BleepingComputer сообщает, что по европейскому энергетическому гиганту Enel Group проехал каток ransomware NetWalker и теперь вымогатели хотят добра на сумму 14 млн. долларов.
Enel Group - одна из крупнейших европейских энергетических компаний, родом из Италии, имеющая более 61 млн. клиентов и выручку в 2019 году в 90 млрд. долларов. Рядом с ней португальская EDP, которую в апреле зарансомили RagnarLocker, со своим годовым доходом в 15 млрд. евро скромно стоит в стороне.
И тем страннее относительно (годового дохода) небольшой размер выкупа в 14 млн. долларов. С EDP хакеры требовали в свое время почти 11 миллионов.
Судя по добытым журналистами материалам, Enel не пошли на сотрудничество с оператором ransomware, из-за чего владельцы NetWalker опубликовали первые скриншоты украденных у энергетиков данных. Если итальянцы не поменяют решение, то конфиденциальные сведения в размере 5 Тб окажутся в паблике.
Кстати, в июне Enel Group уже была атакована ransomware Snake (или EKANS), но тогда попытка вторжения была успешно пресечена. Видимо, после этого расслабились.
NetWalker - вымогатель, который появился осенью 2019 года и работает по схеме Ransomware-as-a-Service (RaaS). Замечен, в основном, в атаках на сети американских учебных заведений. А в сентябре этот вымогатель отличился тем, что с его помощью была зашифрована сеть аргентинского Агентства иммиграции (Direccion Nacional de Migraciones), в результате чего 4 часа не работали КПП на аргентинской границе.
А еще вот здесь мы приводили интересный отчет группы исследователей The DFIR Report, в котором они рассмотрели имевший место захват корпоративной сети оператором NetWalker всего за 1 час 5 минут.
У нас, в принципе, остался только один вопрос - когда будет достигнута планка в 100 млн. долларов в качестве выкупа. Судя по масштабу пострадавших компаний ждать осталось недолго.
Enel Group - одна из крупнейших европейских энергетических компаний, родом из Италии, имеющая более 61 млн. клиентов и выручку в 2019 году в 90 млрд. долларов. Рядом с ней португальская EDP, которую в апреле зарансомили RagnarLocker, со своим годовым доходом в 15 млрд. евро скромно стоит в стороне.
И тем страннее относительно (годового дохода) небольшой размер выкупа в 14 млн. долларов. С EDP хакеры требовали в свое время почти 11 миллионов.
Судя по добытым журналистами материалам, Enel не пошли на сотрудничество с оператором ransomware, из-за чего владельцы NetWalker опубликовали первые скриншоты украденных у энергетиков данных. Если итальянцы не поменяют решение, то конфиденциальные сведения в размере 5 Тб окажутся в паблике.
Кстати, в июне Enel Group уже была атакована ransomware Snake (или EKANS), но тогда попытка вторжения была успешно пресечена. Видимо, после этого расслабились.
NetWalker - вымогатель, который появился осенью 2019 года и работает по схеме Ransomware-as-a-Service (RaaS). Замечен, в основном, в атаках на сети американских учебных заведений. А в сентябре этот вымогатель отличился тем, что с его помощью была зашифрована сеть аргентинского Агентства иммиграции (Direccion Nacional de Migraciones), в результате чего 4 часа не работали КПП на аргентинской границе.
А еще вот здесь мы приводили интересный отчет группы исследователей The DFIR Report, в котором они рассмотрели имевший место захват корпоративной сети оператором NetWalker всего за 1 час 5 минут.
У нас, в принципе, остался только один вопрос - когда будет достигнута планка в 100 млн. долларов в качестве выкупа. Судя по масштабу пострадавших компаний ждать осталось недолго.
BleepingComputer
Enel Group hit by ransomware again, Netwalker demands $14 million
Networks of giant energy company Enel have been hit by a ransomware attack for the second time this year. This time, it's Netwalker asking $14 million ransom for the decryption key.
31 декабря с лёгкой руки Adobe и по многочисленным "просьбам телезрителей" заканчивается эра технологии Flash, а также связанного с ней головняка специалистов по информационной безопасности.
Впрочем, нет, подождите. Ведь сначала надо выковырять Flash с подопечных компьютеров. А вот как раз Microsoft подогнал обновление, которое обещает снести Flash Player с компьютера отовсюду, раз и навсегда.
Впрочем, как говорится "да, но нет". По информации BleepingComputer обновление не трогает Flash Player в браузерах, в том числе Microsoft Edge. А также standalone версии технологии, которые пользователь мог установить на компьютер поверх системной установки. А может что-то ещё, до чего редакция не докопалась.
