⚙️⚙️⚙️ Переходим на отечественный софт - предложения Минцифры РФ ⚙️⚙️⚙️

Министр цифрового развития России Максут Шадаев предложил ввести сбор для российских компаний, которые продолжают использовать иностранное программное обеспечение. Это предложение было сделано с целью создания равных условий для использования отечественного и зарубежного программного обеспечения, как сообщил министр на конференции TAdviser SummIT.

Шадаев подчеркнул, что многие российские компании успешно функционируют в условиях санкций, продолжая обновлять иностранные программные продукты. В связи с этим, Министерство цифрового развития предлагает два подхода к решению проблемы.

Первый подход заключается в создании экономических стимулов для перехода бизнеса на отечественные IT-продукты, включая налоговые льготы. Второй подход предполагает введение специального сбора для компаний, использующих иностранное программное обеспечение.

Согласно словам Шадаева, если переход на российский софт будет невыгодным для бизнеса, возможно снижение налоговой нагрузки при его внедрении. Министр объяснил, что введение сбора за использование иностранного ПО является необходимой мерой для создания равных условий внедрения российского ПО.

Подробнее: https://extrim-security.ru/news-ib/tpost/lhg6uyn1g1-perehodim-na-otechestvennii-soft-predloz

🖼 Уголовка за дипфейки это ближайшее будущее

На этой неделе в Государственную Думу будет внесён новый законопроект, предложенный Ярославом Ниловым, председателем комитета по труду, социальной политике и делам ветеранов. Этот законопроект предусматривает введение уголовной ответственности за незаконное использование изображений, голоса и биометрических данных граждан.

В пояснительной записке к законопроекту (с которой ознакомилось издание) говорится, что развитие компьютерных технологий позволило создавать видео- и аудиоматериалы на основе образцов изображений и голоса человека, искусственно воссоздающие несуществующие события. Современные программно-аппаратные комплексы, а также использование нейросетей и искусственного интеллекта (технологии «дипфейк», «цифровые маски» и т. д.) позволяют создавать подделки, которые неспециалисту практически невозможно отличить от реальности.

Законопроект предлагает внести в ряд статей Уголовного кодекса РФ дополнительный квалифицирующий признак — совершение преступления с использованием изображения или голоса (в том числе фальсифицированных или искусственно созданных) и биометрических данных.

В зависимости от статьи виновные могут быть оштрафованы на сумму до 1,5 млн рублей или в размере иного дохода за период до двух лет либо лишены свободы на срок до семи лет.

Подробнее: https://extrim-security.ru/news-ib/tpost/80b7urrhy1-ugolovka-za-dipfeiki-eto-blizhaishee-bud

🚧 Магазины "Верный" атакованы злоумышленниками. Уже третий день магазины терпят убытки от 120 до 140 млн рублей в день.🚧

Во всех магазинах «Верный» по всей России уже третий день наблюдаются проблемы с работой платёжных терминалов. Покупатели не могут оплатить покупки картой и вынуждены расплачиваться наличными.

Кроме того, не работают кассы самообслуживания. В магазинах образовались длинные очереди. Сайт и мобильное приложение сети, а также карты лояльности недоступны. Предположительно, причиной сбоя стала кибератака на серверы компании.

Торговая сеть «Верный», сообщила,что столкнулась с кибератакой, которая вызвала проблемы в работе некоторых систем. В сети обещают восстановить работу всех систем и клиентских сервисов и информировать покупателей и поставщиков о любых изменениях.

Недавно со СДЭК произошла похожая ситуация, из-за которой пострадали многие компании, ожидавшие доставку своего груза.

Подробнее: https://extrim-security.ru/news-ib/tpost/a9lympeup1-magazini-vernii-atakovani-zloumishlennik

🚚🚚🚚 Почти все сервисы СДЭК восстановлены после кибератаки

После массового сбоя в работе IT-систем логистическая компания СДЭК восстановила работу большинства сервисов, по сообщению "Коммерсантъ". Однако специалисты по кибербезопасности обнаружили, что уязвимости в инфраструктуре компании всё ещё не устранены: в интернете опубликованы данные отправителей за апрель, включая информацию о товарах, пунктах отправки и фотографии посылок.

