В России зафиксированы попытки атаковать по меньшей мере 18 организаций через новую уязвимость в продуктах Microsoft Office
(MS Excel, MS Word и MS PowerPoint), сообщили «Известиям» в «Лаборатории Касперского». Там уточнили, что хакеры пытались взломать компании из научно-исследовательского, энергетического и крупного промышленного секторов, сектора разработки медицинских технологий, а также телекоммуникации и IT.
«Способ, которым злоумышленники эксплуатируют уязвимость сейчас — это фишинговая рассылка с почтовым вложением документа. Сотруднику достаточно открыть такой документ на своем компьютере, чтобы уязвимость отработала, а дальше на компьютер жертвы скачивается и устанавливается «полезная нагрузка» — вредоносное ПО», — рассказал руководитель отдела детектирования сложных угроз «Лаборатории Касперского» Евгений Лопатин.
«Ростелеком-Солар» зарегистрировал одну целенаправленную атаку на органы государственной власти с использованием обсуждаемой уязвимости, рассказал руководитель отдела расследования киберинцидентов Solar JSOC CERT Игорь Залевский.
Речь об уязвимости в MSHTML, движке браузера Internet Explorer. Эта часть отвечает за отображение содержимого веб-страницы (картинок, шрифтов и других файлов) в том или ином формате. Формат зависит от того, в программе какого типа используется движок. Такой программой может быть как сам браузер, так и, например, почтовый клиент. В данном случае MSHTML используется пакетом программ Microsoft Office для отображения веб-контента в документах.
Уязвимость в MSHTML позволяет злоумышленнику создавать модифицированные документы, при открытии которых Microsoft Office автоматически скачивает из сети и запускает вредоносный скрипт — программу, которая запускает последовательность тех или иных действий на компьютере.
Microsoft сообщила об обнаружении уязвимости в MSHTML 7 сентября. 14 числа компания выпустила обновление, которое исправляет ошибку.
источник: https://iz.ru/1222361/2021-09-16/khakery-atakuiut-rossiiskie-organizatcii-cherez-novuiu-uiazvimost-microsoft-office?utm_source=yxnews&utm_medium=desktop
+7 (495) 749-28-49
http://www.configit.ru/
#MSoffice #microsoft #хакеры #атака #нововсти #ит #конфигит #configit
(MS Excel, MS Word и MS PowerPoint), сообщили «Известиям» в «Лаборатории Касперского». Там уточнили, что хакеры пытались взломать компании из научно-исследовательского, энергетического и крупного промышленного секторов, сектора разработки медицинских технологий, а также телекоммуникации и IT.
«Способ, которым злоумышленники эксплуатируют уязвимость сейчас — это фишинговая рассылка с почтовым вложением документа. Сотруднику достаточно открыть такой документ на своем компьютере, чтобы уязвимость отработала, а дальше на компьютер жертвы скачивается и устанавливается «полезная нагрузка» — вредоносное ПО», — рассказал руководитель отдела детектирования сложных угроз «Лаборатории Касперского» Евгений Лопатин.
«Ростелеком-Солар» зарегистрировал одну целенаправленную атаку на органы государственной власти с использованием обсуждаемой уязвимости, рассказал руководитель отдела расследования киберинцидентов Solar JSOC CERT Игорь Залевский.
Речь об уязвимости в MSHTML, движке браузера Internet Explorer. Эта часть отвечает за отображение содержимого веб-страницы (картинок, шрифтов и других файлов) в том или ином формате. Формат зависит от того, в программе какого типа используется движок. Такой программой может быть как сам браузер, так и, например, почтовый клиент. В данном случае MSHTML используется пакетом программ Microsoft Office для отображения веб-контента в документах.
Уязвимость в MSHTML позволяет злоумышленнику создавать модифицированные документы, при открытии которых Microsoft Office автоматически скачивает из сети и запускает вредоносный скрипт — программу, которая запускает последовательность тех или иных действий на компьютере.
Microsoft сообщила об обнаружении уязвимости в MSHTML 7 сентября. 14 числа компания выпустила обновление, которое исправляет ошибку.
источник: https://iz.ru/1222361/2021-09-16/khakery-atakuiut-rossiiskie-organizatcii-cherez-novuiu-uiazvimost-microsoft-office?utm_source=yxnews&utm_medium=desktop
+7 (495) 749-28-49
http://www.configit.ru/
#MSoffice #microsoft #хакеры #атака #нововсти #ит #конфигит #configit
Известия
Хакеры атакуют российские организации через новую уязвимость Microsoft Office
В России зафиксированы попытки атаковать по меньшей мере 18 организаций через новую уязвимость в продуктах Microsoft Office (MS Excel, MS Word и MS PowerPoint), сообщили «Известиям» в «Лаборатории Касперского». Там уточнили, что хакеры пытались взломать компании…
Исходный код технологии NVIDIA DLSS попал в открытый доступ
Хакерcкая группировка LAPSUS$ опубликовала в открытом доступе исходный код технологии интеллектуального масштабирования NVIDIA Deep Learning Super Sampling (DLSS). Об этом сообщает портал TechPowerUp, опубликовавший скриншот с программными файлами этого алгоритма.
В отличие от аналогов AMD FSR и Intel XeSS, которые уже являются открытыми технологиями масштабирования изображения или станут таковыми в обозримом будущем, технология DLSS является проприетарной, и NVIDIA не собиралась делать её код открытым. Однако производитель видеокарт подключает к программе использования DLSS всё больше и больше разработчиков игр, помогая им реализовать технологию в своих проектах.
NVIDIA DLSS часто рассматривается в качестве превосходящей все аналоги технологией масштабирования. Главным образом потому, что она полагается на физические тензорные ядра для ускорения работы алгоритмов ИИ, обеспечивающие более высокую производительность в сравнении с остальными. И производитель никогда не делился этой технологией со своими конкурентами.
Хакеры, проникшие на серверы NVIDIA и похитившие 1 Тбайт конфиденциальной информации, опубликовали исходный код DLSS. Очевидно, что любой, кто попытается использовать эти данные в своих проектах, может столкнуться с юридическими проблемами. Однако сам факт утечки говорит о том, что один из крупнейших проектов NVIDIA, в разработку которого компания могла вложить миллионы долларов, теперь раскрыт и не является секретом.
+7 (495) 749-28-49
www.configit.ru
#NVIDIA #DLSS #LAPSUS$ #хакеры #взлом #новости #ит #конфигит #configit
https://3dnews.ru/1061145/publikatsiya-1061145?utm_source=yxnews&utm_medium=desktop
Хакерcкая группировка LAPSUS$ опубликовала в открытом доступе исходный код технологии интеллектуального масштабирования NVIDIA Deep Learning Super Sampling (DLSS). Об этом сообщает портал TechPowerUp, опубликовавший скриншот с программными файлами этого алгоритма.
