Помните, как компания F-Secure устроила веселые майские праздники пользователям SaltStack, опубликовав 30 апреля подробности уязвимости, патч под которую был выпущен только накануне? Чем не промедлили воспользоваться хакеры, за сутки написавшие эксплойт и начавшие атаковать непропатченные сервера.
Спустя почти месяц продолжают всплывать данные про пострадавших. Вчера Cisco признала, что шесть ее внутренних серверов под управлением SaltStack были взломаны.
Пострадавшие сервера были обновлены только 7 мая. Не совсем ясно, был ли это плановый апдейт или срочное обновление после выявления взлома. В любом случае, это дает представление о сроках обновления уязвимого ПО после выхода соответствующего патча, которые встречаются даже в таких софтверных гигантах как Cisco, имеющих свои крупные инфосек подразделения. Что уж говорить про непрофильные компании.
Спустя почти месяц продолжают всплывать данные про пострадавших. Вчера Cisco признала, что шесть ее внутренних серверов под управлением SaltStack были взломаны.
Пострадавшие сервера были обновлены только 7 мая. Не совсем ясно, был ли это плановый апдейт или срочное обновление после выявления взлома. В любом случае, это дает представление о сроках обновления уязвимого ПО после выхода соответствующего патча, которые встречаются даже в таких софтверных гигантах как Cisco, имеющих свои крупные инфосек подразделения. Что уж говорить про непрофильные компании.
BleepingComputer
Cisco hacked by exploiting vulnerable SaltStack servers
Cisco said today that some of its Cisco Virtual Internet Routing Lab Personal Edition (VIRL-PE) backend servers were hacked by exploiting critical SaltStack vulnerabilities patched last month.
На просторах этих ваших Интернетов нынче весело. И как бы АНБ не старалось ввести в информационную повестку страшных русских хакеров из ГРУ, наблюдать за задорным перекидыванием гумуса между товарищем Трампом и сервисом Twitter намного увлекательнее.
Тем, кто не следит за обстановкой, дадим краткое описание предыдущих серий - ̶К̶о̶н̶ч̶и̶т̶а̶ ̶в̶ы̶ш̶л̶а̶ ̶з̶а̶м̶у̶ж̶ ̶з̶а̶ ̶Х̶у̶а̶н̶а̶ ̶А̶л̶ь̶б̶е̶р̶т̶о̶ началось все с того, как во вторник Twitter пометил два твита Трампа плашкой "требует подтверждения".
На это Трамп заявил, что Twitter подавляет свободу слова. А в четверг, то есть вчера, подписал указ о регулировании социальных сетей. На основании указа может быть изменено действие статьи 230 Акта о соблюдении приличий в СМИ (CDA), которая защищает соцсети от уголовного преследования за размещенный пользователями контент. Кроме того, в соответствии с указом возможности модерации со стороны администрации соцсетей могут быть ограничены.
На это Цукерберг, на всякий случай, включил режим шкафа - мол, Facebook стоит, площадку поддерживает, контент не модерирует.
А Twitter решил бодаться дальше. Сначала они заявили, что указ Трампа - это реакционистский и политизированный наезд на CDA и демократию вообще. А сегодня скрыли пост Трампа, посвященный беспорядкам в Миннеаполисе, как нарушающий политику Twitter в части прославления насилия. Аналогично поступили и с таким же твитом Белого Дома.
Трамп ответил постами про то, что Twitter поддерживает китайскую пропаганду и радикальных леваков Демпартии.
Show must go on. Где там наш попкорн...
Тем, кто не следит за обстановкой, дадим краткое описание предыдущих серий - ̶К̶о̶н̶ч̶и̶т̶а̶ ̶в̶ы̶ш̶л̶а̶ ̶з̶а̶м̶у̶ж̶ ̶з̶а̶ ̶Х̶у̶а̶н̶а̶ ̶А̶л̶ь̶б̶е̶р̶т̶о̶ началось все с того, как во вторник Twitter пометил два твита Трампа плашкой "требует подтверждения".
На это Трамп заявил, что Twitter подавляет свободу слова. А в четверг, то есть вчера, подписал указ о регулировании социальных сетей. На основании указа может быть изменено действие статьи 230 Акта о соблюдении приличий в СМИ (CDA), которая защищает соцсети от уголовного преследования за размещенный пользователями контент. Кроме того, в соответствии с указом возможности модерации со стороны администрации соцсетей могут быть ограничены.
На это Цукерберг, на всякий случай, включил режим шкафа - мол, Facebook стоит, площадку поддерживает, контент не модерирует.
А Twitter решил бодаться дальше. Сначала они заявили, что указ Трампа - это реакционистский и политизированный наезд на CDA и демократию вообще. А сегодня скрыли пост Трампа, посвященный беспорядкам в Миннеаполисе, как нарушающий политику Twitter в части прославления насилия. Аналогично поступили и с таким же твитом Белого Дома.
Трамп ответил постами про то, что Twitter поддерживает китайскую пропаганду и радикальных леваков Демпартии.
Show must go on. Где там наш попкорн...
А в Twitter тем временем сейчас горячо обсуждается, что Погранично-таможенная служба США (USCBP) запустила военный беспилотник MQ-1 Predator над Миннеаполисом, где не утихают уличные протесты из-за убийства полицейскими чернокожего Джорджа Флойда.