Так что головняк ещё впереди. Будет ли он последним? Тоже вопрос. Вангуем, что киберкриминал прокачает свои фишинговые кампании приглашением устанавливать "настоящее, окончательное обновление против Flash"
Впрочем, нет, подождите. Ведь сначала надо выковырять Flash с подопечных компьютеров. А вот как раз Microsoft подогнал обновление, которое обещает снести Flash Player с компьютера отовсюду, раз и навсегда.
Впрочем, как говорится "да, но нет". По информации BleepingComputer обновление не трогает Flash Player в браузерах, в том числе Microsoft Edge. А также standalone версии технологии, которые пользователь мог установить на компьютер поверх системной установки. А может что-то ещё, до чего редакция не докопалась.
Так что головняк ещё впереди. Будет ли он последним? Тоже вопрос. Вангуем, что киберкриминал прокачает свои фишинговые кампании приглашением устанавливать "настоящее, окончательное обновление против Flash"
Круги на воде от камня, брошенного в 2013 году Эдвардом Сноуденом, по прошествии семи лет продолжают изображать на поверхности глобальной политики и кибербезопасности занятные фигуры.
Одно из откровений "Документов Сноудена" касалось сотрудничества АНБ с американскими компаниями-разработчиками для внедрения в их программные продукты бэкдоров. Таким образом спецслужба могла получать доступ к данным пользователей этого ПО в обход легальных процедур, криптографии и лишнего шума.
И вот всплыл еще один аргумент в подтверждение правдивости данных Сноудена о том, что такое сотрудничество существовало, существует и, по всей видимости, будет существовать.
По информации Reuters, сенатор Рон Уайден выразил озабоченность тем, что подобные бэкдоры АНБ могут быть украдены и применены враждебными силами против самих американцев. Ну, вы знаете – эффект бумеранга. Это когда из АНБ уплывает эксплойт EternalBlue, который потом выливается в глобальную эпидемию WannaCry. Плюс сводятся на нет усилия американского правительства по импортозамещению из Китая.
Признаемся, что в этот раз реакция АНБ нас удивила.
Во-первых, они ответили! Хоть и в своей обычной "сливной" манере, через прикормленных журналистов, но ведь дали ответ!
Во-вторых, они не стали отрицать своей деятельности по внедрению бэкдоров на этапе создания ПО.
В-третьих, они заверили сенатора и всея общественность, что всё под контролем – бэкдоры теперь разрабатываются и внедряются по неким новым правилам, которые «минимизируют шансы разоблачения и компрометации».
Ну что же, признаваться лучше поздно чем никогда.
Одно из откровений "Документов Сноудена" касалось сотрудничества АНБ с американскими компаниями-разработчиками для внедрения в их программные продукты бэкдоров. Таким образом спецслужба могла получать доступ к данным пользователей этого ПО в обход легальных процедур, криптографии и лишнего шума.
И вот всплыл еще один аргумент в подтверждение правдивости данных Сноудена о том, что такое сотрудничество существовало, существует и, по всей видимости, будет существовать.
По информации Reuters, сенатор Рон Уайден выразил озабоченность тем, что подобные бэкдоры АНБ могут быть украдены и применены враждебными силами против самих американцев. Ну, вы знаете – эффект бумеранга. Это когда из АНБ уплывает эксплойт EternalBlue, который потом выливается в глобальную эпидемию WannaCry. Плюс сводятся на нет усилия американского правительства по импортозамещению из Китая.
Признаемся, что в этот раз реакция АНБ нас удивила.
Во-первых, они ответили! Хоть и в своей обычной "сливной" манере, через прикормленных журналистов, но ведь дали ответ!
Во-вторых, они не стали отрицать своей деятельности по внедрению бэкдоров на этапе создания ПО.
В-третьих, они заверили сенатора и всея общественность, что всё под контролем – бэкдоры теперь разрабатываются и внедряются по неким новым правилам, которые «минимизируют шансы разоблачения и компрометации».
Ну что же, признаваться лучше поздно чем никогда.
Настойчивостью и азартом исследователей из Positive Technologies восхищаемся и аплодируем.
Уже несколько лет они предметно копают архитектуру процессоров Intel.
Началось с уязвимости в Intel Management Engine в 2017 году, которая позволяла запускать на компьютерах вредоносный код со всеми неприятными последствиями. К слову Intel быстро пофиксил баг, но из-за возможности отката прошивки чипов на более ранние версии проблема и сейчас может считаться актуальной.
В мае этого года Позитивы научились получать доступ к сервисному режиму, который Intel использует для отладки микрокода и изучили процесс обновления процессоров.
