберпреступникам в даркнете.
Правоохранители отмечают, что порой такие атаки могут оставаться незамеченными до нескольких месяцев, и киберпреступники могут успеть собрать большое количество данных (в зависимости от популярности взломанных интернет-магазинов).
Как теперь сообщают специалисты, в ходе двухмесячной международной операции, координируемой Европолом и возглавляемой властями Греции, правоохранительные органы из 17 стран мира (включая США, Великобританию, Германию, Колумбию, Испанию, Нидерланды и так далее), а также частные ИБ-компании, включая Group-IB и Sansec, обнаружили заражение веб-скиммерами на 443 сайтах.
Дополнительными подробностями этой операции поделилась компания Group-IB, сообщившая, что обнаружила 23 различных семейства JavaScript-снифферов, включая ATMZOW, health_check, FirstKiss, FakeGA, AngryBeaver, Inter и R3nin.
Исследователи пишут, что эти вредоносы отличаются скрытным поведением, например, используют Google Tag Manager для обновлений и имитируют код Google Analytics, чтобы избежать обнаружения при проверке кода сайта.
IT Дайджест / IT Новости / IT / Технологии
Европол уведомил владельцев более 400 интернет-магазинов о том, что их сайты взломаны и заражены вредоносными скриптами, которые воруют данные дебетовых и кредитных карты у людей, совершающих покупки.
Веб-скиммеры представляют собой небольшие JavaScript-сниппеты, которые внедряются на страницы оформления заказов или загружаются с удаленных ресурсов, чтобы избежать обнаружения. Такие вредоносы предназначены для перехвата и кражи данных платежных карт, имен и адресов доставки, которые затем передаются на серверы злоумышленников.
Впоследствии хакеры используют украденные данные для совершения несанкционированных транзакций (например, совершают покупки в сети) или перепродают информацию об украденных картах другим киберпреступникам в даркнете.
Правоохранители отмечают, что порой такие атаки могут оставаться незамеченными до нескольких месяцев, и киберпреступники могут успеть собрать большое количество данных (в зависимости от популярности взломанных интернет-магазинов).
Как теперь сообщают специалисты, в ходе двухмесячной международной операции, координируемой Европолом и возглавляемой властями Греции, правоохранительные органы из 17 стран мира (включая США, Великобританию, Германию, Колумбию, Испанию, Нидерланды и так далее), а также частные ИБ-компании, включая Group-IB и Sansec, обнаружили заражение веб-скиммерами на 443 сайтах.
Дополнительными подробностями этой операции поделилась компания Group-IB, сообщившая, что обнаружила 23 различных семейства JavaScript-снифферов, включая ATMZOW, health_check, FirstKiss, FakeGA, AngryBeaver, Inter и R3nin.
Исследователи пишут, что эти вредоносы отличаются скрытным поведением, например, используют Google Tag Manager для обновлений и имитируют код Google Analytics, чтобы избежать обнаружения при проверке кода сайта.
IT Дайджест / IT Новости / IT / Технологии
👍6❤1👌1
Группа Cyber Toufan ежедневно сливает до 16 Гб данных 49 крупнейших израильских компаний
Исследователи считают, что иранские хакеры «убивают двух зайцев», целясь еще и в США.
Как сообщает платформа киберразведки FalconFeedsio , недавно появившаяся иранская хакерская группировка Cyber Toufan опубликовала в сети похищенные данные 49 израильских компаний. По мнению экспертов, причиной массового хищения информации стал взлом организации Signature-IT, предоставляющей услуги хостинга около 40 фирмам по всей стране.
Cyber Toufan впервые заявила о себе 16 ноября 2023 года и с тех пор взяла на себя ответственность за взломы ряда крупных организаций. В частности, злоумышленники утверждают, что уничтожили более 1000 серверов и баз данных.
По данным FalconFeedsio, среди жертв этой утечки оказались Министерство инноваций, науки и технологии Израиля, Toyota Israel, Министерство социального обеспечения, IKEA Israel и многие другие.
Злоумышленники получили доступ к огромным массивам конфиденциальной информации компаний и госструктур. Каждый день они выкладывают в своем Telegram-канале архивы объемом от 700 Мб до 16 Гб, содержащие миллионы записей.
По мнению экспертов из компании Check Point Software Technologies , атакованные IT-фирмы стали целью хакеров не случайно. Некоторые из них работают на американский рынок и оказывают услуги зарубежным организациям. Например, Radware поставляет свои решения многим крупным компаниям в США.
Следовательно, взламывая эти израильские фирмы, иранские хакеры одновременно наносят ущерб и их американским клиентам, таким образом «убивая двух зайцев» — своих противников.
IT Дайджест / IT Новости / IT / Технологии
Исследователи считают, что иранские хакеры «убивают двух зайцев», целясь еще и в США.
Как сообщает платформа киберразведки FalconFeedsio , недавно появившаяся иранская хакерская группировка Cyber Toufan опубликовала в сети похищенные данные 49 израильских компаний. По мнению экспертов, причиной массового хищения информации стал взлом организации Signature-IT, предоставляющей услуги хостинга около 40 фирмам по всей стране.
Cyber Toufan впервые заявила о себе 16 ноября 2023 года и с тех пор взяла на себя ответственность за взломы ряда крупных организаций. В частности, злоумышленники утверждают, что уничтожили более 1000 серверов и баз данных.
По данным FalconFeedsio, среди жертв этой утечки оказались Министерство инноваций, науки и технологии Израиля, Toyota Israel, Министерство социального обеспечения, IKEA Israel и многие другие.
Злоумышленники получили доступ к огромным массивам конфиденциальной информации компаний и госструктур. Каждый день они выкладывают в своем Telegram-канале архивы объемом от 700 Мб до 16 Гб, содержащие миллионы записей.
По мнению экспертов из компании Check Point Software Technologies , атакованные IT-фирмы стали целью хакеров не случайно. Некоторые из них работают на американский рынок и оказывают услуги зарубежным организациям. Например, Radware поставляет свои решения многим крупным компаниям в США.
Следовательно, взламывая эти израильские фирмы, иранские хакеры одновременно наносят ущерб и их американским клиентам, таким образом «убивая двух зайцев» — своих противников.
IT Дайджест / IT Новости / IT / Технологии
👍5❤1💯1
Утечка исходного кода GTA 5: Rockstar Games потеряла контроль над данными
В канун Рождества стало известно о потенциальной утечке исходного кода популярной видеоигры Grand Theft Auto 5. Произошло это спустя год после атаки хакерской группы Lapsus$ на компанию Rockstar Games , в результате которой были украдены корпоративные данные.
Ссылки на скачивание исходного кода распространились несколькими способами: Discord, сайт в в даркнете и Telegram-канал, ранее использовавшийся хакерами для утечки данных Rockstar. В одном из Telegram-каналов, посвященных утечкам Grand Theft Auto, владелец канала по имени 'Phil' опубликовал ссылки на украденный исходный код, демонстрируя скриншот одной из папок.
Phil также выразил уважение хакеру Lapsus$ Ариону Куртаю, который ранее опубликовал пререлизные видео Grand Theft Auto 6 под псевдонимом 'teapotuberhacker'. Недавно Куртай был приговорен в Великобритании к неопределенному пребыванию в больнице за взлом Rockstar и Uber.
В 2022 году Rockstar Games была взломана членами группы Lapsus$, которые получили доступ к корпоративному серверу Slack и вики Confluence компании. Тогда хакеры заявили, что украли исходные коды и активы GTA 5 и GTA 6, включая тестовую сборку GTA 6, часть украденного контента была опубликована на форумах и в Telegram-канале. Также были опубликованы образцы исходного кода GTA 5 в качестве доказательства кражи данных.