И хотя конкретно эта версия БПЛА не несет на себе вооружение, уже началось бурление субстанции по поводу того, что Трамп всех угнетает. К обсуждению даже подключилась одиозная демократическая конгрессвуменша Александрия Окасио-Кортес.
https://twitter.com/jason_paladino/status/1266399916978507779
И хотя конкретно эта версия БПЛА не несет на себе вооружение, уже началось бурление субстанции по поводу того, что Трамп всех угнетает. К обсуждению даже подключилась одиозная демократическая конгрессвуменша Александрия Окасио-Кортес.
https://twitter.com/jason_paladino/status/1266399916978507779
Twitter
Jason Paladino
NOW: @CBP Predator Drone #CPB104 circling over Minneapolis at 20K feet. Took off from Grand Forks Air Force Base. #Minneapolisprotests #surveillance #planespotting
В сети появилась база данных взломанного в марте этого года хостинга Daniel's Hosting, который был крупнейшим в даркнете. После взлома хостинг закрылся.
Сегодня хакер KingNull связался с ZDNet и уведомил, что он выложил в сеть базу взломанного им 10 марта Daniel's Hosting. В числе прочего БД содержит несколько тысяч адресов электронной почты владельцев и пользователей доменов даркнета, а также их пароли.
Какой хороший подгон правоохранителям.
Сегодня хакер KingNull связался с ZDNet и уведомил, что он выложил в сеть базу взломанного им 10 марта Daniel's Hosting. В числе прочего БД содержит несколько тысяч адресов электронной почты владельцев и пользователей доменов даркнета, а также их пароли.
Какой хороший подгон правоохранителям.
В прошедший четверг глава израильского Национального киберуправления (INCD) Игаль Унна сказал следующее:
"Быстро - это не то слово, которым можно описать насколько стремительно и безумно развивается ситуация в киберпространстве. Я думаю, что апрель и май 2020 года мы запомним как поворотную точку в истории современных кибервойн. Кибер-зима наступает, мы видим только начало".
Сказал он это после того, как признал, что в прошлом месяце инфраструктура компаний, обеспечивающих водоснабжение Израиля, подверглась скоординированной кибератаке, которая могла привести к серьезной нехватке воды и потерям среди гражданского населения. Атаку, к счастью, удалось отразить.
И хотя Унна не назвал инициатора атаки, в кулуарах говорят про Иран. Позже, 8 мая была совершена кибератака на информационные ресурсы портового города Бендер-Аббас, находящегося на юге Ирана. А спустя два дня произошел инцидент с обстрелом иранским фрегатом Jamaran, базирующимся в Бендер-Аббасе, своего же корабля сопровождения, после чего появилась информация о связи этих двух происшествий.
В тот момент израильские официальные лица не прокомментировали атаку на Бендер-Аббас, но бывший глава военной разведки Израиля генерал Амос Ядлин в одном из интервью заявил, что это был ответ на атаку на израильские системы водоснабжения.
"Это было четкое послание Израиля Ирану - даже не вздумайте трогать наши гражданские системы, водоснабжение и электричество, которые были атакованы в прошлом месяце. Вы, иранцы, намного более уязвимы чем мы" - заявил Ядлин.
Еще через десять дней хакерская группа, называющие себя Хакеры Спасителя, взломала более 1000 израильских сайтов. Можно полагать, что это был некий промежуточный ответ иранцев.
И вот на этом фоне руководитель INCD говорит, что это только начало и мы находимся в поворотной точке.
Смутные времена наступают, Гангрена, смутные (с)
Хотя, если честно, поворотной точкой была атака Stuxnet на иранские центрифуги в 2010 году. Израильтяне, как всегда, лукавят.
"Быстро - это не то слово, которым можно описать насколько стремительно и безумно развивается ситуация в киберпространстве. Я думаю, что апрель и май 2020 года мы запомним как поворотную точку в истории современных кибервойн. Кибер-зима наступает, мы видим только начало".
Сказал он это после того, как признал, что в прошлом месяце инфраструктура компаний, обеспечивающих водоснабжение Израиля, подверглась скоординированной кибератаке, которая могла привести к серьезной нехватке воды и потерям среди гражданского населения. Атаку, к счастью, удалось отразить.
И хотя Унна не назвал инициатора атаки, в кулуарах говорят про Иран. Позже, 8 мая была совершена кибератака на информационные ресурсы портового города Бендер-Аббас, находящегося на юге Ирана. А спустя два дня произошел инцидент с обстрелом иранским фрегатом Jamaran, базирующимся в Бендер-Аббасе, своего же корабля сопровождения, после чего появилась информация о связи этих двух происшествий.
В тот момент израильские официальные лица не прокомментировали атаку на Бендер-Аббас, но бывший глава военной разведки Израиля генерал Амос Ядлин в одном из интервью заявил, что это был ответ на атаку на израильские системы водоснабжения.
"Это было четкое послание Израиля Ирану - даже не вздумайте трогать наши гражданские системы, водоснабжение и электричество, которые были атакованы в прошлом месяце. Вы, иранцы, намного более уязвимы чем мы" - заявил Ядлин.
Еще через десять дней хакерская группа, называющие себя Хакеры Спасителя, взломала более 1000 израильских сайтов. Можно полагать, что это был некий промежуточный ответ иранцев.
И вот на этом фоне руководитель INCD говорит, что это только начало и мы находимся в поворотной точке.