А теперь новое открытие – ключи шифрования, которые используются для защиты обновлений. Это позволяет реверсить код, чтобы понимать как использовать существующие уязвимости и искать новые, а также загружать свои кастомные версии микрокода. Да, вроде jailbreak на iOS.
Впрочем, без паники.
Во-первых, такое невозможно проделать удалённо.
Во-вторых, ключи шифрования, которые обеспечивают аутентичность оригинальных обновлений, не пострадали.
В-третьих, кастомный микрокод не переживёт перезагрузки компьютера.
Нам больше интересно, что принесут дальнейшие исследования в этом направлении. Возможно один из легальных бэкдоров АНБ?
Но, к сожалению в таком азарте есть и минусы. В наши турбулентные времена экспертам инфосек необходимо соблюдать осторожность, чтобы не попасть под каток американской машины госпропаганды, как неосмотрительно сделали Касперские.
Чрезмерная очумелость ручек Позитивов может привести их в один угол с попавшей в санкционный список Digital Security г-на Медведовского. Припомнят и скандал с Дмитрием Скляровым, и сотрудничество с «враждебными» режимами, и другие исследования. И вот ты уже враг всего прогрессивного человечества. А там и до отмены IPO недалеко.
Уже несколько лет они предметно копают архитектуру процессоров Intel.
Началось с уязвимости в Intel Management Engine в 2017 году, которая позволяла запускать на компьютерах вредоносный код со всеми неприятными последствиями. К слову Intel быстро пофиксил баг, но из-за возможности отката прошивки чипов на более ранние версии проблема и сейчас может считаться актуальной.
В мае этого года Позитивы научились получать доступ к сервисному режиму, который Intel использует для отладки микрокода и изучили процесс обновления процессоров.
А теперь новое открытие – ключи шифрования, которые используются для защиты обновлений. Это позволяет реверсить код, чтобы понимать как использовать существующие уязвимости и искать новые, а также загружать свои кастомные версии микрокода. Да, вроде jailbreak на iOS.
Впрочем, без паники.
Во-первых, такое невозможно проделать удалённо.
Во-вторых, ключи шифрования, которые обеспечивают аутентичность оригинальных обновлений, не пострадали.
В-третьих, кастомный микрокод не переживёт перезагрузки компьютера.
Нам больше интересно, что принесут дальнейшие исследования в этом направлении. Возможно один из легальных бэкдоров АНБ?
Но, к сожалению в таком азарте есть и минусы. В наши турбулентные времена экспертам инфосек необходимо соблюдать осторожность, чтобы не попасть под каток американской машины госпропаганды, как неосмотрительно сделали Касперские.
Чрезмерная очумелость ручек Позитивов может привести их в один угол с попавшей в санкционный список Digital Security г-на Медведовского. Припомнят и скандал с Дмитрием Скляровым, и сотрудничество с «враждебными» режимами, и другие исследования. И вот ты уже враг всего прогрессивного человечества. А там и до отмены IPO недалеко.
Ars Technica
In a first, researchers extract secret key used to encrypt Intel CPU code
Hackers can now reverse-engineer updates or write their own custom firmware.
Всего 15% людей используют IT сервисы, которые делают их эффективными в работе, бизнесе или учебе, а также экономят массу времени и денег!
остальные 85% просто-напросто не знают о них
В современном мире без IT - НЕВОЗМОЖНО
Канал GIT - это сборник полезных IT-сервисов, с помощью которых вы достигните максимальных результатов!
Подпишитесь сейчас - улучшите жизнь с помощью IT
остальные 85% просто-напросто не знают о них
В современном мире без IT - НЕВОЗМОЖНО
Канал GIT - это сборник полезных IT-сервисов, с помощью которых вы достигните максимальных результатов!
Подпишитесь сейчас - улучшите жизнь с помощью IT
Telegram
Рестарт
Наконец-то нормальный канал про технологии, игры и гаджеты, а не вот это все.
Предложка: @rstrt_bot
Сотрудничество: @todaycast
Реклама на бирже: telega.in/c/remedia
РКН: https://clck.ru/3FjTtt
Предложка: @rstrt_bot
Сотрудничество: @todaycast
Реклама на бирже: telega.in/c/remedia
РКН: https://clck.ru/3FjTtt
Сводим олдскулы вместе с Joe Slowik!
Twitter
Joe Slowik 🎠
https://t.co/pIbIDRNk8i
Федеральная налоговая служба, Федеральная иммиграционная служба, Федеральная таможенная служба, Федеральная служба по контролю за оборотом наркотиков, Министерство юстиции используют вредоносные программы для расследования нарушений.
Неожиданно, да?
Одна поправочка: речь идёт о США.