Группа исследователей кибербезопасности vx-underground сообщила, что они общались со злоумышленником в Discord, который заявил, что утечка исходного кода произошла раньше ожидаемого срока.
Хотя специалисты издания BleepingComputer ознакомились с утечкой, которая, по всей видимости, является подлинным исходным кодом GTA 5, независимо проверить её подлинность не удалось. BleepingComputer связался с Rockstar по поводу утечки, но не получил ответа, вероятно, из-за праздников.
IT Дайджест / IT Новости / IT / Технологии
В канун Рождества стало известно о потенциальной утечке исходного кода популярной видеоигры Grand Theft Auto 5. Произошло это спустя год после атаки хакерской группы Lapsus$ на компанию Rockstar Games , в результате которой были украдены корпоративные данные.
Ссылки на скачивание исходного кода распространились несколькими способами: Discord, сайт в в даркнете и Telegram-канал, ранее использовавшийся хакерами для утечки данных Rockstar. В одном из Telegram-каналов, посвященных утечкам Grand Theft Auto, владелец канала по имени 'Phil' опубликовал ссылки на украденный исходный код, демонстрируя скриншот одной из папок.
Phil также выразил уважение хакеру Lapsus$ Ариону Куртаю, который ранее опубликовал пререлизные видео Grand Theft Auto 6 под псевдонимом 'teapotuberhacker'. Недавно Куртай был приговорен в Великобритании к неопределенному пребыванию в больнице за взлом Rockstar и Uber.
В 2022 году Rockstar Games была взломана членами группы Lapsus$, которые получили доступ к корпоративному серверу Slack и вики Confluence компании. Тогда хакеры заявили, что украли исходные коды и активы GTA 5 и GTA 6, включая тестовую сборку GTA 6, часть украденного контента была опубликована на форумах и в Telegram-канале. Также были опубликованы образцы исходного кода GTA 5 в качестве доказательства кражи данных.
Группа исследователей кибербезопасности vx-underground сообщила, что они общались со злоумышленником в Discord, который заявил, что утечка исходного кода произошла раньше ожидаемого срока.
Хотя специалисты издания BleepingComputer ознакомились с утечкой, которая, по всей видимости, является подлинным исходным кодом GTA 5, независимо проверить её подлинность не удалось. BleepingComputer связался с Rockstar по поводу утечки, но не получил ответа, вероятно, из-за праздников.
IT Дайджест / IT Новости / IT / Технологии
👍5❤1
Российские телеоператоры будут обмениваться трафиком с Google напрямую
С января 2024 года Google перестанет передавать трафик в Россию через серверы маршрутизации в MSK-IX и Piter-IX. Чтобы снизить негативное влияние на загрузку контента, техногигант предложил российским операторам подключиться к его сетям напрямую.
По всей видимости, Google решила повысить удобство контроля маршрутизации и заодно сэкономить на оплате трафика в точках обмена (IX, IXP, NAP). Как выяснил РБК, письма с предложением использовать прямую связь были разосланы не только телеоператорам России, но и в другие страны.
Крупные российские провайдеры — «Ростелеком», «Транстелеком» — имеют прямое подключение к Google в Москве и Санкт-Петербурге и по мере необходимости расширяют эту связь (увеличивают пропускную способность, наращивая число стыков). Они также установили серверы Google Global Cache для ускорения загрузки контента, снижения нагрузки на сети и расходов на передачу трафика.
Поскольку Google перестала обслуживать серверы в Россию, Global Cache начали стареть и сбоить, а трафик тем временем растет и требует расширения инфраструктуры. Подобная ситуация грозит снижением качества доставки контента в регионах (больше прочих пострадает доступ к YouTube).
Чтобы этого не произошло, Google предложила российским операторам изменить формат обмена трафиком, организовав прямой стык в Питере или Москве (а на Дальнем Востоке возможен вариант получения трафика из Японии). При этом техногигант планирует отказаться от поддержки серверов маршрутизации, работающих в точках обмена; о модернизации Global Cache в разосланном письме речи не идет.
Специалисты считают, что организовать прямую связь с сетями Google тем, у кого ее нет, будет несложно: придется просто изменить настройки роутеров. Однако количество новых прямых подключений может оказаться неподъемным для самого поставщика контента, который к тому же работает из-за рубежа, что затрудняет взаимодействие.
IT Дайджест / IT Новости / IT / Технологии
С января 2024 года Google перестанет передавать трафик в Россию через серверы маршрутизации в MSK-IX и Piter-IX. Чтобы снизить негативное влияние на загрузку контента, техногигант предложил российским операторам подключиться к его сетям напрямую.
По всей видимости, Google решила повысить удобство контроля маршрутизации и заодно сэкономить на оплате трафика в точках обмена (IX, IXP, NAP). Как выяснил РБК, письма с предложением использовать прямую связь были разосланы не только телеоператорам России, но и в другие страны.
Крупные российские провайдеры — «Ростелеком», «Транстелеком» — имеют прямое подключение к Google в Москве и Санкт-Петербурге и по мере необходимости расширяют эту связь (увеличивают пропускную способность, наращивая число стыков). Они также установили серверы Google Global Cache для ускорения загрузки контента, снижения нагрузки на сети и расходов на передачу трафика.
Поскольку Google перестала обслуживать серверы в Россию, Global Cache начали стареть и сбоить, а трафик тем временем растет и требует расширения инфраструктуры. Подобная ситуация грозит снижением качества доставки контента в регионах (больше прочих пострадает доступ к YouTube).
Чтобы этого не произошло, Google предложила российским операторам изменить формат обмена трафиком, организовав прямой стык в Питере или Москве (а на Дальнем Востоке возможен вариант получения трафика из Японии). При этом техногигант планирует отказаться от поддержки серверов маршрутизации, работающих в точках обмена; о модернизации Global Cache в разосланном письме речи не идет.
Специалисты считают, что организовать прямую связь с сетями Google тем, у кого ее нет, будет несложно: придется просто изменить настройки роутеров. Однако количество новых прямых подключений может оказаться неподъемным для самого поставщика контента, который к тому же работает из-за рубежа, что затрудняет взаимодействие.
IT Дайджест / IT Новости / IT / Технологии
👍7
Forwarded from Life-Hack - Хакер
Полный отчет Github за 2023 о состоянии проектов.
GitHub только что опубликовал свой последний отчет о состоянии открых проектов.
Они выделили основные тенденции:
🔸 Разработчики все чаще используют генеративный ИИ: Все больше разработчиков работают с моделями OpenAI ( 92% ) и с моделями других ИИ-компаний;
🔸 Растет тренд на работу с облачными приложениями:
Рабочие процессы инфраструктуры кода (IaC), основанные на Git, используются все большим количеством декларативных языков; развертывание облаков становится стандартом; резко возросло количество использования разработчиками Dockerfiles, контейнеров, IaC и других облачных нативных технологий.
🔸 В 2023 году на GitHub было создано 98 млн новых проектов (за 2022 год – 85.7 млн, за 2021 – 61 млн, за 2020 – 60 млн). Общее число проектов достигло отметки в 420 млн (+27%), а число публично доступных репозиториев – 284 млн (+22%).
🔸 За год добавлено около 65 тысяч новых проектов, связанных с машинным обучением.
🔸 Javascript остается самым популярным язком. Второе место сохраняет за собой Python.Популярность TypeScript выросла на 37 %. и он вытеснил на четвёртое место язык Java. 5, 6 и 7 места удержали за собой языки С#, C++ и PHP. На восьмое место поднялся язык С, который вытеснил на девятое место Shell. Десятое место занял Go.