Смутные времена наступают, Гангрена, смутные (с)
Хотя, если честно, поворотной точкой была атака Stuxnet на иранские центрифуги в 2010 году. Израильтяне, как всегда, лукавят.
NY Times
Israeli Cyber Chief: Major Attack on Water Systems Thwarted
Israel's national cyber chief Thursday officially acknowledged the country had thwarted a major cyber attack last month against its water systems, an assault widely attributed to arch-enemy Iran, calling it a “synchronized and organized attack” aimed at disrupting…
В прошедший четверг японская NTT Communications официально заявила, что 7 мая сотрудниками компании был обнаружен факт компрометации внутренней сети компании.
NTT Communications является дочерней организацией японского телекоммуникационного гиганта Nippon Telegraph and Telephone, которая специализируется на управлении данными и работает, в числе прочих, с крупными правительственными заказчиками.
Хакеры взломали сервер Active Directory, который использовали дальше как точку проникновения в сеть. В результате технического анализа служба безопасности NTT Communications выяснила, что злоумышленники получили доступ к данным 621 клиента компании.
А два дня назад JapanTimes сообщили, что в расследовании этого инцидента участвует Министерство обороны Японии, поскольку в числе похищенных данных оказалась информация японских Сил самообороны (SDF), которая может серьезно повлиять на их деятельность.
Среди предполагаемых утечек - информация об оборудовании связи и расположении подразделений Морских сил самообороны в префектуре Канагава, а также о линиях связи SDF еще в десяти географических местах.
Ответственность, вероятно, лежит на китайских APT. Напомним, что 10 дней назад появилась информация о взломе ресурсов Mitsubishi Electric, в ходе которого хакеры, как предполагается, похитили данные в отношении разработок новой сверхзвуковой ракеты. Тогда виновным в атаке японцы назвали китайскую APT Tick.
NTT Communications является дочерней организацией японского телекоммуникационного гиганта Nippon Telegraph and Telephone, которая специализируется на управлении данными и работает, в числе прочих, с крупными правительственными заказчиками.
Хакеры взломали сервер Active Directory, который использовали дальше как точку проникновения в сеть. В результате технического анализа служба безопасности NTT Communications выяснила, что злоумышленники получили доступ к данным 621 клиента компании.
А два дня назад JapanTimes сообщили, что в расследовании этого инцидента участвует Министерство обороны Японии, поскольку в числе похищенных данных оказалась информация японских Сил самообороны (SDF), которая может серьезно повлиять на их деятельность.
Среди предполагаемых утечек - информация об оборудовании связи и расположении подразделений Морских сил самообороны в префектуре Канагава, а также о линиях связи SDF еще в десяти географических местах.
Ответственность, вероятно, лежит на китайских APT. Напомним, что 10 дней назад появилась информация о взломе ресурсов Mitsubishi Electric, в ходе которого хакеры, как предполагается, похитили данные в отношении разработок новой сверхзвуковой ракеты. Тогда виновным в атаке японцы назвали китайскую APT Tick.
The Japan Times
Japan defense data may have leaked after cyberattacks on NTT unit
The Defense Ministry suspects the possible leaks could affect operations of the SDF's core system.
Современные технологии, оказываются, массово используются протестующими в США.
Как пишет Motherboard, на этих выходных приложение 5-0 Radio Police Scanner взлетело в чартах магазинов мобильных приложений. В AppStore, например, оно занимает на данный момент первое место в рубрике Utilities, а его платная версия (5 баксов, пардон минутку) - первое место в News.
5-0 Radio позволяет прослушивать полицейский эфир, контент предоставляется владельцами радиосканеров. Таким образом, протестующие могут координировать свои действия, ориентируясь на данные об активности полиции.
Интересно, как быстро американские правоохранители возьмут на вооружение опыт своих российских коллег и начнут деградировать 4G и 3G трафик в местах скопления протестующих? Или уже?
Как пишет Motherboard, на этих выходных приложение 5-0 Radio Police Scanner взлетело в чартах магазинов мобильных приложений. В AppStore, например, оно занимает на данный момент первое место в рубрике Utilities, а его платная версия (5 баксов, пардон минутку) - первое место в News.
5-0 Radio позволяет прослушивать полицейский эфир, контент предоставляется владельцами радиосканеров. Таким образом, протестующие могут координировать свои действия, ориентируясь на данные об активности полиции.
Интересно, как быстро американские правоохранители возьмут на вооружение опыт своих российских коллег и начнут деградировать 4G и 3G трафик в местах скопления протестующих? Или уже?
Vice
Thousands Are Monitoring Police Scanners During the George Floyd Protests
Apps that let people listen to police scanners have skyrocketed to the top of the App Store.
В середине мая мы писали о взломе сети британской компании Elexon, которая управляет транзитом электроэнергии в Великобритании. Тогда пострадавшая сторона особо информацией не делилась, сообщив лишь, что технологический сегмент сети не пострадал и с электроснабжением подданных английской королевы все в порядке.
Вчера же стало известно, что ресурсы Elexon попали под атаку оператора ransomware Sodinokibi (оно же REvil). А после отказа заплатить выкуп, хакеры выложили в сеть часть украденных данных, в числе которых конфиденциальные сведения о распределении электроэнергии в Британии.
