Атаки: новый шифровальщик Sodin использует опасную уязвимость в Windows
Число киберугроз пополнилось новым шифровальщиком, который отличается от своих собратьев эксплуатацией 0-day уязвимости в Windows, а также использованием архитектурных особенностей процессора для маскировки.
«Лаборатория Касперского», обнаружившая этот вредонос, дала ему имя Sodin. Стоящие за Sodin киберпреступники требуют у жертв $2500 в цифровой валюте за расшифровку пострадавших файлов. Специалисты «Лаборатории Касперского» считают, что шифровальщик распространяется по модели Ransomware-as-a-Service. Про Sodin также известно, что он использует древнюю технику «Небесные врата» (Heaven’s Gate), которая помогает обойти детектирование антивирусными продуктами.
Метод распространения новой программы-вымогателя вызвал опасения антивирусных экспертов — для его установки не требуется активных действий со стороны жертвы. Киберпреступники компрометируют уязвимые серверы и с помощью них заражают пользователей Sodin.
@coderedcom
Число киберугроз пополнилось новым шифровальщиком, который отличается от своих собратьев эксплуатацией 0-day уязвимости в Windows, а также использованием архитектурных особенностей процессора для маскировки.
«Лаборатория Касперского», обнаружившая этот вредонос, дала ему имя Sodin. Стоящие за Sodin киберпреступники требуют у жертв $2500 в цифровой валюте за расшифровку пострадавших файлов. Специалисты «Лаборатории Касперского» считают, что шифровальщик распространяется по модели Ransomware-as-a-Service. Про Sodin также известно, что он использует древнюю технику «Небесные врата» (Heaven’s Gate), которая помогает обойти детектирование антивирусными продуктами.
Метод распространения новой программы-вымогателя вызвал опасения антивирусных экспертов — для его установки не требуется активных действий со стороны жертвы. Киберпреступники компрометируют уязвимые серверы и с помощью них заражают пользователей Sodin.
@coderedcom
Instagram задействовал ИИ для борьбы с кибербуллингом в комментариях
Социальная сеть Instagram давно пытается дать достойный отпор кибербуллингу, к которому часто прибегают недобросовестные пользователи площадки. На этот раз разработчики сообщили о внедрении новой функции, основанной на искусственном интеллекте.
Задача нововведения заключается в выявлении оскорбительных комментариев и уведомлении авторов о возможных последствиях до того, как подобный комментарий будет опубликован. В приведенном Instagram примере пользователь пытается написать «You are so ugly and stupid» («Ты такой уродливый и тупой»), после чего соцсеть отображает автору следующее сообщение: «Вы уверены, что хотите опубликовать этот комментарий?». В этом же сообщении есть кнопка «Отменить», так что если пользователь подумает еще раз, у него будет возможность отказаться от хамства в сторону малознакомого человека.
«Исходя из результатов первых тестов этой функции, некоторые авторы негативных комментариев отказываются от постинга, после чего подбирают более подходящие слова», — пишут разработчики Instagram.
@coderedcom
Социальная сеть Instagram давно пытается дать достойный отпор кибербуллингу, к которому часто прибегают недобросовестные пользователи площадки. На этот раз разработчики сообщили о внедрении новой функции, основанной на искусственном интеллекте.
Задача нововведения заключается в выявлении оскорбительных комментариев и уведомлении авторов о возможных последствиях до того, как подобный комментарий будет опубликован. В приведенном Instagram примере пользователь пытается написать «You are so ugly and stupid» («Ты такой уродливый и тупой»), после чего соцсеть отображает автору следующее сообщение: «Вы уверены, что хотите опубликовать этот комментарий?». В этом же сообщении есть кнопка «Отменить», так что если пользователь подумает еще раз, у него будет возможность отказаться от хамства в сторону малознакомого человека.
«Исходя из результатов первых тестов этой функции, некоторые авторы негативных комментариев отказываются от постинга, после чего подбирают более подходящие слова», — пишут разработчики Instagram.