Американские правдорубы из Privacy International (PI) ведут многолетнюю официальную тяжбу с государством для повышения прозрачности хакерских практик правительственных ведомств. В соответствии с законом Freedom of Information Act организация запросила сведения о том, кто, как, когда, против кого и на каком основании использовал подобные методы и опубликовала первые результаты. Их краткое содержание вы уже прочли в первом абзаце.
Также стало известно, что ведомства активно обмениваются опытом и проводят тренинги. Некоторые приобретали хакерские инструменты у иностранных разработчиков: например, DEA (Drug Enforcement Administration) имело отношения с израильской NSO Group и итальянской Hacking Team. Налоговая служба каким-то образом использовала продукты Adobe с технологией Digital Rights Management для проведения неких «специальных сетевых расследований» (неужели ещё один легальный бэкдор?).
Принимаем ставки: обяжут ли правительственные ведомства США публиковать очёты о прозрачности, как это теперь делают коммерческие компании? Сколько, когда, кого, за что хакнули, что нашли, кто разрешил и сколько дали?
Шутка. Не будем мы участвовать в этом бессмысленном споре.
Больше попкорна богу попкорна!
Неожиданно, да?
Одна поправочка: речь идёт о США.
Американские правдорубы из Privacy International (PI) ведут многолетнюю официальную тяжбу с государством для повышения прозрачности хакерских практик правительственных ведомств. В соответствии с законом Freedom of Information Act организация запросила сведения о том, кто, как, когда, против кого и на каком основании использовал подобные методы и опубликовала первые результаты. Их краткое содержание вы уже прочли в первом абзаце.
Также стало известно, что ведомства активно обмениваются опытом и проводят тренинги. Некоторые приобретали хакерские инструменты у иностранных разработчиков: например, DEA (Drug Enforcement Administration) имело отношения с израильской NSO Group и итальянской Hacking Team. Налоговая служба каким-то образом использовала продукты Adobe с технологией Digital Rights Management для проведения неких «специальных сетевых расследований» (неужели ещё один легальный бэкдор?).
Принимаем ставки: обяжут ли правительственные ведомства США публиковать очёты о прозрачности, как это теперь делают коммерческие компании? Сколько, когда, кого, за что хакнули, что нашли, кто разрешил и сколько дали?
Шутка. Не будем мы участвовать в этом бессмысленном споре.
Больше попкорна богу попкорна!
Скорее бы уже прошла выборная кампания в США и последующие внутриэлитные разборки. Потому что читать через день новости про русских хакеров уже неинтересно.
Очередной срыв покровов организовали американское киберкомандование, CISA и ФБР в конце прошлой недели. Агентство кибербезопасности США (CISA) выпустило предупреждение об использовании хакерами из APT Turla, предположительно работающей на российские спецслужбы, новых штаммов трояна ComRAT. При этом вредонос был впервые официально атрибутирован как принадлежащий российской прогосударственной APT.
Как мы понимаем, все это происходит при активном участии словацкого инфосек вендора ESET, который давно отслеживает активность ComRAT.
В 2008 году с помощью ранней версии вредоноса была взломана одна из физически изолированных сетей Пентагона, заражение было осуществлено посредством USB-носителя. Так что принадлежность ComRAT национальным спецслужбам вопросов, в принципе, не вызывает. Вместе с тем, в конце 2019 года британский Национальный центр кибербезопасности (NCSC) заявлял, об иранском следе в активности Turla.
На этом, пожалуй, про русских хакеров пока что завершим. Пусть выборы пройдут, тогда посмотрим.
Очередной срыв покровов организовали американское киберкомандование, CISA и ФБР в конце прошлой недели. Агентство кибербезопасности США (CISA) выпустило предупреждение об использовании хакерами из APT Turla, предположительно работающей на российские спецслужбы, новых штаммов трояна ComRAT. При этом вредонос был впервые официально атрибутирован как принадлежащий российской прогосударственной APT.
Как мы понимаем, все это происходит при активном участии словацкого инфосек вендора ESET, который давно отслеживает активность ComRAT.
В 2008 году с помощью ранней версии вредоноса была взломана одна из физически изолированных сетей Пентагона, заражение было осуществлено посредством USB-носителя. Так что принадлежность ComRAT национальным спецслужбам вопросов, в принципе, не вызывает. Вместе с тем, в конце 2019 года британский Национальный центр кибербезопасности (NCSC) заявлял, об иранском следе в активности Turla.
На этом, пожалуй, про русских хакеров пока что завершим. Пусть выборы пройдут, тогда посмотрим.
Теперь уже официально - ransomware Maze прекратило свое функционирование.