Осталось добавить, что неизбежно появятся упоминания про "длинную руку Кремля", которая теперь дотянулась до английской электроэнергетики. Тем более это хорошо зайдет сейчас, ведь неделей ранее Германия обвинила ГРУ в лице группы Energetic Bear в атаках на объекты немецкой критической инфраструктуры.
И часть правды здесь есть, ведь Sodinokibi делали (с большой долей вероятности) русскоязычные хакеры. Но напомним, что эта рансомварь работает по схеме RaaS (as a Service), поэтому за первоначальной атакой может стоять кто угодно.
Вчера же стало известно, что ресурсы Elexon попали под атаку оператора ransomware Sodinokibi (оно же REvil). А после отказа заплатить выкуп, хакеры выложили в сеть часть украденных данных, в числе которых конфиденциальные сведения о распределении электроэнергии в Британии.
Осталось добавить, что неизбежно появятся упоминания про "длинную руку Кремля", которая теперь дотянулась до английской электроэнергетики. Тем более это хорошо зайдет сейчас, ведь неделей ранее Германия обвинила ГРУ в лице группы Energetic Bear в атаках на объекты немецкой критической инфраструктуры.
И часть правды здесь есть, ведь Sodinokibi делали (с большой долей вероятности) русскоязычные хакеры. Но напомним, что эта рансомварь работает по схеме RaaS (as a Service), поэтому за первоначальной атакой может стоять кто угодно.
Мамкины хакеры решили присоединиться к протестам в США.
В конце прошлой недели на ресурсы Миннеаполиса была осуществлена DDoS-атака, в результате которой у жителей появились проблемы с доступом к городскому порталу. Однако, последствия атаки были оперативно устранены и другого ущерба злоумышленники не нанесли.
А в субботу был взломан сайт местного департамента полиции, после чего вчера появилась информация о возможной утечке учетных данных, принадлежащих полицейским Миннеаполиса. Но по результатам анализа оказалось, что выкинутые в сеть базы были скомпилированы из старых утечек и новой информации не содержат.
В Facebook же от имени Anonymous разместили видео, в котором Легион угрожает набигать.
Напомним, что попытка Anonymous организовать набеги на мексиканских наркобаронов в 2011 году закончилась тем, что последние пообещали найти хакеров и отрезать им головы, после чего аноны ушли в тину.
Потому что можно, конечно, DDoS-ить сайты и в маске Гая Фокса дружить с LulzSec, но по настоящему серьезные хакеры занимаются зарабатыванием серьезных денег. Или в составе APT работают на спецслужбы.
В конце прошлой недели на ресурсы Миннеаполиса была осуществлена DDoS-атака, в результате которой у жителей появились проблемы с доступом к городскому порталу. Однако, последствия атаки были оперативно устранены и другого ущерба злоумышленники не нанесли.
А в субботу был взломан сайт местного департамента полиции, после чего вчера появилась информация о возможной утечке учетных данных, принадлежащих полицейским Миннеаполиса. Но по результатам анализа оказалось, что выкинутые в сеть базы были скомпилированы из старых утечек и новой информации не содержат.
В Facebook же от имени Anonymous разместили видео, в котором Легион угрожает набигать.
Напомним, что попытка Anonymous организовать набеги на мексиканских наркобаронов в 2011 году закончилась тем, что последние пообещали найти хакеров и отрезать им головы, после чего аноны ушли в тину.
Потому что можно, конечно, DDoS-ить сайты и в маске Гая Фокса дружить с LulzSec, но по настоящему серьезные хакеры занимаются зарабатыванием серьезных денег. Или в составе APT работают на спецслужбы.
Securityweek
Hackers Disrupt Minneapolis Systems, But No Evidence of Breach | SecurityWeek.Com
A DDoS attack crippled the websites and systems of Minneapolis late last week, but no data appears to have been breached
Аккуратнее, два новых мобильных приложения для Android, ориентированные на детей и подростков, которые на самом деле содержат в себе относительно свежий вредонос Joker:
Speed Message-Beautiful and cute (https://t .co/UEUWdJxdB2?amp=1)
Botmatic Messages (https://t .co/3qPyFJL532?amp=1).
Joker впервые выявлен осенью прошлого года и используется злоумышленниками для кражи контактов и подписки на платные сервисы.
Speed Message-Beautiful and cute (https://t .co/UEUWdJxdB2?amp=1)
Botmatic Messages (https://t .co/3qPyFJL532?amp=1).
Joker впервые выявлен осенью прошлого года и используется злоумышленниками для кражи контактов и подписки на платные сервисы.
Операторы ransomware Sodinokibi, которые одними из первых начали выкладывать в паблик украденные данные если жертва отказывалась платить выкуп, перешли на следующий уровень.
Сегодня в своем блоге группа объявила о запуске аукционов, на которых они будут продавать похищенные сведения. В качестве первого лота - информация канадской сельскохозяйственной компании, отказавшейся платить. Стартовая цена - 50 тыс. долларов, деньги принимаются в криптовалюте Monero.
Обещают в скором времени выставить данные Мадонны, украденные 12 мая у американской юридической конторы Grubman Shire Meiselas & Sacks, чем они грозили еще на прошлой неделе. Ориентировочная стартовая цена - 1 млн. долларов.
