Атаки: новый шифровальщик Sodin использует опасную уязвимость в Windows
Число киберугроз пополнилось новым шифровальщиком, который отличается от своих собратьев эксплуатацией 0-day уязвимости в Windows, а также использованием архитектурных особенностей процессора для маскировки.
«Лаборатория Касперского», обнаружившая этот вредонос, дала ему имя Sodin. Стоящие за Sodin киберпреступники требуют у жертв $2500 в цифровой валюте за расшифровку пострадавших файлов. Специалисты «Лаборатории Касперского» считают, что шифровальщик распространяется по модели Ransomware-as-a-Service. Про Sodin также известно, что он использует древнюю технику «Небесные врата» (Heaven’s Gate), которая помогает обойти детектирование антивирусными продуктами.
Метод распространения новой программы-вымогателя вызвал опасения антивирусных экспертов — для его установки не требуется активных действий со стороны жертвы. Киберпреступники компрометируют уязвимые серверы и с помощью них заражают пользователей Sodin.
@coderedcom
Число киберугроз пополнилось новым шифровальщиком, который отличается от своих собратьев эксплуатацией 0-day уязвимости в Windows, а также использованием архитектурных особенностей процессора для маскировки.
«Лаборатория Касперского», обнаружившая этот вредонос, дала ему имя Sodin. Стоящие за Sodin киберпреступники требуют у жертв $2500 в цифровой валюте за расшифровку пострадавших файлов. Специалисты «Лаборатории Касперского» считают, что шифровальщик распространяется по модели Ransomware-as-a-Service. Про Sodin также известно, что он использует древнюю технику «Небесные врата» (Heaven’s Gate), которая помогает обойти детектирование антивирусными продуктами.
Метод распространения новой программы-вымогателя вызвал опасения антивирусных экспертов — для его установки не требуется активных действий со стороны жертвы. Киберпреступники компрометируют уязвимые серверы и с помощью них заражают пользователей Sodin.
@coderedcom
Instagram задействовал ИИ для борьбы с кибербуллингом в комментариях
Социальная сеть Instagram давно пытается дать достойный отпор кибербуллингу, к которому часто прибегают недобросовестные пользователи площадки. На этот раз разработчики сообщили о внедрении новой функции, основанной на искусственном интеллекте.
Задача нововведения заключается в выявлении оскорбительных комментариев и уведомлении авторов о возможных последствиях до того, как подобный комментарий будет опубликован. В приведенном Instagram примере пользователь пытается написать «You are so ugly and stupid» («Ты такой уродливый и тупой»), после чего соцсеть отображает автору следующее сообщение: «Вы уверены, что хотите опубликовать этот комментарий?». В этом же сообщении есть кнопка «Отменить», так что если пользователь подумает еще раз, у него будет возможность отказаться от хамства в сторону малознакомого человека.
«Исходя из результатов первых тестов этой функции, некоторые авторы негативных комментариев отказываются от постинга, после чего подбирают более подходящие слова», — пишут разработчики Instagram.
@coderedcom
Социальная сеть Instagram давно пытается дать достойный отпор кибербуллингу, к которому часто прибегают недобросовестные пользователи площадки. На этот раз разработчики сообщили о внедрении новой функции, основанной на искусственном интеллекте.
Задача нововведения заключается в выявлении оскорбительных комментариев и уведомлении авторов о возможных последствиях до того, как подобный комментарий будет опубликован. В приведенном Instagram примере пользователь пытается написать «You are so ugly and stupid» («Ты такой уродливый и тупой»), после чего соцсеть отображает автору следующее сообщение: «Вы уверены, что хотите опубликовать этот комментарий?». В этом же сообщении есть кнопка «Отменить», так что если пользователь подумает еще раз, у него будет возможность отказаться от хамства в сторону малознакомого человека.
«Исходя из результатов первых тестов этой функции, некоторые авторы негативных комментариев отказываются от постинга, после чего подбирают более подходящие слова», — пишут разработчики Instagram.
@coderedcom
Хакеры: Свен Олаф Камфиус
Этим хакером голландского происхождения полиция заинтересовалась в 2013 году. Камфиус — владелец провайдера CyberBunker, предоставляющего хостинг Pirate Bay.