🔸 𝗥𝘂𝘀𝘁 растет быстрее всех остальных языков в этом году (рост на 40 % по сравнению с предыдущим годом).
🔸 𝟰.𝟯 миилиона открытых и приватных репозиториев используют 𝗗𝗼𝗰𝗸𝗲𝗿𝗳𝗶𝗹𝗲𝘀. Это является следcтвием роста использования Terraform и других облачных нативных технологий.
🔸 Аудитория GitHub за год выросла на 20.2 млн пользователей (+26%) и теперь достигает 114 млн. На первом месте по числу разработчиков находится США, на втором – Индия, на третьем – Китай.
🔸 Сингапур занял первое место по количеству новых разработчиков в этом году и занимает первое место в мире по соотношению числа разработчиков к общей численности населения.
Life-Hack - Linux/Хакинг/Хакер/ИБ/Osint
GitHub только что опубликовал свой последний отчет о состоянии открых проектов.
Они выделили основные тенденции:
🔸 Разработчики все чаще используют генеративный ИИ: Все больше разработчиков работают с моделями OpenAI ( 92% ) и с моделями других ИИ-компаний;
🔸 Растет тренд на работу с облачными приложениями:
Рабочие процессы инфраструктуры кода (IaC), основанные на Git, используются все большим количеством декларативных языков; развертывание облаков становится стандартом; резко возросло количество использования разработчиками Dockerfiles, контейнеров, IaC и других облачных нативных технологий.
🔸 В 2023 году на GitHub было создано 98 млн новых проектов (за 2022 год – 85.7 млн, за 2021 – 61 млн, за 2020 – 60 млн). Общее число проектов достигло отметки в 420 млн (+27%), а число публично доступных репозиториев – 284 млн (+22%).
🔸 За год добавлено около 65 тысяч новых проектов, связанных с машинным обучением.
🔸 Javascript остается самым популярным язком. Второе место сохраняет за собой Python.Популярность TypeScript выросла на 37 %. и он вытеснил на четвёртое место язык Java. 5, 6 и 7 места удержали за собой языки С#, C++ и PHP. На восьмое место поднялся язык С, который вытеснил на девятое место Shell. Десятое место занял Go.
🔸 𝗥𝘂𝘀𝘁 растет быстрее всех остальных языков в этом году (рост на 40 % по сравнению с предыдущим годом).
🔸 𝟰.𝟯 миилиона открытых и приватных репозиториев используют 𝗗𝗼𝗰𝗸𝗲𝗿𝗳𝗶𝗹𝗲𝘀. Это является следcтвием роста использования Terraform и других облачных нативных технологий.
🔸 Аудитория GitHub за год выросла на 20.2 млн пользователей (+26%) и теперь достигает 114 млн. На первом месте по числу разработчиков находится США, на втором – Индия, на третьем – Китай.
🔸 Сингапур занял первое место по количеству новых разработчиков в этом году и занимает первое место в мире по соотношению числа разработчиков к общей численности населения.
Life-Hack - Linux/Хакинг/Хакер/ИБ/Osint
👍6❤3💯1
Вредоносный плагин для WordPress создает фальшивых администраторов и ворует данные
Специалисты из компании Sucuri обнаружили плагин для WordPress, который способен создавать фальшивых пользователей-администраторов и внедрять на сайты вредоносный JavaScript-код для кражи информации о банковских картах.
«Как и многие другие вредоносные и мошеннические плагины для WordPress, этот экземпляр содержит вводящую в заблуждение информацию в верхней части файла, чтобы придать ему видимость легитимности, — рассказывают эксперты. — В данном случае в комментариях утверждается, что код связан с WordPress Cache Addons».
Как правило, вредоносные плагины попадают на WordPress-сайты либо через взломанного пользователя-администратора, либо через эксплуатацию уязвимостей в других, уже установленных плагинах.
Эксперты пишут, что после установки плагин копирует себя в каталог mu-plugins (или must-use plugins), чтобы включаться автоматически и скрывать свое присутствие.
Кроме того, вредоносный плагин позволяет создавать и скрывать от владельцев сайтов новые аккаунты администраторов, чтобы не привлекать внимания к своей активности и сохранять доступ к ресурсу на протяжении длительного времени.
IT Дайджест / IT Новости / IT / Технологии
Специалисты из компании Sucuri обнаружили плагин для WordPress, который способен создавать фальшивых пользователей-администраторов и внедрять на сайты вредоносный JavaScript-код для кражи информации о банковских картах.
«Как и многие другие вредоносные и мошеннические плагины для WordPress, этот экземпляр содержит вводящую в заблуждение информацию в верхней части файла, чтобы придать ему видимость легитимности, — рассказывают эксперты. — В данном случае в комментариях утверждается, что код связан с WordPress Cache Addons».
Как правило, вредоносные плагины попадают на WordPress-сайты либо через взломанного пользователя-администратора, либо через эксплуатацию уязвимостей в других, уже установленных плагинах.
Эксперты пишут, что после установки плагин копирует себя в каталог mu-plugins (или must-use plugins), чтобы включаться автоматически и скрывать свое присутствие.
Кроме того, вредоносный плагин позволяет создавать и скрывать от владельцев сайтов новые аккаунты администраторов, чтобы не привлекать внимания к своей активности и сохранять доступ к ресурсу на протяжении длительного времени.
IT Дайджест / IT Новости / IT / Технологии
👍2❤1
Sticky Werewolf атакуют российские фармкомпании под видом МЧС
Медицинский сектор страны второй раз за месяц становится мишенью хакеров.
По данным компании F.A.C.C.T., 22 декабря хакерская группировка Sticky Werewolf предприняла повторную попытку атаковать российскую фармацевтическую компанию.
На этот раз злоумышленники отправили целевой компании фишинговое письмо от имени Министерства по чрезвычайным ситуациям РФ. В письме говорилось о якобы вступившем в силу новом приказе ведомства, с просьбой проинструктировать сотрудников о порядке действий.
Однако внимательный анализ письма выявил несоответствия: оно было отправлено с бесплатного почтового сервиса, а фамилия в адресе не совпадала с подписью исполнителя.
В рамках атаки злоумышленники планировали использовать вредоносную программу Darktrack RAT, позволяющую получить удаленный доступ к системе жертвы.
В начале декабря та же группировка атаковала российский научно-исследовательский институт, занимающийся разработкой вакцин. Рассылка тогда также велась от имени Минстроя РФ.
Sticky Werewolf известна проведением целевых атак на госучреждения и финансовые организации в России и Белоруссии. С апреля по октябрь 2023 года группировка провела не менее 30 атак. В качестве первоначального вектора атак Sticky Werewolf использует фишинговые рассылки по электронной почте со ссылками на вредоносные файлы, а также такие инструменты, как трояны удаленного доступа Darktrack RAT и Ozone RAT, а также стилер MetaStealer (вариация RedLine Stealer).
IT Дайджест / IT Новости / IT / Технологии
Медицинский сектор страны второй раз за месяц становится мишенью хакеров.
По данным компании F.A.C.C.T., 22 декабря хакерская группировка Sticky Werewolf предприняла повторную попытку атаковать российскую фармацевтическую компанию.
На этот раз злоумышленники отправили целевой компании фишинговое письмо от имени Министерства по чрезвычайным ситуациям РФ. В письме говорилось о якобы вступившем в силу новом приказе ведомства, с просьбой проинструктировать сотрудников о порядке действий.