Напомним, что хакеры грозились также выставить на публику "грязное белье Трампа" (имеются в виду документы, само собой, а не семейники Дональда), которое, якобы, нашли в ходе взлома адвокатов. Но пока продолжения не последовало, скорее всего компромата на американского президента у них нет, а угрозы были попыткой выехать на хайпе. Хотя, кто знает...
Сегодня в своем блоге группа объявила о запуске аукционов, на которых они будут продавать похищенные сведения. В качестве первого лота - информация канадской сельскохозяйственной компании, отказавшейся платить. Стартовая цена - 50 тыс. долларов, деньги принимаются в криптовалюте Monero.
Обещают в скором времени выставить данные Мадонны, украденные 12 мая у американской юридической конторы Grubman Shire Meiselas & Sacks, чем они грозили еще на прошлой неделе. Ориентировочная стартовая цена - 1 млн. долларов.
Напомним, что хакеры грозились также выставить на публику "грязное белье Трампа" (имеются в виду документы, само собой, а не семейники Дональда), которое, якобы, нашли в ходе взлома адвокатов. Но пока продолжения не последовало, скорее всего компромата на американского президента у них нет, а угрозы были попыткой выехать на хайпе. Хотя, кто знает...
Очередные новости из страны Рансомварии.
Операторы ransomware DopplePaymer объявили, что взломали американскую компанию Digital Management Inc. (DMI), одним из клиентов которой является NASA. Юмор ситуации в том, что DMI специализируются на ИТ-услугах и вопросах кибербезопасности.
В числе прочего, DopplePaymer украли документы, касающиеся сотрудничества компании-жертвы с NASA, подтверждение чему выложили в сеть. Они заявили, что всего зашифровали данные 2583 серверов и рабочих станций сети DMI. Соответственно, вся эта информация также находится в руках хакеров.
DopplePaymer является одним из операторов ransomware, которые в начале 2020 года открыли веб-сайт для публикации украденных данных, в случае отказа взломанной компании от выплаты. Учитывая передовые практики других вымогателей, Sodinokibi, по организации аукционов по продаже украденных сведений, думаем, что DopplePaymer вполне могут сделать аналогичный аукцион с данными NASA в качестве одного из лотов.
Операторы ransomware DopplePaymer объявили, что взломали американскую компанию Digital Management Inc. (DMI), одним из клиентов которой является NASA. Юмор ситуации в том, что DMI специализируются на ИТ-услугах и вопросах кибербезопасности.
В числе прочего, DopplePaymer украли документы, касающиеся сотрудничества компании-жертвы с NASA, подтверждение чему выложили в сеть. Они заявили, что всего зашифровали данные 2583 серверов и рабочих станций сети DMI. Соответственно, вся эта информация также находится в руках хакеров.
DopplePaymer является одним из операторов ransomware, которые в начале 2020 года открыли веб-сайт для публикации украденных данных, в случае отказа взломанной компании от выплаты. Учитывая передовые практики других вымогателей, Sodinokibi, по организации аукционов по продаже украденных сведений, думаем, что DopplePaymer вполне могут сделать аналогичный аукцион с данными NASA в качестве одного из лотов.
ZDNet
Ransomware gang says it breached one of NASA's IT contractors
DopplePaymer ransomware gang claims to have breached DMI, a major US IT and cybersecurity provider, and one of NASA IT contractors.
И в дополнение к предыдущей новости.
Как говорит BleepingComputer, операторы ransomware Maze, которые первыми придумали выкладывать украденные данные в качестве мести за невыплату выкупа, начали размещать на своем сайте краденную информацию от другого ransomware LockBit.
Рансомварь LockBit появилась осенью прошлого года и работает по схеме RaaS (Ransomware as a Service). Услуги рекламируются на хакерских русскоязычных форумах.
BleepingComputer связались с оператором Maze и те подтвердили, что теперь у них полноценная коллаборация с LockBit - "Они используют не только нашу платформу для публикации данных, но и наш опыт и репутацию. Они наши партнеры, а не конкуренты". Более того, Maze сообщили, что через несколько дней к сотрудничеству подключится еще один оператор ransomware.
Вот так, передовые бизнес-практики на службе у хакеров. У них, наверное, еще и Agile со Scrum-командами.
Похоже, что скоро у нас будет пара-тройка конкурирующих (а может и дружественных) ransomware-картелей, которые со временем станут повлиятельнее всяких колумбийских наркобаронов. Потому что денег будет больше. Пора создавать ransomware-ФАС.
Как говорит BleepingComputer, операторы ransomware Maze, которые первыми придумали выкладывать украденные данные в качестве мести за невыплату выкупа, начали размещать на своем сайте краденную информацию от другого ransomware LockBit.
Рансомварь LockBit появилась осенью прошлого года и работает по схеме RaaS (Ransomware as a Service). Услуги рекламируются на хакерских русскоязычных форумах.
BleepingComputer связались с оператором Maze и те подтвердили, что теперь у них полноценная коллаборация с LockBit - "Они используют не только нашу платформу для публикации данных, но и наш опыт и репутацию. Они наши партнеры, а не конкуренты". Более того, Maze сообщили, что через несколько дней к сотрудничеству подключится еще один оператор ransomware.
Вот так, передовые бизнес-практики на службе у хакеров. У них, наверное, еще и Agile со Scrum-командами.
Похоже, что скоро у нас будет пара-тройка конкурирующих (а может и дружественных) ransomware-картелей, которые со временем станут повлиятельнее всяких колумбийских наркобаронов. Потому что денег будет больше. Пора создавать ransomware-ФАС.