Но кроме этого известного ресурса его компания предоставляла хостинг ботнетам, спамерам и прочим подозрительным предприятиям. В апреле 2013 года он совершил несколько мощных DDoS-атак на сервера антиспамерского проекта Spamhaus Project, который заблокировал IP-адрес CyberBunker.
По словам обвинения, атака замедлила скорость всего интернета, дестабилизировав работу нескольких точек обмена трафиком.
@coderedcom
Этим хакером голландского происхождения полиция заинтересовалась в 2013 году. Камфиус — владелец провайдера CyberBunker, предоставляющего хостинг Pirate Bay.
Но кроме этого известного ресурса его компания предоставляла хостинг ботнетам, спамерам и прочим подозрительным предприятиям. В апреле 2013 года он совершил несколько мощных DDoS-атак на сервера антиспамерского проекта Spamhaus Project, который заблокировал IP-адрес CyberBunker.
По словам обвинения, атака замедлила скорость всего интернета, дестабилизировав работу нескольких точек обмена трафиком.
@coderedcom
Атаки: группа Magecart с апреля разместила вредоносный код на 17 тыс. сайтов
Киберпреступная группировка Magecart опять появилась в заголовках — на этот раз исследователи компании RiskIQ сообщили, что с апреля преступникам удалось взломать и разместить код более чем на 17 тыс. доменов.
Таких результатов группировка смогла добиться за счет сканирования неправильно сконфигурированных серверов AWS S3. В результате злоумышленники добавили вредоносный код в JavaScript-файлы, которые использовались на активных сайтах. В общей сложности специалисты RiskIQ обнаружили злонамеренный код Magecart более чем на 17 тыс. сайтов, часть из которых входит в список Alexa Top 2000.
Поскольку Magecart специализируется на краже платежных данных посетителей сайта, можно предположить, что вредоносный код как раз перехватывал данные карт и передавал их киберпреступникам.
@coderedcom
Киберпреступная группировка Magecart опять появилась в заголовках — на этот раз исследователи компании RiskIQ сообщили, что с апреля преступникам удалось взломать и разместить код более чем на 17 тыс. доменов.
Таких результатов группировка смогла добиться за счет сканирования неправильно сконфигурированных серверов AWS S3. В результате злоумышленники добавили вредоносный код в JavaScript-файлы, которые использовались на активных сайтах. В общей сложности специалисты RiskIQ обнаружили злонамеренный код Magecart более чем на 17 тыс. сайтов, часть из которых входит в список Alexa Top 2000.
Поскольку Magecart специализируется на краже платежных данных посетителей сайта, можно предположить, что вредоносный код как раз перехватывал данные карт и передавал их киберпреступникам.
@coderedcom
Создана самая умная Zip-бомба — из 46 Мб превращается в 4,5 петабайт
Программист Дэвид Фифилд представил новую Zip-бомбу, которая из файла размером 46 МБ может превратиться в 4,5 петабайт. У нас файлы такого типа еще известны под именем «Архив Смерти».
Новшество Фифилда заключается в том, что он нашел способ перекрывать файлы внутри архива Zip, что позволило значительно увеличить степень сжатия — до невиданных ранее размеров. Как отмечает сам эксперт, частично своим успехом он обязан альтернативному способу обработки циклического избыточного кода (Cyclic redundancy check, CRC).
Обычно архивные бомбы используются в деструктивных атаках, где цель злоумышленников — вызвать сбой в работе системы или привести к ее полной неработоспособности.
@coderedcom
Программист Дэвид Фифилд представил новую Zip-бомбу, которая из файла размером 46 МБ может превратиться в 4,5 петабайт. У нас файлы такого типа еще известны под именем «Архив Смерти».
Новшество Фифилда заключается в том, что он нашел способ перекрывать файлы внутри архива Zip, что позволило значительно увеличить степень сжатия — до невиданных ранее размеров. Как отмечает сам эксперт, частично своим успехом он обязан альтернативному способу обработки циклического избыточного кода (Cyclic redundancy check, CRC).
Обычно архивные бомбы используются в деструктивных атаках, где цель злоумышленников — вызвать сбой в работе системы или привести к ее полной неработоспособности.
@coderedcom
Хакеры: киберпреступники похитили $32 млн у криптовалютной биржи Bitpoint
Японская криптовалютная биржа Bitpoint сообщила о потере 3,5 миллионов иен (32 миллиона долларов) в результате атаки киберпреступников. Как сообщают представители криптобиржи, инцидент произошел 11 июля.