Хакеры в своем прощальном письме написали кучу пафосной херни, про то, что они за инфосек и приватность, а злые буржуи против. И про то, что они могли взломать системы жизнеобеспечения Нью-Йорка и обрубить доступ в сеть в 35 штатах, но не стали этого делать, потому что они благородные (нет).
Также Maze Team заявили, что Maze Cartel никогда не существовал и все это выдумки журналистов. И это странно, потому что ранее сами Maze заявляли Bleeping Computer, что теперь у них картель.
Ну, и напоследок, вымогатели обещают вернуться когда-нибудь, чтобы вывести нас, потерянных, из лабиринта наших ошибок и заблуждений.
Правда, тут поступает информация, что торжественного ухода, как такового, собственно, и не было. А работающие с владельцами Maze хакерские группы организованно переходят на использование нового ransomware Egregor, которое появилось в середине сентября этого года. А Egregor - это ни что иное, как новая итерация Maze, за которым стоят те же разработчики.
Поэтому склоняемся к мысли, что громкое прощание Maze Team - не более чем PR-акция, тем более что такое происходит далеко не в первый раз. Потому что глупо было бы поверить, что владельцы вымогателя, входящего в тройку самых активных в мире и приносящего им доход в десятки миллионов долларов, просто так решат уйти на пенсию. Мы и не верим.
Хакеры в своем прощальном письме написали кучу пафосной херни, про то, что они за инфосек и приватность, а злые буржуи против. И про то, что они могли взломать системы жизнеобеспечения Нью-Йорка и обрубить доступ в сеть в 35 штатах, но не стали этого делать, потому что они благородные (нет).
Также Maze Team заявили, что Maze Cartel никогда не существовал и все это выдумки журналистов. И это странно, потому что ранее сами Maze заявляли Bleeping Computer, что теперь у них картель.
Ну, и напоследок, вымогатели обещают вернуться когда-нибудь, чтобы вывести нас, потерянных, из лабиринта наших ошибок и заблуждений.
Правда, тут поступает информация, что торжественного ухода, как такового, собственно, и не было. А работающие с владельцами Maze хакерские группы организованно переходят на использование нового ransomware Egregor, которое появилось в середине сентября этого года. А Egregor - это ни что иное, как новая итерация Maze, за которым стоят те же разработчики.
Поэтому склоняемся к мысли, что громкое прощание Maze Team - не более чем PR-акция, тем более что такое происходит далеко не в первый раз. Потому что глупо было бы поверить, что владельцы вымогателя, входящего в тройку самых активных в мире и приносящего им доход в десятки миллионов долларов, просто так решат уйти на пенсию. Мы и не верим.
Американская инфосек компания Cybereason в своем материале о новом выявленном вредоносном инструментарии KGH_SPY, который используется северокорейской APT Kimsuky, демонстрирует каким на самом деле должен быть отчет по результатам исследований.
Исследуя вредоносную инфраструктуру Kimsuky американские ресерчеры обнаружили новый вредоносный комплект, нацеленный, в первую очередь, на кибершпионаж. Принадлежность его северокорейским хакерам подтверждается использованием той же инфраструктуры, которая была задействована Kimsuky в конце 2018 - начале 2019 в атаке BabyShark, нацеленной на американские исследовательские институты. Тогда хакеры из КНДР использовали авторский вредонос, который распространялся посредством фишинговых писем от имени реально существующего в США специалиста по ядерным технологиям. Спустя пару месяцев атака распространилась на компании, связанные с криптовалютами. Мы писали про нее в нашем обзоре активности Kimsuky.
Свой отчет исследователи назвали "Назад в будущее", поскольку для затруднения работы киберкриминалистов хакеры исправили временные метки вредоносных модулей на 2016 год. Хотя отдельные домены, жестко зашитые в код KGH_SPY, были зарегистрированы в период с января 2019 по август 2020 года.
В этот раз северокорейцы использовали фишинг с приманками в виде двух документов, посвященных проблемам с правами человека в КНДР.
Содержащиеся в них вредоносные макросы собирали информацию об атакованной системе, отправляли ее управляющему центру, после чего загружали полезную нагрузку, состоящую из нескольких модулей, включающих загрузчик, основной модуль и несколько дополнительных компонентов, среди которых специализированный инфостиллер.
Самым неприятным является то, что некоторые модули KGH_SPY на конец октября не обнаруживались ни одним антивирусным решением.
Кроме того, исследователи нашли еще один оригинальный загрузчик северокорейцев, который назвали CSPY Downloader, который, как предполагается, может быть отладочной версией нового, пока еще неактивного, вредоноса.