В отличие от аналогов AMD FSR и Intel XeSS, которые уже являются открытыми технологиями масштабирования изображения или станут таковыми в обозримом будущем, технология DLSS является проприетарной, и NVIDIA не собиралась делать её код открытым. Однако производитель видеокарт подключает к программе использования DLSS всё больше и больше разработчиков игр, помогая им реализовать технологию в своих проектах.
NVIDIA DLSS часто рассматривается в качестве превосходящей все аналоги технологией масштабирования. Главным образом потому, что она полагается на физические тензорные ядра для ускорения работы алгоритмов ИИ, обеспечивающие более высокую производительность в сравнении с остальными. И производитель никогда не делился этой технологией со своими конкурентами.
Хакеры, проникшие на серверы NVIDIA и похитившие 1 Тбайт конфиденциальной информации, опубликовали исходный код DLSS. Очевидно, что любой, кто попытается использовать эти данные в своих проектах, может столкнуться с юридическими проблемами. Однако сам факт утечки говорит о том, что один из крупнейших проектов NVIDIA, в разработку которого компания могла вложить миллионы долларов, теперь раскрыт и не является секретом.
+7 (495) 749-28-49
www.configit.ru
#NVIDIA #DLSS #LAPSUS$ #хакеры #взлом #новости #ит #конфигит #configit
https://3dnews.ru/1061145/publikatsiya-1061145?utm_source=yxnews&utm_medium=desktop
3DNews - Daily Digital Digest
Исходный код технологии NVIDIA DLSS попал в открытый доступ
Хакерcкая группировка LAPSUS$ опубликовала в открытом доступе исходный код технологии интеллектуального масштабирования NVIDIA Deep Learning Super Sampling (DLSS).
И снова СДЭК: в даркнет выложили базу данных транспортной компании
Новая порция содержит три файла. В открытый доступ слили минимум 330 тысяч клиентов экспресс-доставки. Дамп одного документа совсем свежий, его сделали 5 июля. В базе имена, телефоны, почтовые и электронные адреса, треки доставки и пункты самовывоза. Про очередной слив СДЭКа накануне вечером написал Telegram-канал “Утечки информации”. Свободно скачать можно три файла. Первый client.csv содержит полную информацию о 330 тыс. клиентов: фамилии получателя, электронки, название компании-отправителя и даже пункт самовывоза. Второй файл contragent.csv сдаёт контрагентов СДЭКа. 30 тыс. строк с информацией о “физиках” и компаниях на русском и английском языках, телефоны, адреса и треки обновлений. Именно этот файл, судя по датам, был скопирован 5 июля. Третий документ phone.csv касается телефонов и идентификаторов отправителя / получателя. Данные связаны с первым файлом. После удаления дублей остается почти 25 млн телефонных номеров. Первая утечка у СДЭКа случилась в феврале. В сеть попали две таблицы с ФИО, телефонами и адресами: один файл содержал 460 млн строк, второй — 820 млн. Оператор подтвердил потерю данных, обвинив хакеров во взломе системы.
Клиенты СДЭКа подали на компанию в суд и требуют компенсации. В мае база экспресс-доставки пополнила и карту утечек Яндекс.Еды, ГИБДД, Билайн и Wildberries. Напомним, Минцифры сейчас дорабатывает законопроект о штрафах за утечки. По первому “сливу” предлагают установить фиксированную ставку, за второй прокол — оборотный штраф. Деньги могут пойти в Фонд, который будет выплачивать компенсации пострадавшим.
+7 (495) 749-28-49
www.configit.ru
#сдэк #взлом #хакеры #сливбаз #новости #ит #конфигит #configit
https://www.anti-malware.ru/news/2022-07-14-118537/39098
Новая порция содержит три файла. В открытый доступ слили минимум 330 тысяч клиентов экспресс-доставки. Дамп одного документа совсем свежий, его сделали 5 июля. В базе имена, телефоны, почтовые и электронные адреса, треки доставки и пункты самовывоза. Про очередной слив СДЭКа накануне вечером написал Telegram-канал “Утечки информации”. Свободно скачать можно три файла. Первый client.csv содержит полную информацию о 330 тыс. клиентов: фамилии получателя, электронки, название компании-отправителя и даже пункт самовывоза. Второй файл contragent.csv сдаёт контрагентов СДЭКа. 30 тыс. строк с информацией о “физиках” и компаниях на русском и английском языках, телефоны, адреса и треки обновлений. Именно этот файл, судя по датам, был скопирован 5 июля. Третий документ phone.csv касается телефонов и идентификаторов отправителя / получателя. Данные связаны с первым файлом. После удаления дублей остается почти 25 млн телефонных номеров. Первая утечка у СДЭКа случилась в феврале. В сеть попали две таблицы с ФИО, телефонами и адресами: один файл содержал 460 млн строк, второй — 820 млн. Оператор подтвердил потерю данных, обвинив хакеров во взломе системы.
Клиенты СДЭКа подали на компанию в суд и требуют компенсации. В мае база экспресс-доставки пополнила и карту утечек Яндекс.Еды, ГИБДД, Билайн и Wildberries. Напомним, Минцифры сейчас дорабатывает законопроект о штрафах за утечки. По первому “сливу” предлагают установить фиксированную ставку, за второй прокол — оборотный штраф. Деньги могут пойти в Фонд, который будет выплачивать компенсации пострадавшим.
+7 (495) 749-28-49
www.configit.ru
#сдэк #взлом #хакеры #сливбаз #новости #ит #конфигит #configit
https://www.anti-malware.ru/news/2022-07-14-118537/39098
Россияне подвергаются новому виду хакерских атак, сообщили эксперты
Хакеры стали провоцировать массовую рассылку смс от российских компаний клиентам и случайным людям, что приводит не только к репутационным потерям, но и к финансовым, сообщили РИА Новости в компании-разработчике решений для защиты от кибератак Servicepipe.
Злоумышленники создают вредоносных ботов, атакующих сайты и мобильные приложения. Используя пользовательские данные в открытом доступе (например, номера телефонов из утекших баз), боты генерируют на атакуемом ресурсе множество запросов (например, на регистрацию или авторизацию по номеру телефона).
При отправке запроса на указанный номер уходит смс с кодом подтверждения. Сообщения могут также рассылаться и по базам случайных номеров, владельцы которых не зарегистрированы на атакованном ресурсе. "Схема примечательна тем, что направлена против организаций, но в первую очередь затрагивает пользователей их сервисов и клиентов, которые ошибочно полагают, что под атакой находятся именно они", - указали эксперты.