Bitpoint приостановила все операции, пока специалисты проводят расследование взлома. Об этом говорится в пресс-релизе биржи. Согласно опубликованному RemixPoint (юридическое лицо, стоящее за Bitpoint) документу, киберпреступники похитили средства как с «горячих», так и с «холодных» кошельков биржи.
Такой результат дает основание предположить, что сеть Bitpoint была скомпрометирована полностью. Горячие кошельки биржи использовались для хранения средств, задействованных в текущих операциях. А холодные представляли собой офлайн-девайсы, в которых хранились долгосрочные средства, которые могли потребоваться в случае крайней необходимости. Злоумышленники похитили средства в виде пяти криптовалют: Bitcoin, Bitcoin Cash, Litecoin, Ripple и Ethereal.
@coderedcom
Японская криптовалютная биржа Bitpoint сообщила о потере 3,5 миллионов иен (32 миллиона долларов) в результате атаки киберпреступников. Как сообщают представители криптобиржи, инцидент произошел 11 июля.
Bitpoint приостановила все операции, пока специалисты проводят расследование взлома. Об этом говорится в пресс-релизе биржи. Согласно опубликованному RemixPoint (юридическое лицо, стоящее за Bitpoint) документу, киберпреступники похитили средства как с «горячих», так и с «холодных» кошельков биржи.
Такой результат дает основание предположить, что сеть Bitpoint была скомпрометирована полностью. Горячие кошельки биржи использовались для хранения средств, задействованных в текущих операциях. А холодные представляли собой офлайн-девайсы, в которых хранились долгосрочные средства, которые могли потребоваться в случае крайней необходимости. Злоумышленники похитили средства в виде пяти криптовалют: Bitcoin, Bitcoin Cash, Litecoin, Ripple и Ethereal.
@coderedcom
Атаки: Иранские хакеры APT24 используют LinkedIn для доставки бэкдора
Киберпреступная группа APT24, деятельность которой связывают с иранским правительством, продолжает свои кампании шпионажа. Теперь злоумышленники используют LinkedIn для распространения вредоносной программы.
По словам специалистов FireEye, преступники представляются исследователем из Кембриджа и просят жертв вступить в их группу. Вместе с этим пользователям отправляется вредоносный xls-файл.
В ходе атак использовался также инструмент Pickpocket, предназначенный для кражи учетных данных из браузеров. Основные цели APT34 были из нефтяной, энергетической и газовой сфер, также преступники атаковали государственные организации. Вредоносный документ ERFT-Details.xls использовался в качестве дроппера, а приманкой выступала возможность устроиться на работу в команду исследователей Кембриджа.
В конечной фазе на компьютер жертвы устанавливается бэкдор Tonedeaf, который связывается с командным сервером C&C при помощи запросов HTTP GET и POST. Вредонос поддерживает несколько команд, позволяющих собирать системную информацию, загружать и скачивать файлы и выполнять шелл-команды.
@coderedcom
Киберпреступная группа APT24, деятельность которой связывают с иранским правительством, продолжает свои кампании шпионажа. Теперь злоумышленники используют LinkedIn для распространения вредоносной программы.
По словам специалистов FireEye, преступники представляются исследователем из Кембриджа и просят жертв вступить в их группу. Вместе с этим пользователям отправляется вредоносный xls-файл.
В ходе атак использовался также инструмент Pickpocket, предназначенный для кражи учетных данных из браузеров. Основные цели APT34 были из нефтяной, энергетической и газовой сфер, также преступники атаковали государственные организации. Вредоносный документ ERFT-Details.xls использовался в качестве дроппера, а приманкой выступала возможность устроиться на работу в команду исследователей Кембриджа.
В конечной фазе на компьютер жертвы устанавливается бэкдор Tonedeaf, который связывается с командным сервером C&C при помощи запросов HTTP GET и POST. Вредонос поддерживает несколько команд, позволяющих собирать системную информацию, загружать и скачивать файлы и выполнять шелл-команды.
@coderedcom
Возможности Tor хотят реализовать в виде расширения для Firefox
Mozilla и Tor Project работают над внедрением функций конфиденциальности Tor в браузер Firefox. Согласно замыслу, для этого будет создано отдельное расширение для «лисы».