Возвращаясь к мысли, высказанной нами в начале этого поста, - отчет Cybereason нам понравился хорошим анализом и, что основное, достаточно подробным описанием TTPs, благодаря которым исследователи смогли сделать атрибуцию новых вредоносных программ как принадлежащих APT Kimsuky. Так бы всегда.
Исследуя вредоносную инфраструктуру Kimsuky американские ресерчеры обнаружили новый вредоносный комплект, нацеленный, в первую очередь, на кибершпионаж. Принадлежность его северокорейским хакерам подтверждается использованием той же инфраструктуры, которая была задействована Kimsuky в конце 2018 - начале 2019 в атаке BabyShark, нацеленной на американские исследовательские институты. Тогда хакеры из КНДР использовали авторский вредонос, который распространялся посредством фишинговых писем от имени реально существующего в США специалиста по ядерным технологиям. Спустя пару месяцев атака распространилась на компании, связанные с криптовалютами. Мы писали про нее в нашем обзоре активности Kimsuky.
Свой отчет исследователи назвали "Назад в будущее", поскольку для затруднения работы киберкриминалистов хакеры исправили временные метки вредоносных модулей на 2016 год. Хотя отдельные домены, жестко зашитые в код KGH_SPY, были зарегистрированы в период с января 2019 по август 2020 года.
В этот раз северокорейцы использовали фишинг с приманками в виде двух документов, посвященных проблемам с правами человека в КНДР.
Содержащиеся в них вредоносные макросы собирали информацию об атакованной системе, отправляли ее управляющему центру, после чего загружали полезную нагрузку, состоящую из нескольких модулей, включающих загрузчик, основной модуль и несколько дополнительных компонентов, среди которых специализированный инфостиллер.
Самым неприятным является то, что некоторые модули KGH_SPY на конец октября не обнаруживались ни одним антивирусным решением.
Кроме того, исследователи нашли еще один оригинальный загрузчик северокорейцев, который назвали CSPY Downloader, который, как предполагается, может быть отладочной версией нового, пока еще неактивного, вредоноса.
Возвращаясь к мысли, высказанной нами в начале этого поста, - отчет Cybereason нам понравился хорошим анализом и, что основное, достаточно подробным описанием TTPs, благодаря которым исследователи смогли сделать атрибуцию новых вредоносных программ как принадлежащих APT Kimsuky. Так бы всегда.
Cybereason
Back to the Future: Inside the Kimsuky KGH Spyware Suite
The Cybereason Nocturnus Team has been tracking a North Korean cyber espionage group known as Kimsuky and has identified a new spyware suite along with new attack infrastructure.
Что: The Standoff
Где: онлайн
Когда: с 12 по 17 ноября
С 12 ноября стартует масштабная кибербитва защитников и нападающих The Standoff. Пять дней красные команды будут тестировать на прочность инфраструктуру виртуального мегаполиса, а синие — им в этом противостоять. В ходе борьбы на платформе будут выступать российские и зарубежные спикеры на темы, охватывающие все аспекты современной инфобезопасности. Узнать подробнее о спикерах, зарегистрироваться в качестве участника или аккредитоваться как журналист можно уже сейчас.
Где: онлайн
Когда: с 12 по 17 ноября
С 12 ноября стартует масштабная кибербитва защитников и нападающих The Standoff. Пять дней красные команды будут тестировать на прочность инфраструктуру виртуального мегаполиса, а синие — им в этом противостоять. В ходе борьбы на платформе будут выступать российские и зарубежные спикеры на темы, охватывающие все аспекты современной инфобезопасности. Узнать подробнее о спикерах, зарегистрироваться в качестве участника или аккредитоваться как журналист можно уже сейчас.
А сейчас нам бы хотелось рассказать про событие, которое случилось неделю назад, но широкого освещения не получило. А должно бы было.
Японское Управление по ядерному регулированию (NRA) 27 октября сообщило, что днем ранее его сеть подверглась кибератаке. В результате японцы были вынуждены отключить свой сервис электронной почты, чтобы сдержать распространение. А заместитель госсекретаря Японии был вынужден успокаивать журналистов, сообщив, что никакая конфиденциальная информация, в том числе данные о физической безопасности АЭС, не была утрачена.
К гадалке не ходи, NRA попало под удар ransomware. Какие в действительности сведения могли украсть вымогатели - неизвестно. Но звоночек тревожный.
Японское Управление по ядерному регулированию (NRA) 27 октября сообщило, что днем ранее его сеть подверглась кибератаке. В результате японцы были вынуждены отключить свой сервис электронной почты, чтобы сдержать распространение. А заместитель госсекретаря Японии был вынужден успокаивать журналистов, сообщив, что никакая конфиденциальная информация, в том числе данные о физической безопасности АЭС, не была утрачена.