@coderedcom
Хакеры: Свен Олаф Камфиус
Этим хакером голландского происхождения полиция заинтересовалась в 2013 году. Камфиус — владелец провайдера CyberBunker, предоставляющего хостинг Pirate Bay.
Но кроме этого известного ресурса его компания предоставляла хостинг ботнетам, спамерам и прочим подозрительным предприятиям. В апреле 2013 года он совершил несколько мощных DDoS-атак на сервера антиспамерского проекта Spamhaus Project, который заблокировал IP-адрес CyberBunker.
По словам обвинения, атака замедлила скорость всего интернета, дестабилизировав работу нескольких точек обмена трафиком.
@coderedcom
Этим хакером голландского происхождения полиция заинтересовалась в 2013 году. Камфиус — владелец провайдера CyberBunker, предоставляющего хостинг Pirate Bay.
Но кроме этого известного ресурса его компания предоставляла хостинг ботнетам, спамерам и прочим подозрительным предприятиям. В апреле 2013 года он совершил несколько мощных DDoS-атак на сервера антиспамерского проекта Spamhaus Project, который заблокировал IP-адрес CyberBunker.
По словам обвинения, атака замедлила скорость всего интернета, дестабилизировав работу нескольких точек обмена трафиком.
@coderedcom
Атаки: группа Magecart с апреля разместила вредоносный код на 17 тыс. сайтов
Киберпреступная группировка Magecart опять появилась в заголовках — на этот раз исследователи компании RiskIQ сообщили, что с апреля преступникам удалось взломать и разместить код более чем на 17 тыс. доменов.
Таких результатов группировка смогла добиться за счет сканирования неправильно сконфигурированных серверов AWS S3. В результате злоумышленники добавили вредоносный код в JavaScript-файлы, которые использовались на активных сайтах. В общей сложности специалисты RiskIQ обнаружили злонамеренный код Magecart более чем на 17 тыс. сайтов, часть из которых входит в список Alexa Top 2000.
Поскольку Magecart специализируется на краже платежных данных посетителей сайта, можно предположить, что вредоносный код как раз перехватывал данные карт и передавал их киберпреступникам.
@coderedcom
Киберпреступная группировка Magecart опять появилась в заголовках — на этот раз исследователи компании RiskIQ сообщили, что с апреля преступникам удалось взломать и разместить код более чем на 17 тыс. доменов.
Таких результатов группировка смогла добиться за счет сканирования неправильно сконфигурированных серверов AWS S3. В результате злоумышленники добавили вредоносный код в JavaScript-файлы, которые использовались на активных сайтах. В общей сложности специалисты RiskIQ обнаружили злонамеренный код Magecart более чем на 17 тыс. сайтов, часть из которых входит в список Alexa Top 2000.
Поскольку Magecart специализируется на краже платежных данных посетителей сайта, можно предположить, что вредоносный код как раз перехватывал данные карт и передавал их киберпреступникам.
@coderedcom
Создана самая умная Zip-бомба — из 46 Мб превращается в 4,5 петабайт
Программист Дэвид Фифилд представил новую Zip-бомбу, которая из файла размером 46 МБ может превратиться в 4,5 петабайт. У нас файлы такого типа еще известны под именем «Архив Смерти».
Новшество Фифилда заключается в том, что он нашел способ перекрывать файлы внутри архива Zip, что позволило значительно увеличить степень сжатия — до невиданных ранее размеров. Как отмечает сам эксперт, частично своим успехом он обязан альтернативному способу обработки циклического избыточного кода (Cyclic redundancy check, CRC).
Обычно архивные бомбы используются в деструктивных атаках, где цель злоумышленников — вызвать сбой в работе системы или привести к ее полной неработоспособности.
@coderedcom
Программист Дэвид Фифилд представил новую Zip-бомбу, которая из файла размером 46 МБ может превратиться в 4,5 петабайт. У нас файлы такого типа еще известны под именем «Архив Смерти».