Предполагается, что разработчики Firefox и Tor смогут вместе отслеживать и исправлять проблемы с производительностью и интеграцией. Знакомый пользователям режим «Super Private Browsing» будет реализован в виде отдельного расширения для Firefox. Этот аддон будет активировать так называемый «режим Tor».
Разработчики обещают, что расширение для интеграции Tor с Firefox можно будет скачать по адресу addons.mozilla.org, как и все остальные аддоны. Если пользователь активирует новый аддон, он сконфигурирует Firefox таким образом, чтобы браузер использовал Tor в качестве прокси. Расширение добавит новую кнопку на панель инструментов, при нажатии на которую будет открываться новая вкладка с конфиденциальными настройками.
@coderedcom
Mozilla и Tor Project работают над внедрением функций конфиденциальности Tor в браузер Firefox. Согласно замыслу, для этого будет создано отдельное расширение для «лисы».
Предполагается, что разработчики Firefox и Tor смогут вместе отслеживать и исправлять проблемы с производительностью и интеграцией. Знакомый пользователям режим «Super Private Browsing» будет реализован в виде отдельного расширения для Firefox. Этот аддон будет активировать так называемый «режим Tor».
Разработчики обещают, что расширение для интеграции Tor с Firefox можно будет скачать по адресу addons.mozilla.org, как и все остальные аддоны. Если пользователь активирует новый аддон, он сконфигурирует Firefox таким образом, чтобы браузер использовал Tor в качестве прокси. Расширение добавит новую кнопку на панель инструментов, при нажатии на которую будет открываться новая вкладка с конфиденциальными настройками.
@coderedcom
Хакеры против хакеров: группировка Intrusion Truth деанонимизировала участников китайской APT17
Анонимная группировка Intrusion Truth продолжает деанонимизировать китайских «правительственных хакеров». На этот раз были обнародованы данные о предполагаемых членах APT17. Это уже третий раз, когда Intrusion Truth публикует свои разоблачения и деанонимизирует участников китайских кибершпионских группировок.
Теперь Intrusion Truth опубликовала информацию о трех лицах, которые якобы имеют отношение к группировке APT17 (она же DeputyDog, Tailgater Team, Hidden Lynx, Voho, Group 72 и AuroraPanda). Эта группа известна серий кибератак, в основном имевших место в начале 2010-х годов. Тогда целями хакеров становились все, от частных компаний до государственных учреждений в странах всего мира (1 , 2 , 3 , 4 , 5).
Также напомню, что именно APT17 связывают с компрометацией приложения CCleaner, произошедшей в 2017 году.
Новые данные Intrusion Truth касаются человека, управляющего четырьмя китайскими компаниями, который предположительно является офицером Министерства государственной безопасности Китая, а также еще двух хакеров, которые работали на эти компании. Все они базируются в городе Цзинань, столице провинции Шаньдун.
@coderedcom
Анонимная группировка Intrusion Truth продолжает деанонимизировать китайских «правительственных хакеров». На этот раз были обнародованы данные о предполагаемых членах APT17. Это уже третий раз, когда Intrusion Truth публикует свои разоблачения и деанонимизирует участников китайских кибершпионских группировок.
Теперь Intrusion Truth опубликовала информацию о трех лицах, которые якобы имеют отношение к группировке APT17 (она же DeputyDog, Tailgater Team, Hidden Lynx, Voho, Group 72 и AuroraPanda). Эта группа известна серий кибератак, в основном имевших место в начале 2010-х годов. Тогда целями хакеров становились все, от частных компаний до государственных учреждений в странах всего мира (1 , 2 , 3 , 4 , 5).
Также напомню, что именно APT17 связывают с компрометацией приложения CCleaner, произошедшей в 2017 году.
Новые данные Intrusion Truth касаются человека, управляющего четырьмя китайскими компаниями, который предположительно является офицером Министерства государственной безопасности Китая, а также еще двух хакеров, которые работали на эти компании. Все они базируются в городе Цзинань, столице провинции Шаньдун.
@coderedcom
Хочешь взломать сайт, но не хватает знаний?
Мечтаешь нагнуть крутую систему безопасности, но не знаешь с чего начать?
ВЫХОД НАЙДЕН!