К гадалке не ходи, NRA попало под удар ransomware. Какие в действительности сведения могли украсть вымогатели - неизвестно. Но звоночек тревожный.
www.nsr.go.jp
原子力規制委員会とのメールの送受信の一時的な利用の停止について | 原子力規制委員会
原子力規制委員会のホームページです。原子力規制委員会とのメールの送受信の一時的な利用の停止についての情報を掲載しています。
Google выпустили обновление для десктоп версии Chrome, в котором исправили 10 ошибок, среди которых одна, CVE-2020-16009, является 0-day уязвимостью.
Пока технических подробностей нет, единственное что известно - ошибка находится в движке V8, предназначенном для обработки JavaScript и была выявлена внутренней группой исследователей. Эксплуатация CVE-2020-16009 может привести к удаленному выполнению кода (RCE). Google также сообщает, что зафиксировала использование этой уязвимости в дикой природе, но опять же без каких-либо деталей.
Еще одна 0-day уязвимость CVE-2020-16010 исправлена Google в версии Chrome для Android. Также замечено ее использование в дикой природе.
Поскольку 0-day уязвимость приводящая к RCE и эксплуатируемая в дикой природе - это серьезно, то рекомендуем всем пользователям Chrome срочно обновиться.
Пока технических подробностей нет, единственное что известно - ошибка находится в движке V8, предназначенном для обработки JavaScript и была выявлена внутренней группой исследователей. Эксплуатация CVE-2020-16009 может привести к удаленному выполнению кода (RCE). Google также сообщает, что зафиксировала использование этой уязвимости в дикой природе, но опять же без каких-либо деталей.
Еще одна 0-day уязвимость CVE-2020-16010 исправлена Google в версии Chrome для Android. Также замечено ее использование в дикой природе.
Поскольку 0-day уязвимость приводящая к RCE и эксплуатируемая в дикой природе - это серьезно, то рекомендуем всем пользователям Chrome срочно обновиться.
Chrome Releases
Stable Channel Update for Desktop
The stable channel has been updated to 86.0.4240.183 for Windows, Mac & Linux which will roll out over the coming days/weeks. A list of all ...
Давненько не видели мы интересных исследований от американцев из группы Mandiat инфосек вендора FireEye. И вот вышел обзор про новую хакерскую группу, которую ресерчеры обозначили как UNC1945. А группа - скиллованная и вооруженная 0-day эксплойтами.
Впервые FireEye обнаружила UNC1945 в середине 2020 года, хотя ее активность начинается как минимум с конца 2018. Основными целями хакеров являются телекоммуникационные компании, а также финансы и консалтинг.
Исследователи обнаружили как минимум два факта взлома хакерами серверов под управлением ОС Solaris с использованием эксплойта EVILSUN ранее неизвестной уязвимости, которая получила название CVE-2020-14871 и с подачи FireEye была закрыта в октябре Oracle, производителем операционной системы.
Ресерчеры полагают, что данные об эксплуатации уязвимости были куплены UNC1945 на черном рынке, поскольку предложение о продаже "эксплойта удаленного доступа для Oracle Solaris" появилось на одном из хакерских форумов в апреле 2020 года по цене в 3000 долларов. С другой стороны UNC1945 взламывали Solaris, скорее всего, еще с конца 2018 года.
Хакерская группа, по словам FireEye, является весьма продвинутой. Используемый инструментарий представляет собой совокупность авторских вредоносов и общедоступного ПО, например Mimikatz. Их действия по взлому сетей, их дальнейшей разведки, боковому перемещению, туннелированию канала связи с управляющими центрами и пр. являются профессиональными и выверенными. Они продемонстрировали способность эффективно работать как с системами под управлением Windows, так и под управлением NIX.
В некоторых случаях хакеры использовали сборки на основе виртуальной машины QEMU, в которую входили ОС Tiny Core Linux и набор вредоносных инструментов.
Тем не менее, несмотря на сообщения FireEye о неоднократно зафиксированных взломах со стороны UNC1945, исследователи не смогли обнаружить какую-либо активность хакеров по сбору информации из скомпрометированных сетей. В одном случае они выявили развертывание во взломанной сети ransomware ROLLCOAST, но связывают это с тем, что хакеры продали полученный доступ стороннему актору.
Что же в остатке. Если бы не факт продажи доступа оператору ransomware, то мы бы предположили, что американцы наткнулись на новую прогосударственную APT, которая проводит взломы ресурсов с целью сбора массивов конфиденциальных данных. А так - по всей видимости это чисто коммерческая группа, которая, тем не менее, работает профессионально и скрытно. И с непонятной пока целью.