Любой получатель такого смс, естественно, опасается, что его аккаунт взломан, а персональные данные попали к мошенникам. Многие пользователи сразу звонят в службу поддержки. Поэтому данные атаки зачастую сопровождаются перегрузкой колл-центров, задача которых — подтверждать действия пользователей на сайте. В случае с подрядными колл-центрами на аутсорсинге проблема еще серьезнее, так как в большинстве случаев их услуги тарифицируются по количеству звонков, отметили в компании.
+7 (495) 749-28-49
www.configit.ru
https://ria.ru/20230120/servicepipe-1846139478.html?utm_source=yxnews&utm_medium=desktop
#servicepipe #sms #кибератаки #смс #взлом #хакеры #новости #ит #конфигит #configit
Хакеры стали провоцировать массовую рассылку смс от российских компаний клиентам и случайным людям, что приводит не только к репутационным потерям, но и к финансовым, сообщили РИА Новости в компании-разработчике решений для защиты от кибератак Servicepipe.
Злоумышленники создают вредоносных ботов, атакующих сайты и мобильные приложения. Используя пользовательские данные в открытом доступе (например, номера телефонов из утекших баз), боты генерируют на атакуемом ресурсе множество запросов (например, на регистрацию или авторизацию по номеру телефона).
При отправке запроса на указанный номер уходит смс с кодом подтверждения. Сообщения могут также рассылаться и по базам случайных номеров, владельцы которых не зарегистрированы на атакованном ресурсе. "Схема примечательна тем, что направлена против организаций, но в первую очередь затрагивает пользователей их сервисов и клиентов, которые ошибочно полагают, что под атакой находятся именно они", - указали эксперты.
Любой получатель такого смс, естественно, опасается, что его аккаунт взломан, а персональные данные попали к мошенникам. Многие пользователи сразу звонят в службу поддержки. Поэтому данные атаки зачастую сопровождаются перегрузкой колл-центров, задача которых — подтверждать действия пользователей на сайте. В случае с подрядными колл-центрами на аутсорсинге проблема еще серьезнее, так как в большинстве случаев их услуги тарифицируются по количеству звонков, отметили в компании.
+7 (495) 749-28-49
www.configit.ru
https://ria.ru/20230120/servicepipe-1846139478.html?utm_source=yxnews&utm_medium=desktop
#servicepipe #sms #кибератаки #смс #взлом #хакеры #новости #ит #конфигит #configit
РИА Новости
Россияне подвергаются новому виду хакерских атак, сообщили эксперты
Хакеры стали провоцировать массовую рассылку смс от российских компаний клиентам и случайным людям, что приводит не только к репутационным потерям, но и к... РИА Новости, 20.01.2023
Хакеры нашли лазейку для рассылки вирусов, не смотря на усиление защиты против вредоносного ПО в электронных письмах
Годами хакеры рассылали вредоносное ПО с помощью электронной почты. Они использовали специальные макросы в файлах Word и Excel, запускающие скачивание и установку вирусов. Такие вирусы способны предоставлять злоумышленникам удаленный доступ к ПК, красть пароли и даже кошельки с криптовалютой. В июле прошлого года Microsoft сделала такой способ распространения вредоносного ПО ненадежным, отключив макросы по умолчанию во всех документах Office. Спустя какое-то время хакеры начали использовать для своих целей образы ISO и ZIP-файлы. Такой способ мошенников устанавливать вирусы на ПК своих жертв быстро распространился. Это произошло из-за того, что Windows дал возможность ISO-образам обходить предупреждения антивирусных программ, а утилита 7-Zip на файлы, извлеченные из архива, не устанавливала флажок «отметка сети». Вскоре Windows и 7-Zip исправили свои ошибки и вновь мошенникам пришлось искать выход для распространения вредоносных программ. Альтернативу хакеры нашли быстро — они начали распространять вирусы с помощью вложений Microsoft OneNote.
+7 (495) 749-28-49
www.configit.ru
https://sm.news/xakery-rassylayut-vredonosnoe-po-s-pomoshhyu-microsoft-onenote-71577-u3t5/?utm_source=yxnews&utm_medium=desktop
#microsoft #exel #word #вирусы #хакеры #новости #ит #конфигит #configit
Годами хакеры рассылали вредоносное ПО с помощью электронной почты. Они использовали специальные макросы в файлах Word и Excel, запускающие скачивание и установку вирусов. Такие вирусы способны предоставлять злоумышленникам удаленный доступ к ПК, красть пароли и даже кошельки с криптовалютой. В июле прошлого года Microsoft сделала такой способ распространения вредоносного ПО ненадежным, отключив макросы по умолчанию во всех документах Office. Спустя какое-то время хакеры начали использовать для своих целей образы ISO и ZIP-файлы. Такой способ мошенников устанавливать вирусы на ПК своих жертв быстро распространился. Это произошло из-за того, что Windows дал возможность ISO-образам обходить предупреждения антивирусных программ, а утилита 7-Zip на файлы, извлеченные из архива, не устанавливала флажок «отметка сети». Вскоре Windows и 7-Zip исправили свои ошибки и вновь мошенникам пришлось искать выход для распространения вредоносных программ. Альтернативу хакеры нашли быстро — они начали распространять вирусы с помощью вложений Microsoft OneNote.
+7 (495) 749-28-49
www.configit.ru
https://sm.news/xakery-rassylayut-vredonosnoe-po-s-pomoshhyu-microsoft-onenote-71577-u3t5/?utm_source=yxnews&utm_medium=desktop
#microsoft #exel #word #вирусы #хакеры #новости #ит #конфигит #configit
Информационный портал SM.news
Хакеры нашли лазейку для рассылки вирусов, не смотря на усиление защиты против вредоносного ПО в электронных письмах
Годами хакеры рассылали вредоносное ПО с помощью электронной почты
Хакеры опубликовали почти 17 Гб материалов по STALKER 2: Heart of Chornobyl
Утечки рабочих материалов ролевого шутера S.T.A.L.K.E.R. 2: Heart of Chornobyl продолжаются. И новая публикация в сообществе «Вестник “Того Самого Сталкера”» позволяет оценить масштаб взлома: в сеть выложили почти 17 Гб самых разных данных и артов. Часть из них уже известна тем, кто не боится испортить себе впечатление.
Авторы публикации описывают содержимое архива как подборку материалов, позволяющих изучить историю разработки и текущее состояние игры. Они, в частности, указывают, что разработчики используют наработки отменённого сиквела S.T.A.L.K.E.R. 2, датирующиеся 2011 годом: аномалии и сюжетные повороты.
Помимо карт игрового мира с локациями и пометками, кадров из различных билдов и тестов анимаций и визуальных эффектов, дизайн-документов, артбуков, концептов, информации о будущих DLC, в архивах можно найти пространные сюжетные подробности. Даже взломщики не советуют заглядывать в этот раздел тем, кто не любит спойлеры.