BleepingComputer
Ransomware gangs team up to form extortion cartel
Ransomware gangs are teaming up to extort victims through a shared data leak platform, and the exchange of tactics and intelligence.
Хотим сказать дорогим подписчикам, что мы не забыли про обзоры APT и сейчас готовим очередные материалы, посвященные северокорейским хакерским группам.
Но дело в том, что эти Хон Гиль Доны наворотили столько, что мы в первичке просто закопались. Тем не менее, мы упрямо пытаемся затолкать все это в формат Телеграм.
Подождите, дети, дайте только срок.
Будет вам и белка, будет и свисток (с)
#APT #Lazarus #Kimsuky
Но дело в том, что эти Хон Гиль Доны наворотили столько, что мы в первичке просто закопались. Тем не менее, мы упрямо пытаемся затолкать все это в формат Телеграм.
Подождите, дети, дайте только срок.
Будет вам и белка, будет и свисток (с)
#APT #Lazarus #Kimsuky
Лаборатория Касперского опубликовала отчет, посвященный выявленному вредоносу USBCulprit, разработанному китайской APT Cycldek.
Cycldek, она же Hellsing и Goblin Panda, - китайская APT, нацеленная, в основном, на страны Юго-Восточной Азии. Первые признаки активности Cycldek относятся к 2013 году. Имеет пересечение с другой китайской группой Naikon, работающей на разведку НОАК. И обе группы имеют пересечения с китайской же APT 30. Короче, зоопарк, как обычно. Но, скорее всего, группы просто шарят некоторую инфраструктуру и инструментарий.
По мнению Касперских, Cycldek состоит из двух подразделений, каждое из которых использует отличающиеся методы работы. Например, вредоносы, разработанные на общей основе, но имеющие различия как в коде и используемой инфраструктуре, так и в векторах атаки.
Одним из инструментов, используемых Cycldek, является ранее не описанный вредонос под названием USBCulprit, который использовался с 2014 года, а последние версии появились в конце 2019. А предназначен он для атак на физически изолированные (air-gapped) сети, все как мы любим.
USBCulprit способен собирать интересующие атакующих документы и сохранять их на подключенный к скомпрометированной системе USB-носитель, а также распространяться через него сам.
После сканирования зараженной машины на предмет наличия нужных документов, вредонос группирует их в зашифрованные архивы RAR. При подключении нового USB-носителя, USBCulprit проверяет есть ли уже на нем украденные файлы, и если нет, то создает каталог "$Recyc1e.Bin", в который и скидывает данные. Управляющие команды и обновления malware также получает через USB (впрочем, для атакующих физически изолированные сети вредоносов это стандартный прием).
Самой интересной для нас особенностью USBCulprit является то, что судя по ряду признаков, для его развертывания в атакуемой air-gapped сети необходимо участие человека. То есть шпион (или разведчик, с какой стороны посмотреть), с заряженным USB-носителем заражает интересующую сеть, а через некоторое время с помощью такой же флешки производит эксфильтрацию собранной конфиденциальной информации.
Настоящий детектив.
Cycldek, она же Hellsing и Goblin Panda, - китайская APT, нацеленная, в основном, на страны Юго-Восточной Азии. Первые признаки активности Cycldek относятся к 2013 году. Имеет пересечение с другой китайской группой Naikon, работающей на разведку НОАК. И обе группы имеют пересечения с китайской же APT 30. Короче, зоопарк, как обычно. Но, скорее всего, группы просто шарят некоторую инфраструктуру и инструментарий.
По мнению Касперских, Cycldek состоит из двух подразделений, каждое из которых использует отличающиеся методы работы. Например, вредоносы, разработанные на общей основе, но имеющие различия как в коде и используемой инфраструктуре, так и в векторах атаки.
Одним из инструментов, используемых Cycldek, является ранее не описанный вредонос под названием USBCulprit, который использовался с 2014 года, а последние версии появились в конце 2019. А предназначен он для атак на физически изолированные (air-gapped) сети, все как мы любим.
USBCulprit способен собирать интересующие атакующих документы и сохранять их на подключенный к скомпрометированной системе USB-носитель, а также распространяться через него сам.
После сканирования зараженной машины на предмет наличия нужных документов, вредонос группирует их в зашифрованные архивы RAR. При подключении нового USB-носителя, USBCulprit проверяет есть ли уже на нем украденные файлы, и если нет, то создает каталог "$Recyc1e.Bin", в который и скидывает данные. Управляющие команды и обновления malware также получает через USB (впрочем, для атакующих физически изолированные сети вредоносов это стандартный прием).
Самой интересной для нас особенностью USBCulprit является то, что судя по ряду признаков, для его развертывания в атакуемой air-gapped сети необходимо участие человека. То есть шпион (или разведчик, с какой стороны посмотреть), с заряженным USB-носителем заражает интересующую сеть, а через некоторое время с помощью такой же флешки производит эксфильтрацию собранной конфиденциальной информации.
Настоящий детектив.
Securelist
Cycldek: Bridging the (air) gap
Key findings While investigating attacks related to a group named Cycldek post 2018, we were able to uncover various pieces of information on its activities that were not known thus far. In this blog post we aim to bridge the
Что-то давно у нас не было новостей про дырки в ZOOM. Так ребята исправились, молодцы.