Однако внимательный анализ письма выявил несоответствия: оно было отправлено с бесплатного почтового сервиса, а фамилия в адресе не совпадала с подписью исполнителя.
В рамках атаки злоумышленники планировали использовать вредоносную программу Darktrack RAT, позволяющую получить удаленный доступ к системе жертвы.
В начале декабря та же группировка атаковала российский научно-исследовательский институт, занимающийся разработкой вакцин. Рассылка тогда также велась от имени Минстроя РФ.
Sticky Werewolf известна проведением целевых атак на госучреждения и финансовые организации в России и Белоруссии. С апреля по октябрь 2023 года группировка провела не менее 30 атак. В качестве первоначального вектора атак Sticky Werewolf использует фишинговые рассылки по электронной почте со ссылками на вредоносные файлы, а также такие инструменты, как трояны удаленного доступа Darktrack RAT и Ozone RAT, а также стилер MetaStealer (вариация RedLine Stealer).
IT Дайджест / IT Новости / IT / Технологии
👍4❤1
Плохо защищенные серверы SSH под Linux подвергаются атакам с целью майнинга криптовалют.
Неудовлетворительно защищенные серверы SSH под управлением Linux становятся объектом атак со стороны злоумышленников, которые устанавливают на них сканеры портов и инструменты для словарных атак с целью нападения на другие уязвимые серверы и вовлечения их в сеть для проведения майнинга криптовалют и атак распределенного отказа в обслуживании (DDoS).
"Угрозы могут также выбрать установку только сканеров и продавать скомпрометированные IP-адреса и учетные данные на темных веб-ресурсах", - отмечено в отчете AhnLab Security Emergency Response Center (ASEC), опубликованном во вторник.
В рамках этих атак злоумышленники пытаются угадать учетные данные SSH-сервера, пробегаясь по списку широко используемых комбинаций имен пользователей и паролей с использованием метода, известного как брутфорс.
В случае успешной попытки брутфорса, злоумышленник развертывает другие вредоносные программы, включая сканеры, для поиска других уязвимых систем в интернете.
Еще одним заметным аспектом атаки является выполнение команд, таких как "grep -c ^processor /proc/cpuinfo" для определения количества ядер ЦП.
"Эти инструменты, вероятно, были созданы командой PRG old Team - отметили в ASEC, добавив, что есть свидетельства использования подобного вредоносного программного обеспечения уже с 2021 года.
Для снижения рисков, связанных с такими атаками, рекомендуется использовать пароли, сложные для угадывания, периодически изменять их и поддерживать системы в актуальном состоянии.
IT Дайджест / IT Новости / IT / Технологии
Неудовлетворительно защищенные серверы SSH под управлением Linux становятся объектом атак со стороны злоумышленников, которые устанавливают на них сканеры портов и инструменты для словарных атак с целью нападения на другие уязвимые серверы и вовлечения их в сеть для проведения майнинга криптовалют и атак распределенного отказа в обслуживании (DDoS).
"Угрозы могут также выбрать установку только сканеров и продавать скомпрометированные IP-адреса и учетные данные на темных веб-ресурсах", - отмечено в отчете AhnLab Security Emergency Response Center (ASEC), опубликованном во вторник.
В рамках этих атак злоумышленники пытаются угадать учетные данные SSH-сервера, пробегаясь по списку широко используемых комбинаций имен пользователей и паролей с использованием метода, известного как брутфорс.
В случае успешной попытки брутфорса, злоумышленник развертывает другие вредоносные программы, включая сканеры, для поиска других уязвимых систем в интернете.
Еще одним заметным аспектом атаки является выполнение команд, таких как "grep -c ^processor /proc/cpuinfo" для определения количества ядер ЦП.
"Эти инструменты, вероятно, были созданы командой PRG old Team - отметили в ASEC, добавив, что есть свидетельства использования подобного вредоносного программного обеспечения уже с 2021 года.
Для снижения рисков, связанных с такими атаками, рекомендуется использовать пароли, сложные для угадывания, периодически изменять их и поддерживать системы в актуальном состоянии.
IT Дайджест / IT Новости / IT / Технологии
❤2🔥2
Атака на Парламент Албании привела к сбою в работе нескольких правительственных систем
Подозрения падают на иранскую группу Homeland Justice, но что если угроза была внутренней?
26 декабря Парламент Албании заявил, что подвергся масштабной кибератаке. Хакеры пытались получить доступ к конфиденциальным данным правительственной информационной системы, что вызвало временный сбой в её работе. В заявлении отмечается, что на данный момент нет сведений о том, что злоумышленники сумели завладеть какой-либо ценной информацией и использовать ее в своих целях. Эксперты проводят тщательное расследование инцидента и работают над восстановлением инфраструктуры.
По сообщениям местных СМИ, в понедельник аналогичным кибератакам подверглись один из крупнейших в стране операторов мобильной связи и национальная авиакомпания, хотя эту информацию пока не удалось подтвердить из независимых источников. Предположительно, организаторами атак является хакерская группировка Homeland Justice (Родина Справедливость), базирующаяся в Иране.
Напомним, что в июле 2022 года Албания уже сталкивалась с подобным инцидентом, ответственность за который власти страны возложили на спецслужбы Ирана. Та атака произошла на фоне предоставления Албанией убежища членам оппозиционной группы Моджахедин-э Халк и рассматривалась как ответный удар со стороны Ирана. После этого страны полностью разорвали дипломатические отношения.
Министерство иностранных дел Ирана отрицает какую-либо причастность к атакам на Албанию. Тегеран обвиняет в них самих моджахедов, заявляя, что Иран регулярно подвергается атакам со сторон оппозиционеров.
IT Дайджест / IT Новости / IT / Технологии
Подозрения падают на иранскую группу Homeland Justice, но что если угроза была внутренней?
26 декабря Парламент Албании заявил, что подвергся масштабной кибератаке. Хакеры пытались получить доступ к конфиденциальным данным правительственной информационной системы, что вызвало временный сбой в её работе. В заявлении отмечается, что на данный момент нет сведений о том, что злоумышленники сумели завладеть какой-либо ценной информацией и использовать ее в своих целях. Эксперты проводят тщательное расследование инцидента и работают над восстановлением инфраструктуры.
По сообщениям местных СМИ, в понедельник аналогичным кибератакам подверглись один из крупнейших в стране операторов мобильной связи и национальная авиакомпания, хотя эту информацию пока не удалось подтвердить из независимых источников. Предположительно, организаторами атак является хакерская группировка Homeland Justice (Родина Справедливость), базирующаяся в Иране.
Напомним, что в июле 2022 года Албания уже сталкивалась с подобным инцидентом, ответственность за который власти страны возложили на спецслужбы Ирана. Та атака произошла на фоне предоставления Албанией убежища членам оппозиционной группы Моджахедин-э Халк и рассматривалась как ответный удар со стороны Ирана. После этого страны полностью разорвали дипломатические отношения.
Министерство иностранных дел Ирана отрицает какую-либо причастность к атакам на Албанию. Тегеран обвиняет в них самих моджахедов, заявляя, что Иран регулярно подвергается атакам со сторон оппозиционеров.
IT Дайджест / IT Новости / IT / Технологии
👍4👏3💯2
NASA опубликовало руководство по кибербезопасности для космических миссий
Национального управления по аэронавтике и исследованию космического пространства США (NASA) выпустило первую версию руководства по лучшим практикам кибербезопасности в космосе, сообщается в пресс-релизе на сайте ведомства.
Его цель - укрепить усилия по обеспечению кибербезопасности как государственных, так и частных космических миссий.