Создатели S.T.A.L.K.E.R. 2: Heart of Chornobyl попросили всех поклонников серии не смотреть данные утечек и не распространять, заверив, что это устаревшие материалы. Взломщики же уверяют, что у них в руках — масса свежих данных. И ещё более масштабную публикацию обещают сделать сегодня, 15 марта.
+7 (495) 749-28-49
www.configit.ru
https://www.igromania.ru/news/124272/Hakery_opublikovali_pochti_17_Gb_materialov_po_STALKER_2_Heart_of_Chornobyl.html?utm_source=yxnews&utm_medium=desktop
#stalker #games #спойлеры #шутер #игры #взлом #хакеры #новости #ит #конфигит #configit #cit
Утечки рабочих материалов ролевого шутера S.T.A.L.K.E.R. 2: Heart of Chornobyl продолжаются. И новая публикация в сообществе «Вестник “Того Самого Сталкера”» позволяет оценить масштаб взлома: в сеть выложили почти 17 Гб самых разных данных и артов. Часть из них уже известна тем, кто не боится испортить себе впечатление.
Авторы публикации описывают содержимое архива как подборку материалов, позволяющих изучить историю разработки и текущее состояние игры. Они, в частности, указывают, что разработчики используют наработки отменённого сиквела S.T.A.L.K.E.R. 2, датирующиеся 2011 годом: аномалии и сюжетные повороты.
Помимо карт игрового мира с локациями и пометками, кадров из различных билдов и тестов анимаций и визуальных эффектов, дизайн-документов, артбуков, концептов, информации о будущих DLC, в архивах можно найти пространные сюжетные подробности. Даже взломщики не советуют заглядывать в этот раздел тем, кто не любит спойлеры.
Создатели S.T.A.L.K.E.R. 2: Heart of Chornobyl попросили всех поклонников серии не смотреть данные утечек и не распространять, заверив, что это устаревшие материалы. Взломщики же уверяют, что у них в руках — масса свежих данных. И ещё более масштабную публикацию обещают сделать сегодня, 15 марта.
+7 (495) 749-28-49
www.configit.ru
https://www.igromania.ru/news/124272/Hakery_opublikovali_pochti_17_Gb_materialov_po_STALKER_2_Heart_of_Chornobyl.html?utm_source=yxnews&utm_medium=desktop
#stalker #games #спойлеры #шутер #игры #взлом #хакеры #новости #ит #конфигит #configit #cit
Игромания
Хакеры опубликовали почти 17 Гб материалов по STALKER 2: Heart of Chornobyl
Ещё больше обещают показать завтра.
Ответственность за взлом MSI взяли хакеры-вымогатели Money Message — они требуют $4 млн выкупа
Компания MSI ранее сообщила, что её сетевая инфраструктура подвергалась кибератаке. Производитель компьютерных комплектующих не стал вдаваться в подробности взлома и не сообщил, были в результате этого инцидента затронуты данные пользователей. Как стало известно порталу BleepingComputer, ответственность за взлом взяла на себя некая группировка хакеров-вымогателей Money Message.
Хакеры утверждают, что получили доступ к 1,5 Тбайт данных из CTMS- и ERP-систем, содержащих различную конфиденциальную информацию MSI. В частности, были похищены исходные коды программного обеспечения MSI, включая данные о структуре прошивок BIOS, используемых в продуктах производителя, криптографические ключи и прочие файлы.
Злоумышленники угрожают опубликовать украденные данные в открытый доступ на следующей неделе, если MSI не согласится с их требованием о выкупе в размере $4 млн. BleepingComputer обратился за комментариями в MSI, но там ответа пока не предоставили.
Как сообщается, хакерская группа Money Message образовалась в прошлом месяце. По данным компании Cyble, занимающейся вопросами кибербезопасности, целями указанной группы злоумышленников являются системы на базе Window и Linux. Преступники стараются получить доступ к сетевой инфраструктуре жертвы, зашифровывают её, а затем требуют выкуп. Перед внедрением программ-вымогателей хакеры обычно пытаются украсть данные администраторов IT-сетей.
+7 (495) 749-28-49
www.configit.ru
https://3dnews.ru/1084735/otvetstvennost-za-vzlom-serverov-kompanii-msi-vzyala-na-sebya-gruppa-vimogateley-money-message-oni-trebuyut-4-mln-za-ukradennie-dannie?utm_source=yxnews&utm_medium=desktop
#mci #moneymessage #cyble #кибератака #выкуп #взлом #хакеры #новости #ит #конфигит #configit #cit
Компания MSI ранее сообщила, что её сетевая инфраструктура подвергалась кибератаке. Производитель компьютерных комплектующих не стал вдаваться в подробности взлома и не сообщил, были в результате этого инцидента затронуты данные пользователей. Как стало известно порталу BleepingComputer, ответственность за взлом взяла на себя некая группировка хакеров-вымогателей Money Message.
Хакеры утверждают, что получили доступ к 1,5 Тбайт данных из CTMS- и ERP-систем, содержащих различную конфиденциальную информацию MSI. В частности, были похищены исходные коды программного обеспечения MSI, включая данные о структуре прошивок BIOS, используемых в продуктах производителя, криптографические ключи и прочие файлы.
Злоумышленники угрожают опубликовать украденные данные в открытый доступ на следующей неделе, если MSI не согласится с их требованием о выкупе в размере $4 млн. BleepingComputer обратился за комментариями в MSI, но там ответа пока не предоставили.
Как сообщается, хакерская группа Money Message образовалась в прошлом месяце. По данным компании Cyble, занимающейся вопросами кибербезопасности, целями указанной группы злоумышленников являются системы на базе Window и Linux. Преступники стараются получить доступ к сетевой инфраструктуре жертвы, зашифровывают её, а затем требуют выкуп. Перед внедрением программ-вымогателей хакеры обычно пытаются украсть данные администраторов IT-сетей.
+7 (495) 749-28-49
www.configit.ru
https://3dnews.ru/1084735/otvetstvennost-za-vzlom-serverov-kompanii-msi-vzyala-na-sebya-gruppa-vimogateley-money-message-oni-trebuyut-4-mln-za-ukradennie-dannie?utm_source=yxnews&utm_medium=desktop
#mci #moneymessage #cyble #кибератака #выкуп #взлом #хакеры #новости #ит #конфигит #configit #cit
3DNews - Daily Digital Digest
Ответственность за взлом MSI взяли хакеры-вымогатели Money Message — они требуют $4 млн выкупа
Компания MSI ранее сообщила, что её сетевая инфраструктура подвергалась кибератаке.