Новшество Фифилда заключается в том, что он нашел способ перекрывать файлы внутри архива Zip, что позволило значительно увеличить степень сжатия — до невиданных ранее размеров. Как отмечает сам эксперт, частично своим успехом он обязан альтернативному способу обработки циклического избыточного кода (Cyclic redundancy check, CRC).
Обычно архивные бомбы используются в деструктивных атаках, где цель злоумышленников — вызвать сбой в работе системы или привести к ее полной неработоспособности.
@coderedcom
Хакеры: киберпреступники похитили $32 млн у криптовалютной биржи Bitpoint
Японская криптовалютная биржа Bitpoint сообщила о потере 3,5 миллионов иен (32 миллиона долларов) в результате атаки киберпреступников. Как сообщают представители криптобиржи, инцидент произошел 11 июля.
Bitpoint приостановила все операции, пока специалисты проводят расследование взлома. Об этом говорится в пресс-релизе биржи. Согласно опубликованному RemixPoint (юридическое лицо, стоящее за Bitpoint) документу, киберпреступники похитили средства как с «горячих», так и с «холодных» кошельков биржи.
Такой результат дает основание предположить, что сеть Bitpoint была скомпрометирована полностью. Горячие кошельки биржи использовались для хранения средств, задействованных в текущих операциях. А холодные представляли собой офлайн-девайсы, в которых хранились долгосрочные средства, которые могли потребоваться в случае крайней необходимости. Злоумышленники похитили средства в виде пяти криптовалют: Bitcoin, Bitcoin Cash, Litecoin, Ripple и Ethereal.
@coderedcom
Японская криптовалютная биржа Bitpoint сообщила о потере 3,5 миллионов иен (32 миллиона долларов) в результате атаки киберпреступников. Как сообщают представители криптобиржи, инцидент произошел 11 июля.
Bitpoint приостановила все операции, пока специалисты проводят расследование взлома. Об этом говорится в пресс-релизе биржи. Согласно опубликованному RemixPoint (юридическое лицо, стоящее за Bitpoint) документу, киберпреступники похитили средства как с «горячих», так и с «холодных» кошельков биржи.
Такой результат дает основание предположить, что сеть Bitpoint была скомпрометирована полностью. Горячие кошельки биржи использовались для хранения средств, задействованных в текущих операциях. А холодные представляли собой офлайн-девайсы, в которых хранились долгосрочные средства, которые могли потребоваться в случае крайней необходимости. Злоумышленники похитили средства в виде пяти криптовалют: Bitcoin, Bitcoin Cash, Litecoin, Ripple и Ethereal.
@coderedcom
Атаки: Иранские хакеры APT24 используют LinkedIn для доставки бэкдора
Киберпреступная группа APT24, деятельность которой связывают с иранским правительством, продолжает свои кампании шпионажа. Теперь злоумышленники используют LinkedIn для распространения вредоносной программы.
По словам специалистов FireEye, преступники представляются исследователем из Кембриджа и просят жертв вступить в их группу. Вместе с этим пользователям отправляется вредоносный xls-файл.
В ходе атак использовался также инструмент Pickpocket, предназначенный для кражи учетных данных из браузеров. Основные цели APT34 были из нефтяной, энергетической и газовой сфер, также преступники атаковали государственные организации. Вредоносный документ ERFT-Details.xls использовался в качестве дроппера, а приманкой выступала возможность устроиться на работу в команду исследователей Кембриджа.
В конечной фазе на компьютер жертвы устанавливается бэкдор Tonedeaf, который связывается с командным сервером C&C при помощи запросов HTTP GET и POST. Вредонос поддерживает несколько команд, позволяющих собирать системную информацию, загружать и скачивать файлы и выполнять шелл-команды.