Данное руководство стало важной вехой в обязательстве NASA гарантировать долговечность и живучесть своих космических миссий. Оно должно послужить ресурсом для повышения их безопасности и надежности.
Руководство призвано принести пользу не только NASA, но и международным партнерам агентства, аэрокосмической промышленности и другим организациям, работающим в сфере освоения космоса. Его рекомендации подходят для обеспечения безопасности космических миссий, программ и проектов любого масштаба.
«Мы осознаем важность защиты наших космических миссий от потенциальных угроз и уязвимостей», - подчеркнула в пресс-релизе Мисти Финикл, заместитель главного советника НАСА по защите корпоративных систем.
По ее словам, «данное руководство - результат коллективных усилий по выработке принципов, которые позволят выявлять и смягчать риски, гарантируя непрерывный успех миссий как на орбите Земли, так и за ее пределами».
IT Дайджест / IT Новости / IT / Технологии
Национального управления по аэронавтике и исследованию космического пространства США (NASA) выпустило первую версию руководства по лучшим практикам кибербезопасности в космосе, сообщается в пресс-релизе на сайте ведомства.
Его цель - укрепить усилия по обеспечению кибербезопасности как государственных, так и частных космических миссий.
Данное руководство стало важной вехой в обязательстве NASA гарантировать долговечность и живучесть своих космических миссий. Оно должно послужить ресурсом для повышения их безопасности и надежности.
Руководство призвано принести пользу не только NASA, но и международным партнерам агентства, аэрокосмической промышленности и другим организациям, работающим в сфере освоения космоса. Его рекомендации подходят для обеспечения безопасности космических миссий, программ и проектов любого масштаба.
«Мы осознаем важность защиты наших космических миссий от потенциальных угроз и уязвимостей», - подчеркнула в пресс-релизе Мисти Финикл, заместитель главного советника НАСА по защите корпоративных систем.
По ее словам, «данное руководство - результат коллективных усилий по выработке принципов, которые позволят выявлять и смягчать риски, гарантируя непрерывный успех миссий как на орбите Земли, так и за ее пределами».
IT Дайджест / IT Новости / IT / Технологии
👍4❤1🔥1
Обновите свой Linux-сервер: обнаружен рост атак с установкой DDoS-ботов и криптомайнеров
Специалисты Центра экстренного реагирования на инциденты безопасности AhnLab (Security Emergency Response Center, ASEC) предупреждают о росте атак, нацеленных на плохо управляемые SSH-серверы Linux, в первую очередь направленных на установку DDoS-ботов и майнера криптовалюты CoinMiner.
На этапе разведки злоумышленники выполняют сканирование IP-адресов в поисках серверов с активированной службой SSH или портом 22, а затем запускают атаку полным перебором (брутфорс) или атаку по словарю для получения учетных данных. Киберпреступники также могут устанавливать вредоносное ПО для сканирования, выполнять атаки методом перебора и продавать взломанные IP-адреса и учетные данные в даркнете.
Распространенные вредоносные программы, используемые для атак на плохо управляемые SSH-серверы Linux, включают боты ShellBot, Tsunami, ChinaZ DDoS Bot и криптомайнер XMRig.
После успешного входа в систему злоумышленник сначала выполнил следующую команду, чтобы проверить общее количество ядер ЦП.
> grep -c ^processor /proc/cpuinfo
Использование этой команды предполагает, что атакующий оценивал вычислительную мощность системы, возможно, чтобы понять её способности для запуска определенных типов вредоносных программ или инструментов атаки.
Затем киберпреступник снова вошел в систему, используя те же учетные данные, и загрузил сжатый файл. Сжатый файл содержит сканер портов и инструмент атаки по словарю SSH. Кроме того, можно увидеть команды, случайно введенные атакующим, например «cd /ev/network» и «unaem 0a».
В ASEC полагают, что использованные в атаках средства основаны на инструментах, созданных старой командой PRG. Каждый злоумышленник создал свою собственную версию инструментов, модифицировав их.
IT Дайджест / IT Новости / IT / Технологии
Специалисты Центра экстренного реагирования на инциденты безопасности AhnLab (Security Emergency Response Center, ASEC) предупреждают о росте атак, нацеленных на плохо управляемые SSH-серверы Linux, в первую очередь направленных на установку DDoS-ботов и майнера криптовалюты CoinMiner.
На этапе разведки злоумышленники выполняют сканирование IP-адресов в поисках серверов с активированной службой SSH или портом 22, а затем запускают атаку полным перебором (брутфорс) или атаку по словарю для получения учетных данных. Киберпреступники также могут устанавливать вредоносное ПО для сканирования, выполнять атаки методом перебора и продавать взломанные IP-адреса и учетные данные в даркнете.
Распространенные вредоносные программы, используемые для атак на плохо управляемые SSH-серверы Linux, включают боты ShellBot, Tsunami, ChinaZ DDoS Bot и криптомайнер XMRig.
После успешного входа в систему злоумышленник сначала выполнил следующую команду, чтобы проверить общее количество ядер ЦП.
> grep -c ^processor /proc/cpuinfo
Использование этой команды предполагает, что атакующий оценивал вычислительную мощность системы, возможно, чтобы понять её способности для запуска определенных типов вредоносных программ или инструментов атаки.
Затем киберпреступник снова вошел в систему, используя те же учетные данные, и загрузил сжатый файл. Сжатый файл содержит сканер портов и инструмент атаки по словарю SSH. Кроме того, можно увидеть команды, случайно введенные атакующим, например «cd /ev/network» и «unaem 0a».
В ASEC полагают, что использованные в атаках средства основаны на инструментах, созданных старой командой PRG. Каждый злоумышленник создал свою собственную версию инструментов, модифицировав их.
IT Дайджест / IT Новости / IT / Технологии
👍5
Новый бэкдор прячется в калькуляторах и счетчиках шагов, чтобы шпионить за пользователями Android
Приложения с вредоносом Xamalicious были установлены через Google Play уже более 327 000 раз.
Аналитики из компании McAfee выявили новый вредоносный бэкдор для Android, получивший название Xamalicious . По информации специалистов, он был разработан на основе открытой мобильной платформы Xamarin и использует разрешения доступа в операционной системе для достижения своих целей.
Xamalicious собирает метаданные о системе и связывается с командным сервером для получения вторичной вредоносной нагрузки. Но сначала программа проверяет, подходит ли устройство злоумышленникам для их мошеннических операций. Второй вредоносный модуль внедряется незаметно в виде DLL-библиотеки и позволяет хакерам получить полный доступ и контроль над зараженным смартфоном.
После захвата контроля бэкдор может тайно выполнять различные мошеннические действия: имитировать клики по рекламе, устанавливать приложения без ведома пользователя, собирать конфиденциальные данные и другие команды, позволяющие получать незаконную прибыль.
Специалисты McAfee выявили 25 приложений с активной угрозой Xamalicious. Некоторые из них распространялись через официальный магазин Google Play с середины 2020 года и были установлены более 327 000 раз. Среди зараженных программ есть как популярные приложения для гороскопов и гаданий, так и утилиты для настройки звука, калькуляторы, счетчики шагов и другие повседневные инструменты.
Для сокрытия своей активности преступники тщательно шифруют всю связь между зараженным устройством и командным сервером. Помимо HTTPS-шифрования, используется JSON Web Encryption с алгоритмом RSA-OAEP.
Согласно заявлению McAfee, была установлена связь между вредоносной программой Xamalicious и приложением Cash Magnet, предназначенным для мошенничества с интернет-рекламой. Cash Magnet используется для массовых скачиваний приложений и имитации кликов по баннерам.