Хакеры опубликовали ключи BIOS для 57 моделей ноутбуков MSI — теперь их стало намного проще взломать
Хакерская группа Money Message упростила взлом ноутбуков компании MSI, опубликовав конфиденциальные ключи сертификации программного обеспечения для продуктов производителя, похищенные ранее с серверов самой MSI. Теперь злоумышленники могут заражать ноутбуки под видом официальных BIOS, и система не заметит подвоха.
В прошлом месяце серверы MSI подверглись хакерской атаке. Злоумышленники похитили конфиденциальные данные и пригрозили их опубликовать, если MSI не заплатит им выкуп в размере нескольких миллионов долларов. Судя по всему, компания не пошла на сделку с хакерами, поэтому последние в четверг на своём сайте в даркнете опубликовали различные закрытые данные производителя, включая ключи аутентификации программного обеспечения для ноутбуков MSI.
Компания Binarly, занимающаяся вопросами кибербезопасности, проанализировала слитые хакерами данные и подтвердила, что в них помимо прочего содержатся ключи BIOS для 57 моделей ноутбуков компании. Binarly опубликовала на своей странице в репозитории GitHub список затронутых моделей ноутбуков.
Эти ключи носят важное значение, поскольку MSI использует их для сертификации обновлений своего программного обеспечения. Без них компьютер будет воспринимать обновление ПО как ненадёжное и потенциально вредоносное. Теперь эти ключи могут оказаться не в тех руках и использоваться для подписи вредоносного кода, но системой он будет восприниматься, как официальный от производителя.
«Ключи подписи к ПО позволяют злоумышленнику создавать вредоносные обновления прошивки, которые могут быть доставлены на систему жертвы через обычные процессы обновления BIOS с помощью инструментов обновления MSI», — прокомментировал в разговоре с изданием PCMag глава компании Binarly Алекс Матросов (Alex Matrosov).
Посредством ключей вредоносное ПО может оказаться на компьютере пользователя через фейковые сайты или электронные письма, якобы от MSI. Однако по словам Матросова, ключевой вектор атаки в данном случае будет проводиться через «вторичную загрузку» — после того, как вредоносное ПО окажется на компьютере жертвы посредством загрузки через браузер или фишинговую атаку. Большинство антивирусных систем в этом случае просто проигнорируют вредоносное ПО на компьютере, поскольку посчитают, что оно подписано самим производителем.
Ещё одной проблемой является утечка ключей для Intel Boot Guard, которая обеспечивает аппаратную защиту целостности загрузки BIOS, отслеживает несанкционированные блоки загрузки и запрещает их исполнение. По данным Binarly, в утёкших данных MSI содержатся ключи Intel Boot Guard для 117 продуктов компании. При этом отмечается, что технология Intel Boot Guard используется во многих сегментах.
«Утечка ключей Intel BootGuard накладывает отпечаток на всей экосистеме, а не только на продуктах MSI, и делает эту функцию безопасности бесполезной», — говорит Матросов. В MSI и Intel на запрос комментариев PCMag не ответили.
К настоящему моменту в MSI лишь посоветовали своим пользователям не скачивать её софт из неофициальных источников. По мнению Матросова, у MSI очень ограничен выбор возможных решений этой проблемы. «Мне кажется, что MSI оказалась в очень затруднительной ситуации, поскольку для обновления ключей на новые безопасные потребуется использовать старые ключи, которые были похищены. Я не думаю, что у компании имеется некий механизм, позволяющий просто отозвать скомпрометированные ключи», — добавил эксперт.
+7 (495) 749-28-49
www.configit.ru
https://3dnews.ru/1086294/hakeri-money-message-opublikovali-v-darknete-klyuchi-sertifikatsii-produktov-msi-teper-ih-stalo-proshche-vzlomat?utm_source=yxnews&utm_medium=desktop
#mci #bios #intel #ключ #утечка #взлом #хакеры #новости #ит #конфигит #configit #cit
Хакерская группа Money Message упростила взлом ноутбуков компании MSI, опубликовав конфиденциальные ключи сертификации программного обеспечения для продуктов производителя, похищенные ранее с серверов самой MSI. Теперь злоумышленники могут заражать ноутбуки под видом официальных BIOS, и система не заметит подвоха.
В прошлом месяце серверы MSI подверглись хакерской атаке. Злоумышленники похитили конфиденциальные данные и пригрозили их опубликовать, если MSI не заплатит им выкуп в размере нескольких миллионов долларов. Судя по всему, компания не пошла на сделку с хакерами, поэтому последние в четверг на своём сайте в даркнете опубликовали различные закрытые данные производителя, включая ключи аутентификации программного обеспечения для ноутбуков MSI.
Компания Binarly, занимающаяся вопросами кибербезопасности, проанализировала слитые хакерами данные и подтвердила, что в них помимо прочего содержатся ключи BIOS для 57 моделей ноутбуков компании. Binarly опубликовала на своей странице в репозитории GitHub список затронутых моделей ноутбуков.
Эти ключи носят важное значение, поскольку MSI использует их для сертификации обновлений своего программного обеспечения. Без них компьютер будет воспринимать обновление ПО как ненадёжное и потенциально вредоносное. Теперь эти ключи могут оказаться не в тех руках и использоваться для подписи вредоносного кода, но системой он будет восприниматься, как официальный от производителя.
«Ключи подписи к ПО позволяют злоумышленнику создавать вредоносные обновления прошивки, которые могут быть доставлены на систему жертвы через обычные процессы обновления BIOS с помощью инструментов обновления MSI», — прокомментировал в разговоре с изданием PCMag глава компании Binarly Алекс Матросов (Alex Matrosov).
Посредством ключей вредоносное ПО может оказаться на компьютере пользователя через фейковые сайты или электронные письма, якобы от MSI. Однако по словам Матросова, ключевой вектор атаки в данном случае будет проводиться через «вторичную загрузку» — после того, как вредоносное ПО окажется на компьютере жертвы посредством загрузки через браузер или фишинговую атаку. Большинство антивирусных систем в этом случае просто проигнорируют вредоносное ПО на компьютере, поскольку посчитают, что оно подписано самим производителем.
Ещё одной проблемой является утечка ключей для Intel Boot Guard, которая обеспечивает аппаратную защиту целостности загрузки BIOS, отслеживает несанкционированные блоки загрузки и запрещает их исполнение. По данным Binarly, в утёкших данных MSI содержатся ключи Intel Boot Guard для 117 продуктов компании. При этом отмечается, что технология Intel Boot Guard используется во многих сегментах.
«Утечка ключей Intel BootGuard накладывает отпечаток на всей экосистеме, а не только на продуктах MSI, и делает эту функцию безопасности бесполезной», — говорит Матросов. В MSI и Intel на запрос комментариев PCMag не ответили.