СДЭК объявила, что движение отправлений возобновлено и большинство задержанных посылок выдано, но часть уязвимостей в своей инфраструктуре так и не устранила. В интернете обнаружены ссылки на сервисы Google, где размещены данные отправлений за апрель.

В СДЭК заверили, что персональные данные клиентов хранятся в собственной защищённой базе данных, а в открытом доступе могут появляться инструкции для персонала.
В 2022 году база данных клиентов СДЭК уже оказывалась в открытом доступе: тогда на продажу была выставлена информация о более чем 9 млн клиентов.

Подробнее: https://extrim-security.ru/news-ib/tpost/uiynll6et1-pochti-vse-servisi-sdek-vosstanovleni-po

👨‍💻 Файлы табличного редактора Microsoft Excel используют для кибератак

Fortinet обнаружили схему компрометации и захвата хостов с помощью скрипта в файлах Microsoft Excel.

Как это работает:
1️⃣ Пользователь под воздействием техник социальной инженерии со стороны злоумышленника запускает файл Microsoft Excel.

2️⃣ Табличный редактор запускает Visual Basic for Application скрипт из открытого файла.

3️⃣ Скрипт запускает DLL загрузчик через regsvr32 для проверки запущенных антивирусных систем.

4️⃣ Загрузчик подключается к удаленному серверу злоумышленников для загрузки вредоносного файла.

5️⃣ Вредоносный файл развертывает Cobalt Strike Beacon, который и устанавливает связь с инфраструктурой злоумышленников.

Злоумышленники хитры, они используют проверку геолокации, кодировку строк и функции самоуничтожения, методики обхода средств защиты, чтобы скрыть свое присутствие от специалистов по безопасности.

Подробнее: https://extrim-security.ru/news-ib/tpost/cyi63cs261-faili-tablichnogo-redaktora-microsoft-ex

📲 В TikTok уязвимость нулевого дня, которая позволяет взломать аккаунт за 1 сообщение 📲

Вредоносный код передаётся через личные сообщения в приложении TikTok.

Даже делать ничего не нужно чтобы заразить устройство! Пользователь открывает сообщение и все. Не нужно ничего загружать, активировать или отвечать.

TikTok вроде бы в курсе о возможной уязвимости нулевого дня, но пока молчат о подробностях.

Подробнее: https://extrim-security.ru/news-ib/tpost/zd96ogh281-vzlomat-za-1-soobschenie

📈 210 миллиардов рублей - размер ущерба от киберпреступлений в РФ

Такую статистику представили в МВД на заседании коллегии за 2023 - 2024

На заседании коллегии МВД России под председательством Министра внутренних дел Российской Федерации генерала полиции Российской Федерации Владимира Колокольцева обсуждались вопросы противодействия IT-преступлениям.

Министр привёл статистические данные:

С 2020 года количество посягательств с использованием информационных технологий увеличилось на треть.
Доля дистанционных деяний в общем массиве сейчас приближается к 40%.
В прошлом году от них пострадало полмиллиона человек, из которых практически каждый четвёртый — пенсионер.
Уже в этом году жертвами различных уловок преступников стали более 40 тысяч граждан преклонного возраста.
Суммарно за 2023 год и четыре месяца текущего года ущерб превысил 210 миллиардов рублей.

Владимир Колокольцев подчеркнул, что за этими цифрами стоят личные трагедии людей, лишившихся многолетних накоплений и попавших в долги.

Подробнее: https://extrim-security.ru/news-ib/tpost/zo2b9ptyd1-210-milliardov-rublei-razmer-uscherba-ot

💰💳 Кража данных через PDF - Новый способ атаки на финансовые учреждения

Злоумышленники не перестают совершенствовать свои скиллы, теперь они использую файлы PDF для кражи учетных данных.

И в очередной раз злоумышленники рассчитывают на социальную инженерию, влияние на пользователей через доверенные сервисы. Отправляют письма с темой "Счет-фактура", а в теле фишинговые ссылки на загрузку PDF.

Хитрость атаки заключается в том, что пользователю открывается реальный файл PDF, в то время как вредонос запускает скрипт Python через cmd.exe.

Дальше по классике скрипт загружает вредоносные библиотеки для захвата учетных данных, получения удаленного доступа к персональному компьютеру, а также возможно для кражи транзакций.