Вчера Cisco Talos сообщили о двух новых уязвимостях в ZOOM, которые потенциально позволяют удаленное выполнение кода на атакуемой машине.
Одна из уязвимостей заключается в некорректной обработке изображений GIF, что может привести к записи сформированного злоумышленником файла с правами пользователя ZOOM.
Вторая ошибка заключается в некорректной обработке сообщений клиентом ZOOM, в силу чего хакер может послать в чат специальное сообщение и добиться удаленного выполнения кода (правда для этого требуется некое "целевое взаимодействие" с атакуемым пользователем).
Проблемы были обнаружены в мае и к данному моменту разработчики приложения выпустили соответствующие обновления. Так что рекомендация стандартная - срочно обновить свой клиент ZOOM.
Вчера Cisco Talos сообщили о двух новых уязвимостях в ZOOM, которые потенциально позволяют удаленное выполнение кода на атакуемой машине.
Одна из уязвимостей заключается в некорректной обработке изображений GIF, что может привести к записи сформированного злоумышленником файла с правами пользователя ZOOM.
Вторая ошибка заключается в некорректной обработке сообщений клиентом ZOOM, в силу чего хакер может послать в чат специальное сообщение и добиться удаленного выполнения кода (правда для этого требуется некое "целевое взаимодействие" с атакуемым пользователем).
Проблемы были обнаружены в мае и к данному моменту разработчики приложения выпустили соответствующие обновления. Так что рекомендация стандартная - срочно обновить свой клиент ZOOM.
Разработчики мессенджера Signal решили половить хайп.
Они заявили, что поддерживают уличные протесты в США, поскольку "считают, что что-то в Америке должно измениться, пусть даже не знают точно как".
В целях сохранения анонимности уличных демонстрантов в Signal появилась функция, которая автоматически размывает лица в пересылаемых фотографиях. Короче, Fuck the police!
Это достаточно смелый поступок, поскольку Signal разрабатывается американской организацией Open Whisper Systems, базирующейся в Калифорнии, в силу чего может получить ответку от американских федералов.
С другой стороны, возможно именно это и является причиной такого демарша разработчиков, так как Калифорнией заправляют представители Демпартии, находящиеся в оппозиции Белому Дому и в данной ситуации действующие по принципу "Чем лучше - тем хуже".
Они заявили, что поддерживают уличные протесты в США, поскольку "считают, что что-то в Америке должно измениться, пусть даже не знают точно как".
В целях сохранения анонимности уличных демонстрантов в Signal появилась функция, которая автоматически размывает лица в пересылаемых фотографиях. Короче, Fuck the police!
Это достаточно смелый поступок, поскольку Signal разрабатывается американской организацией Open Whisper Systems, базирующейся в Калифорнии, в силу чего может получить ответку от американских федералов.
С другой стороны, возможно именно это и является причиной такого демарша разработчиков, так как Калифорнией заправляют представители Демпартии, находящиеся в оппозиции Белому Дому и в данной ситуации действующие по принципу "Чем лучше - тем хуже".
Signal
Blur tools for Signal
Right now, people around the world are marching and protesting against racism and police brutality, outraged by the most recent police murders of George Floyd and Breonna Taylor. At Signal, we support the people who have gone into the streets to make their…
Что-то давно не писали ничего про коронавирус.
Как мы уже говорили, за этой гадостью мы следим давно, аж с конца января. И уже тогда нам стало понятно, что математика у COVID-19 крайне нехорошая. А в феврале мы всем кагалом уже закупались респираторами, полумасками, защитными очками и прочими тушенками, чтобы достойно пережить надвигающийся вирусный апокалипсис.
Правда, затухание вспышки вируса в Ухане вселило было надежду, но последующие события в Европе и далее везде показали, что до этого мы видели лишь афишу, а цирк-то еще только подъезжает.
К чему мы все это? А к тому, что у нас математика опять не сходится. И уже давно. Но, слава Богу, не сходится она в лучшую сторону.
При тех исходных данных по контагиозности COVID-19 (R0 от 4 до 6) и отсутствию иммунитета, которые публикуются, у нас (да и во всем мире) должен быть Адъ и Израиль, а не преферансъ с куртизанками и ослаблением карантинного режима.
И мы говорим сейчас не про "ложь кровавого режима и занижение количества заболевших на 146%", а про настоящую жесть - с трупами на улицах, с Чумными Докторами и с забитыми фанерой этажами в подъездах, потому что все проживавшие там умерли.
По крайней мере, по математике выходит примерно так. Да и мадам Ракова намедни призналась, что власти ожидали 10-20 тыс. госпитализаций в Москве ежедневно при наихудшем сценарии развития эпидемии.
И те жалкие 17,5% носителей антител к COVID-19, о которых нам сообщает ИНВИТРО, картину существенно не могут поменять, ибо остается еще 80%+ жителей, беззащитных перед заразой.
И вот мы нашли таки материал, который может объяснить такое протекание эпидемии. Упоминания про него мы видели еще недели две-три назад, но ссылку на оригинал получили только сейчас (спасибо Aftershock'у).
Вот эта статья -Targets of T Cell Responses to SARS-CoV-2 Coronavirus in Humans with COVID-19 Disease and Unexposed Individuals (https://www.cell.com/cell/pdf/S0092-8674(20)30610-3.pdf) за авторством американских исследователей из La Jolla Institute for Immunology.