Darknetia - это топовый сборник информации о темной стороне интернета👺
Взломы, хакерский софт и многое другое…
Успей подписаться 👉 @darknetia
Мечтаешь нагнуть крутую систему безопасности, но не знаешь с чего начать?
ВЫХОД НАЙДЕН!
Darknetia - это топовый сборник информации о темной стороне интернета👺
Взломы, хакерский софт и многое другое…
Успей подписаться 👉 @darknetia
Атаки: группировка FIN8 использует новый вредонос для кражи данных карт
Киберпреступная группировка FIN8 проводит очередные вредоносные кампании, основная задача которых — выкрасть данные платежных карт. Злоумышленники используют новую вредоносную программу, разработанную для атак на POS-терминалы.
Исследователи компании Gigamon обнаружили вредонос Badhatch, который ранее нигде не фигурировал. Именно эту программу использовали киберпреступники FIN8 в своих недавних операциях. Badhatch отвечает за начальную стадию атаки — его задача заключается в исследовании сети жертвы. Он также может установить программу PoSlurp, предназначенную для перехвата данных платёжных карт, которые проходят через POS-терминалы.
Киберпреступники FIN8 пытаются развернуть в сети жертвы множество бэкдоров, чтобы создать дополнительную точку опоры. Это помогает в случае детектирования основной вредоносной составляющей. Судя по всему, Badhatch является уникальным вредоносом, разработанным FIN8 специально под свои цели.
Киберпреступная группировка FIN8 проводит очередные вредоносные кампании, основная задача которых — выкрасть данные платежных карт. Злоумышленники используют новую вредоносную программу, разработанную для атак на POS-терминалы.
Исследователи компании Gigamon обнаружили вредонос Badhatch, который ранее нигде не фигурировал. Именно эту программу использовали киберпреступники FIN8 в своих недавних операциях. Badhatch отвечает за начальную стадию атаки — его задача заключается в исследовании сети жертвы. Он также может установить программу PoSlurp, предназначенную для перехвата данных платёжных карт, которые проходят через POS-терминалы.
Киберпреступники FIN8 пытаются развернуть в сети жертвы множество бэкдоров, чтобы создать дополнительную точку опоры. Это помогает в случае детектирования основной вредоносной составляющей. Судя по всему, Badhatch является уникальным вредоносом, разработанным FIN8 специально под свои цели.
Дарквеб не продает карты россиян из-за бедности в стране
За первую половину 2019 года на форумах дарквеба были выставлены на продажу более 23 миллионов платежных карт. Об этом говорит исследование, подготовленное аналитиками компании Sixgill, занимающейся кибербезопасностью.
Команда исследователей подготовила отчет, согласно которому большая часть (приблизительно две трети) украденных карт принадлежит гражданам США. У любой другой страны меньше 10% от этих 23 миллионов. Второй по популярности источник украденных карт — Великобритания. Что касается России, только 316 продаваемых нелегально карт принадлежат гражданам нашей страны.
Исследователи видят две причины таких низких показателей со стороны России. Первая заключается в большом проценте российских киберпреступников, а вторая — в экономической ситуации в России. «Ситуация в России давно всем известна — ВВП на душу населения $11 000. Это шестая часть такого же показателя в США — $62 000. Учитывая такую пропасть между этими двумя странами, можно легко объяснить разницу в показателях украденных карт», — утверждается в отчете.
За первую половину 2019 года на форумах дарквеба были выставлены на продажу более 23 миллионов платежных карт. Об этом говорит исследование, подготовленное аналитиками компании Sixgill, занимающейся кибербезопасностью.
Команда исследователей подготовила отчет, согласно которому большая часть (приблизительно две трети) украденных карт принадлежит гражданам США. У любой другой страны меньше 10% от этих 23 миллионов. Второй по популярности источник украденных карт — Великобритания. Что касается России, только 316 продаваемых нелегально карт принадлежат гражданам нашей страны.
Исследователи видят две причины таких низких показателей со стороны России. Первая заключается в большом проценте российских киберпреступников, а вторая — в экономической ситуации в России. «Ситуация в России давно всем известна — ВВП на душу населения $11 000. Это шестая часть такого же показателя в США — $62 000. Учитывая такую пропасть между этими двумя странами, можно легко объяснить разницу в показателях украденных карт», — утверждается в отчете.