К настоящему моменту в MSI лишь посоветовали своим пользователям не скачивать её софт из неофициальных источников. По мнению Матросова, у MSI очень ограничен выбор возможных решений этой проблемы. «Мне кажется, что MSI оказалась в очень затруднительной ситуации, поскольку для обновления ключей на новые безопасные потребуется использовать старые ключи, которые были похищены. Я не думаю, что у компании имеется некий механизм, позволяющий просто отозвать скомпрометированные ключи», — добавил эксперт.
+7 (495) 749-28-49
www.configit.ru
https://3dnews.ru/1086294/hakeri-money-message-opublikovali-v-darknete-klyuchi-sertifikatsii-produktov-msi-teper-ih-stalo-proshche-vzlomat?utm_source=yxnews&utm_medium=desktop
#mci #bios #intel #ключ #утечка #взлом #хакеры #новости #ит #конфигит #configit #cit
3DNews - Daily Digital Digest
Хакеры опубликовали ключи BIOS для 57 моделей ноутбуков MSI — теперь их стало намного проще взломать
Хакерская группа Money Message упростила взлом ноутбуков компании MSI, опубликовав конфиденциальные ключи сертификации программного обеспечения для продуктов производителя, похищенные ранее с серверов самой MSI.
Хакеры планируют опубликовать в открытом доступе внутренние документы и исходные коды платформы Reddit
Хакеры из группировки BlackCat (ALPHV) объявили о планах опубликовать в открытом доступе внутренние документы и исходные коды платформы Reddit, если администрация площадки не заплатит им $4,5 млн. Причём они уже настроены на этот шаг, так как особо не ждут выкупа.
В начале февраля 2023 года Reddit сообщила о взломе своих IT-систем. Хакеры смогли скачать внутренние корпоративные документы, базы данных и некоторые исходные коды платформы. Учётные данные пользователей в ходе инцидента не пострадали, так как были в другом контуре безопасности. В компании пояснили, что хакер через фишинговую атаку завладел учётными данными сотрудника и использовал их в течение некоторого времени для доступа к внутренним документам, коду, а также к панелям мониторинга и бизнес-системам. После локализации инцидента ИБ-эксперты платформы не обнаружили признаков взлома основных производственных систем — частей стека, которые запускают Reddit и хранят большую часть данных пользователей.
После атаки хакеры сообщили, что смогли скопировать 80 ГБ данных с серверов Reddit. Злоумышленники пытались дважды связаться с администрацией платформы с требованием выкупа в размере $4,5 млн за удаление данных, но так и не получили ответа от Reddit.
В своём новом сообщении хакеры помимо выплаты выкупа требуют от Reddit отменить решение о вводе платного использования API платформы для сторонних компаний и разработчиков. Хакеры заявили, что в случае отказа весь мир узнает обо всей той статистике, которую Reddit собирает на своих пользователях и об их конфиденциальных данных, а также про цензуру на сабредитах и даже об артефактах из внутреннего репозитория GitHub компании.
7 (495) 749-28-49
www.configit.ru
https://habr.com/ru/news/742602/
#reddit #blackcat #alphv #хакеры #фишинг #взлом #выкуп #новости #ит #конфигит #configit #cit
Хакеры из группировки BlackCat (ALPHV) объявили о планах опубликовать в открытом доступе внутренние документы и исходные коды платформы Reddit, если администрация площадки не заплатит им $4,5 млн. Причём они уже настроены на этот шаг, так как особо не ждут выкупа.
В начале февраля 2023 года Reddit сообщила о взломе своих IT-систем. Хакеры смогли скачать внутренние корпоративные документы, базы данных и некоторые исходные коды платформы. Учётные данные пользователей в ходе инцидента не пострадали, так как были в другом контуре безопасности. В компании пояснили, что хакер через фишинговую атаку завладел учётными данными сотрудника и использовал их в течение некоторого времени для доступа к внутренним документам, коду, а также к панелям мониторинга и бизнес-системам. После локализации инцидента ИБ-эксперты платформы не обнаружили признаков взлома основных производственных систем — частей стека, которые запускают Reddit и хранят большую часть данных пользователей.
После атаки хакеры сообщили, что смогли скопировать 80 ГБ данных с серверов Reddit. Злоумышленники пытались дважды связаться с администрацией платформы с требованием выкупа в размере $4,5 млн за удаление данных, но так и не получили ответа от Reddit.
В своём новом сообщении хакеры помимо выплаты выкупа требуют от Reddit отменить решение о вводе платного использования API платформы для сторонних компаний и разработчиков. Хакеры заявили, что в случае отказа весь мир узнает обо всей той статистике, которую Reddit собирает на своих пользователях и об их конфиденциальных данных, а также про цензуру на сабредитах и даже об артефактах из внутреннего репозитория GitHub компании.
7 (495) 749-28-49
www.configit.ru
https://habr.com/ru/news/742602/
#reddit #blackcat #alphv #хакеры #фишинг #взлом #выкуп #новости #ит #конфигит #configit #cit
Хабр
Хакеры планируют опубликовать в открытом доступе внутренние документы и исходные коды платформы Reddit
Хакеры из группировки BlackCat (ALPHV) объявили о планах опубликовать в открытом доступе внутренние документы и исходные коды платформы Reddit, если администрация площадки не заплатит им $4,5 млн....
Apple начала приём заявок от белых хакеров в программу iPhone Security Research Device Program 2024
Apple объявила о начале приёме заявок от белых хакеров на участие в программе iPhone Security Research Device Program (SRDP) 2024 года. Заявки от ИБ-исследователей будут приниматься до 31 октября. Apple в начале 2024 года сообщит прошедшим отбор по программе SRDP специалистам, когда и как они смогут получить специальные разблокированные смартфоны компании для анализа и проверки на уязвимости.
В Apple сообщили, что с начала действия программы в 2019 году белые хакеры помогли найти в экосистеме компании более 130 уязвимостей и помогли реализовать Apple «новаторские меры» для защиты устройств на iOS.
Согласно условиям программы SRDP 2024, прошедшим отбор исследователям Apple выдаст модифицированные iPhone 14 Pro со специальным аппаратным и программным обеспечением. Белые хакеры смогут настраивать и отключать различные встроенные средства защиты iOS на смартфоне для поиска уязвимостей и багов.
Apple предоставляет ограниченное количество модифицированных iPhone 14 Pro исследователям в области безопасности, имеющим опыт по поиску уязвимостей как на iOS, так и на других платформах. Также Apple предоставляет подобные устройства для преподавателей университетов в США, которые хотят использовать их в качестве учебного пособия для студентов, изучающих информатику и информационную безопасность.