@coderedcom
Киберпреступная группа APT24, деятельность которой связывают с иранским правительством, продолжает свои кампании шпионажа. Теперь злоумышленники используют LinkedIn для распространения вредоносной программы.
По словам специалистов FireEye, преступники представляются исследователем из Кембриджа и просят жертв вступить в их группу. Вместе с этим пользователям отправляется вредоносный xls-файл.
В ходе атак использовался также инструмент Pickpocket, предназначенный для кражи учетных данных из браузеров. Основные цели APT34 были из нефтяной, энергетической и газовой сфер, также преступники атаковали государственные организации. Вредоносный документ ERFT-Details.xls использовался в качестве дроппера, а приманкой выступала возможность устроиться на работу в команду исследователей Кембриджа.
В конечной фазе на компьютер жертвы устанавливается бэкдор Tonedeaf, который связывается с командным сервером C&C при помощи запросов HTTP GET и POST. Вредонос поддерживает несколько команд, позволяющих собирать системную информацию, загружать и скачивать файлы и выполнять шелл-команды.
@coderedcom
Возможности Tor хотят реализовать в виде расширения для Firefox
Mozilla и Tor Project работают над внедрением функций конфиденциальности Tor в браузер Firefox. Согласно замыслу, для этого будет создано отдельное расширение для «лисы».
Предполагается, что разработчики Firefox и Tor смогут вместе отслеживать и исправлять проблемы с производительностью и интеграцией. Знакомый пользователям режим «Super Private Browsing» будет реализован в виде отдельного расширения для Firefox. Этот аддон будет активировать так называемый «режим Tor».
Разработчики обещают, что расширение для интеграции Tor с Firefox можно будет скачать по адресу addons.mozilla.org, как и все остальные аддоны. Если пользователь активирует новый аддон, он сконфигурирует Firefox таким образом, чтобы браузер использовал Tor в качестве прокси. Расширение добавит новую кнопку на панель инструментов, при нажатии на которую будет открываться новая вкладка с конфиденциальными настройками.
@coderedcom
Mozilla и Tor Project работают над внедрением функций конфиденциальности Tor в браузер Firefox. Согласно замыслу, для этого будет создано отдельное расширение для «лисы».
Предполагается, что разработчики Firefox и Tor смогут вместе отслеживать и исправлять проблемы с производительностью и интеграцией. Знакомый пользователям режим «Super Private Browsing» будет реализован в виде отдельного расширения для Firefox. Этот аддон будет активировать так называемый «режим Tor».
Разработчики обещают, что расширение для интеграции Tor с Firefox можно будет скачать по адресу addons.mozilla.org, как и все остальные аддоны. Если пользователь активирует новый аддон, он сконфигурирует Firefox таким образом, чтобы браузер использовал Tor в качестве прокси. Расширение добавит новую кнопку на панель инструментов, при нажатии на которую будет открываться новая вкладка с конфиденциальными настройками.
@coderedcom
Хакеры против хакеров: группировка Intrusion Truth деанонимизировала участников китайской APT17
Анонимная группировка Intrusion Truth продолжает деанонимизировать китайских «правительственных хакеров». На этот раз были обнародованы данные о предполагаемых членах APT17. Это уже третий раз, когда Intrusion Truth публикует свои разоблачения и деанонимизирует участников китайских кибершпионских группировок.
Теперь Intrusion Truth опубликовала информацию о трех лицах, которые якобы имеют отношение к группировке APT17 (она же DeputyDog, Tailgater Team, Hidden Lynx, Voho, Group 72 и AuroraPanda). Эта группа известна серий кибератак, в основном имевших место в начале 2010-х годов. Тогда целями хакеров становились все, от частных компаний до государственных учреждений в странах всего мира (1 , 2 , 3 , 4 , 5).
Также напомню, что именно APT17 связывают с компрометацией приложения CCleaner, произошедшей в 2017 году.