IT Дайджест / IT Новости / IT / Технологии
Приложения с вредоносом Xamalicious были установлены через Google Play уже более 327 000 раз.
Аналитики из компании McAfee выявили новый вредоносный бэкдор для Android, получивший название Xamalicious . По информации специалистов, он был разработан на основе открытой мобильной платформы Xamarin и использует разрешения доступа в операционной системе для достижения своих целей.
Xamalicious собирает метаданные о системе и связывается с командным сервером для получения вторичной вредоносной нагрузки. Но сначала программа проверяет, подходит ли устройство злоумышленникам для их мошеннических операций. Второй вредоносный модуль внедряется незаметно в виде DLL-библиотеки и позволяет хакерам получить полный доступ и контроль над зараженным смартфоном.
После захвата контроля бэкдор может тайно выполнять различные мошеннические действия: имитировать клики по рекламе, устанавливать приложения без ведома пользователя, собирать конфиденциальные данные и другие команды, позволяющие получать незаконную прибыль.
Специалисты McAfee выявили 25 приложений с активной угрозой Xamalicious. Некоторые из них распространялись через официальный магазин Google Play с середины 2020 года и были установлены более 327 000 раз. Среди зараженных программ есть как популярные приложения для гороскопов и гаданий, так и утилиты для настройки звука, калькуляторы, счетчики шагов и другие повседневные инструменты.
Для сокрытия своей активности преступники тщательно шифруют всю связь между зараженным устройством и командным сервером. Помимо HTTPS-шифрования, используется JSON Web Encryption с алгоритмом RSA-OAEP.
Согласно заявлению McAfee, была установлена связь между вредоносной программой Xamalicious и приложением Cash Magnet, предназначенным для мошенничества с интернет-рекламой. Cash Magnet используется для массовых скачиваний приложений и имитации кликов по баннерам.
IT Дайджест / IT Новости / IT / Технологии
🤯2👍1
Жизни пациентов в реальной опасности: вымогательский софт LockBit парализовал работу трёх немецких больниц
Немецкая сеть больниц Katholische Hospitalvereinigung Ostwestfalen (KHO) подтвердила , что недавние нарушения в работе трёх больниц в Билефельде, Реда-Виденбрюке и Херфорде были вызваны атакой программы-вымогателя Lockbit. Атака произошла ранним утром субботы 24 декабря, серьёзно повлияв на системы, обеспечивающие работу этих медицинских учреждений.
Согласно заявлению больниц, неизвестные лица получили доступ к их IT-инфраструктуре и зашифровали данные. Предварительный анализ показал, что это была кибератака с использованием программы-вымогателя Lockbit 3.0. Время восстановления систем пока неизвестно.
В качестве меры безопасности, сразу после обнаружения атаки, все системы были отключены, а все необходимые органы и учреждения проинформированы.
В настоящее время ведётся расследование, и ещё не установлено полный объем ущерба и были ли похищены данные.
Кибератакой были затронуты три больницы, входящие в сеть KHO. Важно отметить, что каждая из них играет ключевую роль в предоставлении медицинских услуг в своём регионе, поэтому атака на их IT-системы может иметь серьёзные последствия для людей, оказавшихся в критической ситуации.
В заявлении KHO указано, что лечение пациентов продолжается в обычном режиме, несмотря на некоторые технические ограничения. Восстановление резервных копий позволило сохранить доступ к основной информации о пациентах.
Однако услуги скорой помощи в этих трёх больницах временно недоступны, что может привести к критическим задержкам в оказании неотложной медицинской помощи.
IT Дайджест / IT Новости / IT / Технологии
Немецкая сеть больниц Katholische Hospitalvereinigung Ostwestfalen (KHO) подтвердила , что недавние нарушения в работе трёх больниц в Билефельде, Реда-Виденбрюке и Херфорде были вызваны атакой программы-вымогателя Lockbit. Атака произошла ранним утром субботы 24 декабря, серьёзно повлияв на системы, обеспечивающие работу этих медицинских учреждений.
Согласно заявлению больниц, неизвестные лица получили доступ к их IT-инфраструктуре и зашифровали данные. Предварительный анализ показал, что это была кибератака с использованием программы-вымогателя Lockbit 3.0. Время восстановления систем пока неизвестно.
В качестве меры безопасности, сразу после обнаружения атаки, все системы были отключены, а все необходимые органы и учреждения проинформированы.
В настоящее время ведётся расследование, и ещё не установлено полный объем ущерба и были ли похищены данные.
Кибератакой были затронуты три больницы, входящие в сеть KHO. Важно отметить, что каждая из них играет ключевую роль в предоставлении медицинских услуг в своём регионе, поэтому атака на их IT-системы может иметь серьёзные последствия для людей, оказавшихся в критической ситуации.
В заявлении KHO указано, что лечение пациентов продолжается в обычном режиме, несмотря на некоторые технические ограничения. Восстановление резервных копий позволило сохранить доступ к основной информации о пациентах.
Однако услуги скорой помощи в этих трёх больницах временно недоступны, что может привести к критическим задержкам в оказании неотложной медицинской помощи.
IT Дайджест / IT Новости / IT / Технологии
👍3😢3
Проблемы с доступом к мессенджеру начались около 20:15 по МСК.
IT Дайджест / IT Новости / IT / Технологии
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4🔥1
'Режим Илона' в Tesla взломан берлинскими белыми хакерами
Узнайте, как студенты из Берлина смогли обнаружить скрытый режим в системе автопилота Tesla.
В Германии, три аспиранта Технического университета Берлина успешно провели взлом автопилота Tesla, раскрыв при этом существование так называемого "режима Илона" и получив уникальный взгляд на то, как учится система искусственного интеллекта автомобилей. Этот прорыв в области кибербезопасности особенно выделяется тем, насколько легко студентам удалось получить доступ к защищенной плате: они потратили всего несколько сотен евро на инструменты и приобрели плату у местного дилера металлолома.
В ходе своего исследования студенты обнаружили, что операционная система автомобиля описывает приближающихся велосипедистов и пешеходов как "угрозу". Также они смогли реконструировать видеозаписи поездок предыдущего владельца автомобиля и даже восстановить данные GPS.
Особый интерес вызвал так называемый "режим Илона", который позволяет автомобилю функционировать в автономном режиме без необходимости держать руки на руле. Несмотря на открытия, исследователи отметили, что частным пользователям угрозы пока не представляет. Для вмешательства потребуется физический доступ к плате, что обычно возможно только в специализированных мастерских.
Эти результаты поднимают вопросы о безопасности электромобилей и необходимости дополнительных мер защиты от будущих уязвимостей. Студенты планируют дальнейшее обсуждение своих результатов на конгрессе Chaos Computer Club в Гамбурге. Несмотря на то, что они сообщили о найденной уязвимости компании Tesla заранее, компания пока не ответила на запросы о комментариях.
IT Дайджест / IT Новости / IT / Технологии
Узнайте, как студенты из Берлина смогли обнаружить скрытый режим в системе автопилота Tesla.
В Германии, три аспиранта Технического университета Берлина успешно провели взлом автопилота Tesla, раскрыв при этом существование так называемого "режима Илона" и получив уникальный взгляд на то, как учится система искусственного интеллекта автомобилей. Этот прорыв в области кибербезопасности особенно выделяется тем, насколько легко студентам удалось получить доступ к защищенной плате: они потратили всего несколько сотен евро на инструменты и приобрели плату у местного дилера металлолома.