Подробнее: https://extrim-security.ru/news-ib/tpost/cs3u1xs391-krazha-dannih-cherez-pdf

🔐 Тенденции развития кибератак через кражу учетных данных от VPN

С начала мая зарегистрировано большое количество кибератак на образовательные учреждения с помощью программ-вымогателей.

Группировка именованная "Fog" атакует образовательные учреждения с целью мгновенного получения выкупа, поэтому не отличаются изощренными методами атаки.

Как сообщают исследователи, вначале была замечена активность pass-the-hash в отношении учётных записей администратора. Эти учётные записи использовались для установки RDP-соединений с серверами Windows, которые работали под управлением Hyper-V и Veeam.

На серверах Windows, с которыми взаимодействовали злоумышленники, Защитник Windows был отключён. Злоумышленники шифровали файлы виртуальных машин в хранилище и удаляли резервные копии из хранилища объектов в Veeam. Также они оставляли сообщения с требованием выкупа.

Подробнее: https://extrim-security.ru/news-ib/tpost/y37p02ecv1-tendentsii-razvitiya-kiberatak-cherez-kr

⚠️⚠️⚠️ Новая цель для мошенничества - репозитории GitHub

Преступники атакуют репозитории на GitHub, стирая их содержимое и требуя выкуп за восстановление данных. Об этом сообщают в Bleeping Computer.

Преступники утверждают, что украли данные жертв и создали резервную копию, которая может помочь восстановить удалённую информацию.

После этого они переименовывают репозиторий и добавляют файл README, предлагая жертвам связаться с ними через Telegram.

В сообщении говорится: I hope this message finds you well. This is an urgent notice to inform you that your data has been compromised, and we have secured a backup.

Пострадали на данный момент 44 репозитория.

Подробнее: https://extrim-security.ru/news-ib/tpost/plvp02yn71-novaya-tsel-dlya-moshennichestva-repozit

🦹🏼‍♂️ PT ESC опубликовали исследование, в котором раскрыли информацию о киберпреступной группировке ExCobalt

Их атаки фиксировали последний год в разных российский организациях из сферы:
- металлургии
- телекоммуникации
- горная промышленности
- информационных технологий
- государственных учреждениях
- разработки ПО

В течение этого времени расследовались все инциденты связанные с ExCobalt. Вот кратко что описано в статье:

➡️ Группа ExCobalt активно атакует российские компании, совершенствуя свои техники и инструментарий.
➡️ ExCobalt разрабатывает новые методы атак и улучшает существующие инструменты, включая бэкдор GoRed.
➡️ Наблюдается тенденция к расширению возможностей и функциональности бэкдора GoRed.
➡️ ExCobalt стремится к более сложным и эффективным методам взлома и кибершпионажа, включая сбор данных жертв и повышение скрытности.
➡️ ExCobalt демонстрирует гибкость и адаптивность, пополняя свой инструментарий патченными тулзами.
➡️ Использование патченных тулзов указывает на глубокое понимание ExCobalt слабых мест атакуемых компаний.
➡️ Развитие ExCobalt и их инструментария подчеркивает необходимость постоянного совершенствования методов обнаружения и защиты от киберугроз

Подробнее: https://extrim-security.ru/news-ib/tpost/o3zuk88tx1-excobalt-gored-tehnika-skritogo-tunnelya

📧❗️Огромная коллекция из 361 миллиона адресов электронной почты, полученных из украденных вредоносным ПО паролей, была добавлена в службу уведомлений о взломе данных

Эти данные были собраны киберисследователями из множества каналов Telegram, связанных с киберпреступностью. Украденные данные передавались в виде сочетания логина и пароля, логина и пароля вместе с соответствующим URL-адресом и сырых файлов cookie.

Владелец Have I Been Pwned, Троя Хант, получил 122 ГБ украденных данных от неизвестных исследователей. Хант заявил, что эти данные содержат 361 миллион уникальных адресов электронной почты, причем 151 миллион из них никогда ранее не появлялся в службе уведомлений о взломах данных.

Из-за большого объема данных невозможно проверить, что все украденные учетные данные являются подлинными.

Подробнее: https://extrim-security.ru/news-ib/tpost/pkcp2j81d1-utechka-361-milliona-ukradennih-akkaunto

👀👀Внутренний исходный код и данные New York Times были украдены из репозиториев GitHub в январе 2024 года и затем опубликованы на доске объявлений 4chan

Согласно сообщению на форуме, объем данных составляет 270 ГБ, включая 5 тысяч репозиториев и 3,6 миллиона файлов. Злоумышленник использовал открытый токен GitHub для доступа к репозиториям и кражи данных.