Новые данные Intrusion Truth касаются человека, управляющего четырьмя китайскими компаниями, который предположительно является офицером Министерства государственной безопасности Китая, а также еще двух хакеров, которые работали на эти компании. Все они базируются в городе Цзинань, столице провинции Шаньдун.
@coderedcom
Анонимная группировка Intrusion Truth продолжает деанонимизировать китайских «правительственных хакеров». На этот раз были обнародованы данные о предполагаемых членах APT17. Это уже третий раз, когда Intrusion Truth публикует свои разоблачения и деанонимизирует участников китайских кибершпионских группировок.
Теперь Intrusion Truth опубликовала информацию о трех лицах, которые якобы имеют отношение к группировке APT17 (она же DeputyDog, Tailgater Team, Hidden Lynx, Voho, Group 72 и AuroraPanda). Эта группа известна серий кибератак, в основном имевших место в начале 2010-х годов. Тогда целями хакеров становились все, от частных компаний до государственных учреждений в странах всего мира (1 , 2 , 3 , 4 , 5).
Также напомню, что именно APT17 связывают с компрометацией приложения CCleaner, произошедшей в 2017 году.
Новые данные Intrusion Truth касаются человека, управляющего четырьмя китайскими компаниями, который предположительно является офицером Министерства государственной безопасности Китая, а также еще двух хакеров, которые работали на эти компании. Все они базируются в городе Цзинань, столице провинции Шаньдун.
@coderedcom
Хочешь взломать сайт, но не хватает знаний?
Мечтаешь нагнуть крутую систему безопасности, но не знаешь с чего начать?
ВЫХОД НАЙДЕН!
Darknetia - это топовый сборник информации о темной стороне интернета👺
Взломы, хакерский софт и многое другое…
Успей подписаться 👉 @darknetia
Мечтаешь нагнуть крутую систему безопасности, но не знаешь с чего начать?
ВЫХОД НАЙДЕН!
Darknetia - это топовый сборник информации о темной стороне интернета👺
Взломы, хакерский софт и многое другое…
Успей подписаться 👉 @darknetia
Атаки: группировка FIN8 использует новый вредонос для кражи данных карт
Киберпреступная группировка FIN8 проводит очередные вредоносные кампании, основная задача которых — выкрасть данные платежных карт. Злоумышленники используют новую вредоносную программу, разработанную для атак на POS-терминалы.
Исследователи компании Gigamon обнаружили вредонос Badhatch, который ранее нигде не фигурировал. Именно эту программу использовали киберпреступники FIN8 в своих недавних операциях. Badhatch отвечает за начальную стадию атаки — его задача заключается в исследовании сети жертвы. Он также может установить программу PoSlurp, предназначенную для перехвата данных платёжных карт, которые проходят через POS-терминалы.
Киберпреступники FIN8 пытаются развернуть в сети жертвы множество бэкдоров, чтобы создать дополнительную точку опоры. Это помогает в случае детектирования основной вредоносной составляющей. Судя по всему, Badhatch является уникальным вредоносом, разработанным FIN8 специально под свои цели.
Киберпреступная группировка FIN8 проводит очередные вредоносные кампании, основная задача которых — выкрасть данные платежных карт. Злоумышленники используют новую вредоносную программу, разработанную для атак на POS-терминалы.
Исследователи компании Gigamon обнаружили вредонос Badhatch, который ранее нигде не фигурировал. Именно эту программу использовали киберпреступники FIN8 в своих недавних операциях. Badhatch отвечает за начальную стадию атаки — его задача заключается в исследовании сети жертвы. Он также может установить программу PoSlurp, предназначенную для перехвата данных платёжных карт, которые проходят через POS-терминалы.
Киберпреступники FIN8 пытаются развернуть в сети жертвы множество бэкдоров, чтобы создать дополнительную точку опоры. Это помогает в случае детектирования основной вредоносной составляющей. Судя по всему, Badhatch является уникальным вредоносом, разработанным FIN8 специально под свои цели.