В ходе своего исследования студенты обнаружили, что операционная система автомобиля описывает приближающихся велосипедистов и пешеходов как "угрозу". Также они смогли реконструировать видеозаписи поездок предыдущего владельца автомобиля и даже восстановить данные GPS.
Особый интерес вызвал так называемый "режим Илона", который позволяет автомобилю функционировать в автономном режиме без необходимости держать руки на руле. Несмотря на открытия, исследователи отметили, что частным пользователям угрозы пока не представляет. Для вмешательства потребуется физический доступ к плате, что обычно возможно только в специализированных мастерских.
Эти результаты поднимают вопросы о безопасности электромобилей и необходимости дополнительных мер защиты от будущих уязвимостей. Студенты планируют дальнейшее обсуждение своих результатов на конгрессе Chaos Computer Club в Гамбурге. Несмотря на то, что они сообщили о найденной уязвимости компании Tesla заранее, компания пока не ответила на запросы о комментариях.
IT Дайджест / IT Новости / IT / Технологии
🔥4👍2
Тайный код Вселенной: Как число 137 управляет мирозданием
Почему изменение числа 137 может остановить процесс возникновения жизни?
Таинственное число 137, или по-научному, обратное значение постоянной тонкой структуры (1/α), хранит в себе ключ к самой сущности жизни . Это число безразмерно, кажется случайным, но его значение невероятно важно. Уже в 1985 году физик Ричард Фейнман отметил в своей книге "QED: Странная теория света и материи", что это число является предметом беспокойства и восхищения среди физиков.
Постоянная тонкой структуры, обозначаемая как α, играет роль меры взаимодействия заряженных частиц с электромагнитной силой. Пол Саттер, профессор астрофизики из Университета Стоуни-Брук, в своей статье для Space объяснил, что если бы значение α было иным, жизнь, как мы её знаем, была бы невозможна.
Это число было впервые обнаружено в 1916 году физиком Арнольдом Зоммерфельдом, хотя и до этого оно присутствовало в уравнениях на протяжении десятилетий. Оно пронизывает формулы, описывающие свет и материю, и управляет всем от малейшего атома водорода до формирования звёзд.
В отличие от других физических констант, как скорость света или гравитационная постоянная, постоянная тонкой структуры является безразмерной. Это значит, что её значение не зависит от выбранной системы единиц измерения. Пол Саттер подчеркнул, что, встретив пришельца из далёкой звёздной системы, мы могли бы передать ему значение α без необходимости объяснять, что такое метры и секунды.
Однако самым странным в этой константе является то, что она, возможно, не постоянна. Некоторые физики предполагают, что сегодняшнее значение α немного больше, чем было миллиарды лет назад — изменение всего на одну десятитысячную за шесть миллиардов лет, но это может иметь огромные последствия в долгосрочной перспективе. Изменение 137 на 138, например, может помешать звёздам создавать углерод, что, в свою очередь, остановит процесс возникновения жизни, как мы её знаем.
IT Дайджест / IT Новости / IT / Технологии
Почему изменение числа 137 может остановить процесс возникновения жизни?
Таинственное число 137, или по-научному, обратное значение постоянной тонкой структуры (1/α), хранит в себе ключ к самой сущности жизни . Это число безразмерно, кажется случайным, но его значение невероятно важно. Уже в 1985 году физик Ричард Фейнман отметил в своей книге "QED: Странная теория света и материи", что это число является предметом беспокойства и восхищения среди физиков.
Постоянная тонкой структуры, обозначаемая как α, играет роль меры взаимодействия заряженных частиц с электромагнитной силой. Пол Саттер, профессор астрофизики из Университета Стоуни-Брук, в своей статье для Space объяснил, что если бы значение α было иным, жизнь, как мы её знаем, была бы невозможна.
Это число было впервые обнаружено в 1916 году физиком Арнольдом Зоммерфельдом, хотя и до этого оно присутствовало в уравнениях на протяжении десятилетий. Оно пронизывает формулы, описывающие свет и материю, и управляет всем от малейшего атома водорода до формирования звёзд.
В отличие от других физических констант, как скорость света или гравитационная постоянная, постоянная тонкой структуры является безразмерной. Это значит, что её значение не зависит от выбранной системы единиц измерения. Пол Саттер подчеркнул, что, встретив пришельца из далёкой звёздной системы, мы могли бы передать ему значение α без необходимости объяснять, что такое метры и секунды.
Однако самым странным в этой константе является то, что она, возможно, не постоянна. Некоторые физики предполагают, что сегодняшнее значение α немного больше, чем было миллиарды лет назад — изменение всего на одну десятитысячную за шесть миллиардов лет, но это может иметь огромные последствия в долгосрочной перспективе. Изменение 137 на 138, например, может помешать звёздам создавать углерод, что, в свою очередь, остановит процесс возникновения жизни, как мы её знаем.
IT Дайджест / IT Новости / IT / Технологии
👍6
Криптокапкан на Upwork: как блокчейн-разработчика обворовали на $500
Реальная история о том, почему стоит с бдительностью относиться к предложениям трудоустройства.
Недавно турецкий блокчейн-разработчик Мурат Челиктепе поведал миру о новой мошеннической схеме, в которую он лично попал, общаясь с «рекрутёром» на LinkedIn.
Челиктепе, который сейчас находится в активном процессе поиска работы, отметил данный факт в своём профиле LinkedIn и вскоре получил через платформу Upwork предложение о работе, которое выглядело вполне настоящим и легитимным.
В рамках «технического собеседования» рекрутёр попросил Челиктепе скачать и отладить код из двух пакетов npm — «web3_nextjs» и «web3_nextjs_backend», размещённых в репозитории GitHub.
Согласно предоставленным инструкциям, разработчик клонировал оба репозитория GitHub и начал отлаживать свой экземпляр, чтобы найти проблему, одновременно запуская как интерфейсное, так и серверное приложения локально на своём компьютере.
После выполнения задания мужчина посетил онлайн-встречу с человеком, который обратился к нему в LinkedIn, и объяснил решение. Оказалось, что Челиктепе блестяще справился с заданием, чему был несказанно рад. По крайней мере, до тех пор, пока не заметил, что его кошелёк MetaMask с некоторой суммой криптовалюты Ethereum был полностью опустошён. Разработчик потерял порядка 538 долларов неизвестным для себя способом.
Челиктепе обратился за помощью к сообществу, чтобы понять механизм атаки. Некоторые специалисты предположили, что атакующий мог использовать обратный шелл для доступа к машине разработчика, открыв порт 5000. Другие теории предполагают, что вредоносный код мог скопировать пароли из веб-браузера или перехватить сетевой трафик.
Однако Челиктепе говорит, что никогда не хранил на своём компьютере секретную фразу восстановления для кошелька MetaMask и поэтому не понимает, как злоумышленники вообще смогли взломать его криптоаккаунт, даже если им удалось получить доступ к его компьютеру.
IT Дайджест / IT Новости / IT / Технологии
Реальная история о том, почему стоит с бдительностью относиться к предложениям трудоустройства.
Недавно турецкий блокчейн-разработчик Мурат Челиктепе поведал миру о новой мошеннической схеме, в которую он лично попал, общаясь с «рекрутёром» на LinkedIn.
Челиктепе, который сейчас находится в активном процессе поиска работы, отметил данный факт в своём профиле LinkedIn и вскоре получил через платформу Upwork предложение о работе, которое выглядело вполне настоящим и легитимным.
В рамках «технического собеседования» рекрутёр попросил Челиктепе скачать и отладить код из двух пакетов npm — «web3_nextjs» и «web3_nextjs_backend», размещённых в репозитории GitHub.