Компания утверждает, что утечка не повлияла на ее внутренние корпоративные системы или операции. Это второй случай публикации на 4chan на этой неделе, первый был связан с утечкой внутренних документов игры Disney Club Penguin.

Подробнее: https://extrim-security.ru/news-ib/tpost/f6e9iz3mg1-ishodnii-kod-new-york-times-ukraden-s-is

🔓➡️ Исследовательская группа, применяющая ИИ, использовала базы данных CVE для обнаружения 87% критически важных уязвимостей.

Успешно взломаны более половины тестируемых веб-сайтов с помощью автономных групп ботов на основе технологии GPT-4, способных координировать действия и создавать новые боты. Метод иерархического планирования с агентами, выполняющими конкретные задачи (HPTSA), позволил повысить эффективность коллективного подхода ИИ на 550%.

Существуют опасения, что эти модели могут использоваться злоумышленниками для атак на веб-сайты и сети.

Подробнее: https://extrim-security.ru/news-ib/tpost/4i42i2rsy1-hakeri-ispolzuyuschie-iskusstvennii-inte

📞 Интересную статью выпустил securelist о методах злоумышленников получения одноразовых паролей. Без должного соблюдения правил информационной безопасности, и двухфакторная идентификация теперь может не спасти.

Вот несколько фактов из статьи:

• OTP-боты - это ПО, запрограммированное перехватывать одноразовые пароли с помощью социальной инженерии.

• В 2024 году отсутствие возможности настроить двухфакторную аутентификацию является моветоном в мире кибербезопасности.

• В отдельных странах определенные организации по закону обязаны защищать аккаунты пользователей при помощи двухфакторной аутентификации.

• Популярность этого метода защиты аккаунтов привела к появлению многочисленных способов его взломать или обойти.

• Мошенники делают ставку именно на звонок, потому что время действия кода сильно ограничено.

• Злоумышленники получают исходные учетные данные разными путями, включая утечки персональных данных, наборы данных, купленных в даркнете, и фишинговые сайты.

Подробнее: https://extrim-security.ru/news-ib/tpost/vdoxxyi6u1-obhod-dvuhfaktornoi-autentifikatsii-s-po

Уязвимость CVE-2024-4577 была опубликована 6 июня. За двое суток злоумышленники из группировки TellYouThePass просканировали и зашифровали 2800 серверов.

Сопроводительное письмо, которое злоумышленники оставили на серверах, гласит о выкупе в размере 6,5 тысяч долларов за ключ к расшифровке.

Злоумышленники используют технику Argument Injectio для запуска произвольного кода на удаленных PHP-серверах.

CVE-2024-4577 влияет на PHP только тогда, когда он работает в режиме, известном как CGI, в котором веб-сервер анализирует HTTP-запросы и передает их PHP-скрипту для обработки. Однако даже когда PHP не установлен в CGI-режиме, уязвимость все еще может использоваться, когда исполняемые файлы PHP, такие как php.exe и php-cgi.exe, находятся в каталогах, доступных веб-серверу.

Уязвимость очень схожа с CVE-2012-1823, но особенность преобразования кодирования в ОС Windows, позволяет неавторизованным пользователям обойти защиту по специфическим последовательным символам.

Рекомендуем проверить версию PHP на своих серверах и установить патчи безопасности.

Подробнее: https://extrim-security.ru/news-ib/tpost/2ymflyml21-uyazvimost-v-php-s-reitingom-98-iz-10

👻 Новая угроза TIKTAG направлена на Google Chrome и Linux.

Этот вид атаки влияет на Memory Tagging Extension (MTE) в архитектуре ARM, что может привести к утечке данных с вероятностью успеха 95%. Функция MTE была внедрена в архитектуру ARM v8.5-A для обнаружения и предотвращения повреждения памяти, используя маркировку для защиты от атак, связанных с повреждением памяти.

Однако специалисты обнаружили, что с помощью инструментов TIKTAG-v1 и TIKTAG-v2 можно спровоцировать спекулятивное выполнение для утечки меток памяти MTE.