Впервые FireEye обнаружила UNC1945 в середине 2020 года, хотя ее активность начинается как минимум с конца 2018. Основными целями хакеров являются телекоммуникационные компании, а также финансы и консалтинг.
Исследователи обнаружили как минимум два факта взлома хакерами серверов под управлением ОС Solaris с использованием эксплойта EVILSUN ранее неизвестной уязвимости, которая получила название CVE-2020-14871 и с подачи FireEye была закрыта в октябре Oracle, производителем операционной системы.
Ресерчеры полагают, что данные об эксплуатации уязвимости были куплены UNC1945 на черном рынке, поскольку предложение о продаже "эксплойта удаленного доступа для Oracle Solaris" появилось на одном из хакерских форумов в апреле 2020 года по цене в 3000 долларов. С другой стороны UNC1945 взламывали Solaris, скорее всего, еще с конца 2018 года.
Хакерская группа, по словам FireEye, является весьма продвинутой. Используемый инструментарий представляет собой совокупность авторских вредоносов и общедоступного ПО, например Mimikatz. Их действия по взлому сетей, их дальнейшей разведки, боковому перемещению, туннелированию канала связи с управляющими центрами и пр. являются профессиональными и выверенными. Они продемонстрировали способность эффективно работать как с системами под управлением Windows, так и под управлением NIX.
В некоторых случаях хакеры использовали сборки на основе виртуальной машины QEMU, в которую входили ОС Tiny Core Linux и набор вредоносных инструментов.
Тем не менее, несмотря на сообщения FireEye о неоднократно зафиксированных взломах со стороны UNC1945, исследователи не смогли обнаружить какую-либо активность хакеров по сбору информации из скомпрометированных сетей. В одном случае они выявили развертывание во взломанной сети ransomware ROLLCOAST, но связывают это с тем, что хакеры продали полученный доступ стороннему актору.
Что же в остатке. Если бы не факт продажи доступа оператору ransomware, то мы бы предположили, что американцы наткнулись на новую прогосударственную APT, которая проводит взломы ресурсов с целью сбора массивов конфиденциальных данных. А так - по всей видимости это чисто коммерческая группа, которая, тем не менее, работает профессионально и скрытно. И с непонятной пока целью.
Google Cloud Blog
Live off the Land? How About Bringing Your Own Island? An Overview of UNC1945 | Mandiant | Google Cloud Blog
Российское Министерство цифрового развития, связи и массовых коммуникаций планирует создать Центр по борьбе с киберпреступлениями, телефонным спамом и фишингом в рамках нацпроекта "Цифровая экономика".
Даже не знаем как относится к этой новости. С одной стороны, инициатива пусть и сильно запоздалая, но крайне необходимая.
С другой - имеем огромные сомнения в компетентности сотрудников, которые будут причастны к созданию и функционированию этого Центра. Даже название, в котором фигурирует словосочетание "телефонный спам и фишинг" говорит о том, что люди, планирующие создание Центра, не вполне (мягко сказать) владеют темой. Потому что фишинг бывает разный, а для того вида противоправных деяний, который министр Шадаев подразумевает под "телефонным спамом", давно существует устоявшийся термин "фрод" или "телекоммуникационное мошенничество". И это понятие гораздо шире "телефонного спама".
Впрочем привлечение государством к мероприятиям по информационной безопасности людей некомпетентных - это сложившаяся традиция. Поэтому подозреваем, что Центр по борьбе будет, а самой борьбы - нет.
Sad but true.
Даже не знаем как относится к этой новости. С одной стороны, инициатива пусть и сильно запоздалая, но крайне необходимая.
С другой - имеем огромные сомнения в компетентности сотрудников, которые будут причастны к созданию и функционированию этого Центра. Даже название, в котором фигурирует словосочетание "телефонный спам и фишинг" говорит о том, что люди, планирующие создание Центра, не вполне (мягко сказать) владеют темой. Потому что фишинг бывает разный, а для того вида противоправных деяний, который министр Шадаев подразумевает под "телефонным спамом", давно существует устоявшийся термин "фрод" или "телекоммуникационное мошенничество". И это понятие гораздо шире "телефонного спама".
Впрочем привлечение государством к мероприятиям по информационной безопасности людей некомпетентных - это сложившаяся традиция. Поэтому подозреваем, что Центр по борьбе будет, а самой борьбы - нет.
Sad but true.
www.itsec.ru
Минцифры создаст центр борьбы с киберпреступлениями и телефонным мошенничеством
В рамках противодействия киберугрозам Минцифры начнет «независимое тестирование всех государственных информационных систем на предмет уязвимостей в безопасности».