7 (495) 749-28-49
www.configit.ru
https://habr.com/ru/news/758114/
#iphone #apple #srdp #уязвимость #работа #хакеры #новости #ит #конфигит #configit #cit
Apple объявила о начале приёме заявок от белых хакеров на участие в программе iPhone Security Research Device Program (SRDP) 2024 года. Заявки от ИБ-исследователей будут приниматься до 31 октября. Apple в начале 2024 года сообщит прошедшим отбор по программе SRDP специалистам, когда и как они смогут получить специальные разблокированные смартфоны компании для анализа и проверки на уязвимости.
В Apple сообщили, что с начала действия программы в 2019 году белые хакеры помогли найти в экосистеме компании более 130 уязвимостей и помогли реализовать Apple «новаторские меры» для защиты устройств на iOS.
Согласно условиям программы SRDP 2024, прошедшим отбор исследователям Apple выдаст модифицированные iPhone 14 Pro со специальным аппаратным и программным обеспечением. Белые хакеры смогут настраивать и отключать различные встроенные средства защиты iOS на смартфоне для поиска уязвимостей и багов.
Apple предоставляет ограниченное количество модифицированных iPhone 14 Pro исследователям в области безопасности, имеющим опыт по поиску уязвимостей как на iOS, так и на других платформах. Также Apple предоставляет подобные устройства для преподавателей университетов в США, которые хотят использовать их в качестве учебного пособия для студентов, изучающих информатику и информационную безопасность.
7 (495) 749-28-49
www.configit.ru
https://habr.com/ru/news/758114/
#iphone #apple #srdp #уязвимость #работа #хакеры #новости #ит #конфигит #configit #cit
Хабр
Apple начала приём заявок от белых хакеров в программу iPhone Security Research Device Program 2024
Apple объявила о начале приёме заявок от белых хакеров на участие в программе iPhone Security Research Device Program (SRDP) 2024 года. Заявки от ИБ-исследователей будут приниматься до 31 октября....
Toyota подтвердила утечку данных после кибератаки
Toyota Financial Services (TFS) подтвердила утечку данных в результате несанкционированного доступа к ряду своих систем в Европе и Африке. Ранее об атаке на инфраструктуру дочерней компании Toyota Motor Corporation объявила хакерская группа Medusa.
TFS — глобальная компания, присутствующая на 90% рынков, на которых Toyota продаёт свои автомобили. Подразделение предоставляет услуги автофинансирования.
Medusa разместила упоминание TFS на своём сайте в даркнете, потребовав $8 млн за удаление данных, предположительно похищенных у японской компании. Злоумышленники сообщили, что у Toyota есть 10 дней на ответ с возможностью продления срока за $10 тыс. в день. Преступная группа пригрозила опубликовать данные, если компания не выплатит выкуп.
В качестве примера Medusa раскрыла образцы данных, которые включают финансовые документы, электронные таблицы, счета-фактуры, хешированные пароли учётных записей, ID пользователей, соглашения, сканы паспортов, внутренние организационные диаграммы, отчёты о финансовых итогах, адреса электронной почты сотрудников и многое другое.
Злоумышленники опубликовали текстовый файл, который содержит древовидную структуру всех данных, похищенных из систем Toyota. Большая часть этих документов составлена на немецком языке, это указывает на то, что хакеры получили доступ к инфраструктуре обслуживания операций компании в Центральной Европе.
Toyota Financial Services Europe & Africa подтвердила «несанкционированную активность в системах в ограниченном числе своих офисов». Компания отключила некоторые системы, чтобы провести расследование атак, снизить риски и начать работу с правоохранительными органами.
Аналитик по безопасности Кевин Бомонт отметил, что в немецком офисе TFS конечная точка Citrix Gateway имела доступ в интернет и не обновлялась с августа 2023 года. Эксперт считает, что это указывает на уязвимость Citrix Bleed (CVE-2023-4966).
Ранее ИБ-специалисты подтвердили, что операторы программы-вымогателя Lockbit использовали общедоступные эксплойты Citrix Bleed для взлома Промышленного и коммерческого банка Китая, DP World, Allen & Overy и Boeing.
7 (495) 749-28-49
www.configit.ru
https://habr.com/ru/news/774570/
#toyota #medusa #утечка #хакеры #кибератаки #новости #ит #конфигит #configit #cit
Toyota Financial Services (TFS) подтвердила утечку данных в результате несанкционированного доступа к ряду своих систем в Европе и Африке. Ранее об атаке на инфраструктуру дочерней компании Toyota Motor Corporation объявила хакерская группа Medusa.
TFS — глобальная компания, присутствующая на 90% рынков, на которых Toyota продаёт свои автомобили. Подразделение предоставляет услуги автофинансирования.
Medusa разместила упоминание TFS на своём сайте в даркнете, потребовав $8 млн за удаление данных, предположительно похищенных у японской компании. Злоумышленники сообщили, что у Toyota есть 10 дней на ответ с возможностью продления срока за $10 тыс. в день. Преступная группа пригрозила опубликовать данные, если компания не выплатит выкуп.
В качестве примера Medusa раскрыла образцы данных, которые включают финансовые документы, электронные таблицы, счета-фактуры, хешированные пароли учётных записей, ID пользователей, соглашения, сканы паспортов, внутренние организационные диаграммы, отчёты о финансовых итогах, адреса электронной почты сотрудников и многое другое.
Злоумышленники опубликовали текстовый файл, который содержит древовидную структуру всех данных, похищенных из систем Toyota. Большая часть этих документов составлена на немецком языке, это указывает на то, что хакеры получили доступ к инфраструктуре обслуживания операций компании в Центральной Европе.
Toyota Financial Services Europe & Africa подтвердила «несанкционированную активность в системах в ограниченном числе своих офисов». Компания отключила некоторые системы, чтобы провести расследование атак, снизить риски и начать работу с правоохранительными органами.
Аналитик по безопасности Кевин Бомонт отметил, что в немецком офисе TFS конечная точка Citrix Gateway имела доступ в интернет и не обновлялась с августа 2023 года. Эксперт считает, что это указывает на уязвимость Citrix Bleed (CVE-2023-4966).
Ранее ИБ-специалисты подтвердили, что операторы программы-вымогателя Lockbit использовали общедоступные эксплойты Citrix Bleed для взлома Промышленного и коммерческого банка Китая, DP World, Allen & Overy и Boeing.
7 (495) 749-28-49
www.configit.ru
https://habr.com/ru/news/774570/
#toyota #medusa #утечка #хакеры #кибератаки #новости #ит #конфигит #configit #cit
Хабр
Toyota подтвердила утечку данных после кибератаки
Toyota Financial Services (TFS) подтвердила утечку данных в результате несанкционированного доступа к ряду своих систем в Европе и Африке. Ранее об атаке на инфраструктуру дочерней компании Toyota...