Согласно предоставленным инструкциям, разработчик клонировал оба репозитория GitHub и начал отлаживать свой экземпляр, чтобы найти проблему, одновременно запуская как интерфейсное, так и серверное приложения локально на своём компьютере.
После выполнения задания мужчина посетил онлайн-встречу с человеком, который обратился к нему в LinkedIn, и объяснил решение. Оказалось, что Челиктепе блестяще справился с заданием, чему был несказанно рад. По крайней мере, до тех пор, пока не заметил, что его кошелёк MetaMask с некоторой суммой криптовалюты Ethereum был полностью опустошён. Разработчик потерял порядка 538 долларов неизвестным для себя способом.
Челиктепе обратился за помощью к сообществу, чтобы понять механизм атаки. Некоторые специалисты предположили, что атакующий мог использовать обратный шелл для доступа к машине разработчика, открыв порт 5000. Другие теории предполагают, что вредоносный код мог скопировать пароли из веб-браузера или перехватить сетевой трафик.
Однако Челиктепе говорит, что никогда не хранил на своём компьютере секретную фразу восстановления для кошелька MetaMask и поэтому не понимает, как злоумышленники вообще смогли взломать его криптоаккаунт, даже если им удалось получить доступ к его компьютеру.
IT Дайджест / IT Новости / IT / Технологии
🤔4❤2👍2
Обновлённый Meduza Stealer: киберпреступники поднимают ставки
Авторы программы представили значительные улучшения, делая её мощным инструментом для киберпреступников.
Подразделение HUNTER компании Resecurity заметило выпуск новой версии (2.2) зловреда Meduza Stealer в тёмном сегменте интернета. Это обновление включает поддержку большего числа клиентских программ, улучшенный модуль для кражи данных кредитных карт, а также продвинутые механизмы для извлечения учётных данных и токенов на различных платформах.
Meduza Stealer становится серьёзным конкурентом таких вредоносных программ, как Azorult, Redline, Racoon и Vidar Stealer, которые используются киберпреступниками для захвата учётных записей, кражи данных онлайн-банкинга и финансового мошенничества.
Авторы Meduza разослали уведомление о новой версии в нескольких подпольных сообществах и группах Telegram, заявив о значительных улучшениях интерфейса, модальных окнах при загрузке и расширении объектов сбора данных.
Meduza Stealer впервые появился на форуме XSS в тёмном сегменте интернета и получил положительные отзывы в других сообществах, включая Exploit. В настоящее время программа поддерживает Windows Server 2012/2016/2019/2022 и Windows 10/11, демонстрируя успешную работу на всех этих платформах.
IT Дайджест / IT Новости / IT / Технологии
Авторы программы представили значительные улучшения, делая её мощным инструментом для киберпреступников.
Подразделение HUNTER компании Resecurity заметило выпуск новой версии (2.2) зловреда Meduza Stealer в тёмном сегменте интернета. Это обновление включает поддержку большего числа клиентских программ, улучшенный модуль для кражи данных кредитных карт, а также продвинутые механизмы для извлечения учётных данных и токенов на различных платформах.
Meduza Stealer становится серьёзным конкурентом таких вредоносных программ, как Azorult, Redline, Racoon и Vidar Stealer, которые используются киберпреступниками для захвата учётных записей, кражи данных онлайн-банкинга и финансового мошенничества.
Авторы Meduza разослали уведомление о новой версии в нескольких подпольных сообществах и группах Telegram, заявив о значительных улучшениях интерфейса, модальных окнах при загрузке и расширении объектов сбора данных.
Meduza Stealer впервые появился на форуме XSS в тёмном сегменте интернета и получил положительные отзывы в других сообществах, включая Exploit. В настоящее время программа поддерживает Windows Server 2012/2016/2019/2022 и Windows 10/11, демонстрируя успешную работу на всех этих платформах.
IT Дайджест / IT Новости / IT / Технологии
👍2🔥1
Крупнейший автодилер Австралии столкнулся с массивной кибератакой
Eagers Automotive, ведущий автомобильный дилер в Австралии и Новой Зеландии, объявил о приостановке торговли на фондовой бирже в связи с недавней кибератакой. Компания управляет более чем 300 точками продаж известных брендов, включая Toyota, BMW, Nissan, Mercedes-Benz, Audi, Ford, VW и Honda, и владеет множеством филиалов, специализирующихся на продаже подержанных автомобилей.
С более чем 8 500 сотрудников, Eagers Automotive отчиталась о доходах в 4.82 миллиарда австралийских долларов (3.25 миллиарда долларов США) в первой половине 2023 года.
28 декабря компания объявила о необходимости приостановить все торговые операции во избежание утечки информации. В последующем заявлении компания сообщила, что сразу несколько её систем как в Австралии, так и в Новой Зеландии, затронул некий киберинцидент.
По словам представителей Eagers Automotive, сбои в информационных системах наблюдаются в некоторых рабочих местах по всей Австралии и Новой Зеландии. «Полный масштаб киберинцидента пока не может быть установлен» — сообщают местные СМИ.
Для реагирования были привлечены внешние эксперты, и начато срочное расследование. Eagers Automotive уведомила Австралийский центр кибербезопасности и Национальный центр кибербезопасности Новой Зеландии о случившемся.
Размер компании и характер её бизнеса вызывают опасения о возможной утечке данных, затрагивающей множество клиентов и потенциально разоблачающей чувствительную финансовую информацию. Несмотря на выраженное сожаление о доставленных неудобствах клиентам и акцент на важности защиты данных клиентов и сотрудников, в заявлении для прессы компания не поднимала вопрос возможной утечке данных.
На момент написания новости ни одна из крупных хакерских группировок не взяла на себя ответственность за атаку на Eagers Automotive.
IT Дайджест / IT Новости / IT / Технологии
Eagers Automotive, ведущий автомобильный дилер в Австралии и Новой Зеландии, объявил о приостановке торговли на фондовой бирже в связи с недавней кибератакой. Компания управляет более чем 300 точками продаж известных брендов, включая Toyota, BMW, Nissan, Mercedes-Benz, Audi, Ford, VW и Honda, и владеет множеством филиалов, специализирующихся на продаже подержанных автомобилей.
С более чем 8 500 сотрудников, Eagers Automotive отчиталась о доходах в 4.82 миллиарда австралийских долларов (3.25 миллиарда долларов США) в первой половине 2023 года.
28 декабря компания объявила о необходимости приостановить все торговые операции во избежание утечки информации. В последующем заявлении компания сообщила, что сразу несколько её систем как в Австралии, так и в Новой Зеландии, затронул некий киберинцидент.
По словам представителей Eagers Automotive, сбои в информационных системах наблюдаются в некоторых рабочих местах по всей Австралии и Новой Зеландии. «Полный масштаб киберинцидента пока не может быть установлен» — сообщают местные СМИ.
Для реагирования были привлечены внешние эксперты, и начато срочное расследование. Eagers Automotive уведомила Австралийский центр кибербезопасности и Национальный центр кибербезопасности Новой Зеландии о случившемся.
Размер компании и характер её бизнеса вызывают опасения о возможной утечке данных, затрагивающей множество клиентов и потенциально разоблачающей чувствительную финансовую информацию. Несмотря на выраженное сожаление о доставленных неудобствах клиентам и акцент на важности защиты данных клиентов и сотрудников, в заявлении для прессы компания не поднимала вопрос возможной утечке данных.
На момент написания новости ни одна из крупных хакерских группировок не взяла на себя ответственность за атаку на Eagers Automotive.
IT Дайджест / IT Новости / IT / Технологии
❤3👍2