В то время как компания Arm не считает эту проблему уязвимостью архитектуры, команда безопасности Chrome признала наличие проблемы, но решила не устранять уязвимости.

Подробнее: https://extrim-security.ru/news-ib/tpost/3lk8kc5jg1-novaya-ugroza-tiktag-napravlena-na-googl

🕸🕷 Злоумышленники используют вредоносное ПО NiceRAT для создания ботнета из заражённых устройств, нацеливаясь на пользователей из Южной Кореи.

Распространение этого ПО происходит через файлообменники и блоги под видом взломанных программ и инструментов активации Windows. Пользователи, следуя указаниям злоумышленников, отключают или удаляют антивирусное ПО, облегчая проникновение вируса в систему.

NiceRAT способен собирать информацию о жертве и отправлять её злоумышленникам через серверы Discord. Пользователям рекомендуется быть осторожными при использовании программ из ненадежных источников и устанавливать антивирусное ПО для защиты своих систем.

Подробнее: https://extrim-security.ru/news-ib/tpost/kpyfyt1h41-nicerat-udalite-svoi-antivirus-chtobi-on

TheHackerNews поделились информацией о новом способе обмана пользователей. Злоумышленники привлекают внимание пользователей бесплатными или пиратскими версиями коммерческого программного обеспечения. И все это, чтобы передать загрузчик ВПО Hijack Loader. Который разворачивает программу для кражи информации, известную как Vidar Stealer.

Злоумышленникам удалось обманом заставить пользователей загрузить защищённые паролем архивные файлы, содержащие троянизированные копии приложения Cisco Webex Meetings (ptService.exe).

Пользователи запускали файл «Setup.exe», приложение Cisco Webex Meetings скрытно загружало незаметный загрузчик вредоносных программ. Это приводило к запуску модуля кражи информации.
Вредоносное ПО использует известную технику обхода контроля учётных записей (UAC) для повышения привилегий. После успешного повышения привилегий вредоносное ПО добавляет себя в список исключений Защитника Windows, чтобы скрыть следы присутствия.

Бесплатные приманки для программного обеспечения ещё один субъект угрозы для пользователей.

Подробнее: https://extrim-security.ru/news-ib/tpost/ht8pbi9p21-opensorsnoe-po-ispolzuetsya-dlya-krazhi

🤡 Вредоносная программа для Linux под названием DISGOMOJI использует новый метод атаки, основанный на использовании смайликов для выполнения команд на заражённых устройствах

Она была обнаружена компанией Volexity, которая связывает её с пакистанским хакером UTA0137. Программа уникальна тем, что использует платформу Discord и смайлики для управления и контроля, что позволяет ей обходить стандартные средства защиты.

DISGOMOJI, по мнению Volexity, нацелена на специализированный дистрибутив Linux BOSS, активно используемый в индийских государственных учреждениях, но потенциально может угрожать и другим дистрибутивам Linux.

Подробнее: https://extrim-security.ru/news-ib/tpost/et660y67e1-skritaya-ugroza-kak-vredonos-ispolzuet-s

👉🏻 Автоматизированная система бинарного анализа Eclypsium выявила уязвимость с высокой степенью воздействия (с заявленным CVSS 7,5) в микропрограмме Phoenix SecureCore UEFI, которая работает на нескольких семействах настольных и мобильных процессоров Intel Core.

Этой уязвимости могут быть подвержены ПК и серверы Lenovo, Acer, Dell и HP.

🕸 Проблема связана с небезопасной переменной в конфигурации доверенного платформенного модуля (TPM), что может привести к переполнению буфера и выполнению вредоносного кода.

🕸 Уязвимость затрагивает несколько версий прошивки SecureCore, работающих на процессорах семейства Intel.

🕸 Возможность использования уязвимости зависит от конфигурации и разрешений, присвоенных переменной TCG2_CONFIGURATION.

🕸 Уязвимость позволяет локальному злоумышленнику повысить уровень привилегий и получить доступ к выполнению кода во встроенном ПО UEFI во время выполнения.

🕸 Такое использование уязвимостей дают злоумышленникам возможность постоянно находиться внутри устройства и часто обходить меры безопасности более высокого уровня.

Подробнее: https://extrim-security.ru/news-ib/tpost/nrd6iitdv1-ueficanhazbufferoverflow-uyazvimi-populy