В TeamViewer сообщили о хакерской атаке на корпоративную среду компании
Компания-разработчик программного обеспечения для удалённого доступа TeamViewer предупредила об атаке на её корпоративную среду. Она утверждает, что это была хакерская группа APT29.
Хотя все эти оповещения вышли одновременно, неясно, связаны ли они между собой, поскольку сообщения TeamViewer и NCC касаются корпоративного нарушения, а предупреждение Health-ISAC больше ориентировано на соединения TeamViewer.
«В среду, 26 июня 2024 года, наша группа безопасности обнаружила сбой во внутренней корпоративной IT-среде TeamViewer. Мы немедленно активировали группу реагирования и процедуры, начали расследования вместе с командой специалистов по всему миру, привлекли известных экспертов по кибербезопасности и приняли необходимые меры по исправлению ситуации», — сообщает TeamViewer на странице Центра управления безопасностью.
Компания отметила, что внутренняя корпоративная IT-среда TeamViewer полностью изолирована от среды продукта, и нет никаких доказательств того, что атака затронула эту среду или данные клиентов.
Там также пообещали провести прозрачное расследование инцидента. При этом страница «Обновление IT-безопасности TeamViewer» содержит HTML-тег <meta name="robots" content="noindex">, который запрещает индексацию документа поисковыми системами.
О взломе впервые сообщил на Mastodon специалист по кибербезопасности Джеффри, который поделился предупреждением голландского правительственного центра цифрового доверия.
Компания по информационной безопасности NCC Group же заявила, что «узнала о серьёзной компрометации платформы удалённого доступа и поддержки TeamViewer группой APT29».
В предупреждении от сообщества медицинских работников Health-ISAC также говорится о том, что службы TeamViewer, предположительно, активно подвергаются атакам со стороны связанной с РФ хакерской группы APT29, также известной как Cozy Bear, NOBELIUM и Midnight Blizzard. «27 июня 2024 года Health-ISAC получила информацию от доверенного партнера по разведке о том, что APT29 активно использует TeamViewer. Health-ISAC рекомендует просматривать журналы на предмет любого необычного трафика удалённого рабочего стола», — отмечается в сообщении.
Вскоре информацию о причастности к атаке APT29 подтвердили и в TeamViewer.
Хотя все эти оповещения вышли одновременно, неясно, связаны ли они между собой, поскольку сообщения TeamViewer и NCC касаются корпоративного нарушения, а предупреждение Health-ISAC больше ориентировано на соединения TeamViewer.
Пока же всем клиентам TeamViewer рекомендуется включить многофакторную аутентификацию, настроить список разрешённых и заблокированных пользователей, а также отслеживать свои сетевые подключения и журналы.
Осенью 2023 года сообщалось, что хакеры, в том числе группировок Lazarus, Andariel и APT29, активно атаковали уязвимые серверы с системой CI/CD TeamCity от JetBrains. Использование уязвимости позволяло злоумышленникам не только украсть исходный код с серверов TeamCity, но также сохранённые служебные секреты и закрытые ключи проектов и рабочих сессий.
7 (495) 749-28-49
www.configit.ru
https://habr.com/ru/news/825524/
#teamviewer #apt29 #хакеры #атака #удаленныйдоступ #новости #ит #конфигит #configit #cit
Компания-разработчик программного обеспечения для удалённого доступа TeamViewer предупредила об атаке на её корпоративную среду. Она утверждает, что это была хакерская группа APT29.
Хотя все эти оповещения вышли одновременно, неясно, связаны ли они между собой, поскольку сообщения TeamViewer и NCC касаются корпоративного нарушения, а предупреждение Health-ISAC больше ориентировано на соединения TeamViewer.
«В среду, 26 июня 2024 года, наша группа безопасности обнаружила сбой во внутренней корпоративной IT-среде TeamViewer. Мы немедленно активировали группу реагирования и процедуры, начали расследования вместе с командой специалистов по всему миру, привлекли известных экспертов по кибербезопасности и приняли необходимые меры по исправлению ситуации», — сообщает TeamViewer на странице Центра управления безопасностью.
Компания отметила, что внутренняя корпоративная IT-среда TeamViewer полностью изолирована от среды продукта, и нет никаких доказательств того, что атака затронула эту среду или данные клиентов.
Там также пообещали провести прозрачное расследование инцидента. При этом страница «Обновление IT-безопасности TeamViewer» содержит HTML-тег <meta name="robots" content="noindex">, который запрещает индексацию документа поисковыми системами.
О взломе впервые сообщил на Mastodon специалист по кибербезопасности Джеффри, который поделился предупреждением голландского правительственного центра цифрового доверия.
Компания по информационной безопасности NCC Group же заявила, что «узнала о серьёзной компрометации платформы удалённого доступа и поддержки TeamViewer группой APT29».
В предупреждении от сообщества медицинских работников Health-ISAC также говорится о том, что службы TeamViewer, предположительно, активно подвергаются атакам со стороны связанной с РФ хакерской группы APT29, также известной как Cozy Bear, NOBELIUM и Midnight Blizzard. «27 июня 2024 года Health-ISAC получила информацию от доверенного партнера по разведке о том, что APT29 активно использует TeamViewer. Health-ISAC рекомендует просматривать журналы на предмет любого необычного трафика удалённого рабочего стола», — отмечается в сообщении.
Вскоре информацию о причастности к атаке APT29 подтвердили и в TeamViewer.
Хотя все эти оповещения вышли одновременно, неясно, связаны ли они между собой, поскольку сообщения TeamViewer и NCC касаются корпоративного нарушения, а предупреждение Health-ISAC больше ориентировано на соединения TeamViewer.
Пока же всем клиентам TeamViewer рекомендуется включить многофакторную аутентификацию, настроить список разрешённых и заблокированных пользователей, а также отслеживать свои сетевые подключения и журналы.
Осенью 2023 года сообщалось, что хакеры, в том числе группировок Lazarus, Andariel и APT29, активно атаковали уязвимые серверы с системой CI/CD TeamCity от JetBrains. Использование уязвимости позволяло злоумышленникам не только украсть исходный код с серверов TeamCity, но также сохранённые служебные секреты и закрытые ключи проектов и рабочих сессий.
7 (495) 749-28-49
www.configit.ru
https://habr.com/ru/news/825524/
#teamviewer #apt29 #хакеры #атака #удаленныйдоступ #новости #ит #конфигит #configit #cit
Хабр
В TeamViewer сообщили о хакерской атаке на корпоративную среду компании
Компания-разработчик программного обеспечения для удалённого доступа TeamViewer предупредила об атаке на её корпоративную среду. Она утверждает, что это была хакерская группа APT29. «В среду, 26 июня...