Если в двух словах, то в статье описываются исследования клеточного иммунитета к COVID-19. Это другой вид иммунитета, отличающийся от гуморального (антительного) и, насколько мы поняли, намного менее изученный. Чем объясняется малое количество исследований по этой теме, потому что ученые традиционно исследуют в первую очередь то, в чем лучше разбираются.
Так вот, как утверждают американцы, они обнаружили специфичные CD8+ и CD4+ Т-клетки у переболевших коронавирусом пациентов в 70% и 100% случаев соответственно. Но интересно другое, что по оценке ученых у не переболевших COVID-19 людей в 40-60% случаев также имеются CD4+ Т-клетки, которые могут бороться с COVID-19. Исследователи связывают это с тем, что, возможно, клеточный иммунитет натренировался на общих признаках (таких как белок spike, тот самый шип) коронавирусов и теперь способен бороться и с COVID-19.
Если все так, то количество иммунных людей (имеющих клеточный + гуморальный иммунитет) в той же Москве - от 55 до 80%, что ведет к постепенному затуханию вспышки коронавируса.
Мы не утверждаем, что это абсолютно верные данные. Но они, по крайней мере, могут объяснить видимое протекание эпидемии COVID-19.
И еще одно - мы не призываем к отказу от разумных мер самоизоляции. Потому что даже если у 60 процентов иммунитет уже есть, то оставшиеся 40% все равно жалко.
Как мы уже говорили, за этой гадостью мы следим давно, аж с конца января. И уже тогда нам стало понятно, что математика у COVID-19 крайне нехорошая. А в феврале мы всем кагалом уже закупались респираторами, полумасками, защитными очками и прочими тушенками, чтобы достойно пережить надвигающийся вирусный апокалипсис.
Правда, затухание вспышки вируса в Ухане вселило было надежду, но последующие события в Европе и далее везде показали, что до этого мы видели лишь афишу, а цирк-то еще только подъезжает.
К чему мы все это? А к тому, что у нас математика опять не сходится. И уже давно. Но, слава Богу, не сходится она в лучшую сторону.
При тех исходных данных по контагиозности COVID-19 (R0 от 4 до 6) и отсутствию иммунитета, которые публикуются, у нас (да и во всем мире) должен быть Адъ и Израиль, а не преферансъ с куртизанками и ослаблением карантинного режима.
И мы говорим сейчас не про "ложь кровавого режима и занижение количества заболевших на 146%", а про настоящую жесть - с трупами на улицах, с Чумными Докторами и с забитыми фанерой этажами в подъездах, потому что все проживавшие там умерли.
По крайней мере, по математике выходит примерно так. Да и мадам Ракова намедни призналась, что власти ожидали 10-20 тыс. госпитализаций в Москве ежедневно при наихудшем сценарии развития эпидемии.
И те жалкие 17,5% носителей антител к COVID-19, о которых нам сообщает ИНВИТРО, картину существенно не могут поменять, ибо остается еще 80%+ жителей, беззащитных перед заразой.
И вот мы нашли таки материал, который может объяснить такое протекание эпидемии. Упоминания про него мы видели еще недели две-три назад, но ссылку на оригинал получили только сейчас (спасибо Aftershock'у).
Вот эта статья -Targets of T Cell Responses to SARS-CoV-2 Coronavirus in Humans with COVID-19 Disease and Unexposed Individuals (https://www.cell.com/cell/pdf/S0092-8674(20)30610-3.pdf) за авторством американских исследователей из La Jolla Institute for Immunology.
Если в двух словах, то в статье описываются исследования клеточного иммунитета к COVID-19. Это другой вид иммунитета, отличающийся от гуморального (антительного) и, насколько мы поняли, намного менее изученный. Чем объясняется малое количество исследований по этой теме, потому что ученые традиционно исследуют в первую очередь то, в чем лучше разбираются.
Так вот, как утверждают американцы, они обнаружили специфичные CD8+ и CD4+ Т-клетки у переболевших коронавирусом пациентов в 70% и 100% случаев соответственно. Но интересно другое, что по оценке ученых у не переболевших COVID-19 людей в 40-60% случаев также имеются CD4+ Т-клетки, которые могут бороться с COVID-19. Исследователи связывают это с тем, что, возможно, клеточный иммунитет натренировался на общих признаках (таких как белок spike, тот самый шип) коронавирусов и теперь способен бороться и с COVID-19.
Если все так, то количество иммунных людей (имеющих клеточный + гуморальный иммунитет) в той же Москве - от 55 до 80%, что ведет к постепенному затуханию вспышки коронавируса.
Мы не утверждаем, что это абсолютно верные данные. Но они, по крайней мере, могут объяснить видимое протекание эпидемии COVID-19.
И еще одно - мы не призываем к отказу от разумных мер самоизоляции. Потому что даже если у 60 процентов иммунитет уже есть, то оставшиеся 40% все равно жалко.
Исследователь Google's Threat Analysis Group (TAG) Шейн Хантли сообщает о фишинговых атаках на избирательные штабы Байдена и Трампа.
На сотрудников штаба Байдена нацелилась APT 31, она же ZIRCONIUM и BRONZE VINEWOOD. Эта группа раньше была замечена на атаках на гонконгских оппозиционеров , а также подозревалась во взломе норвежской ИТ-компании Visma. Считается, что она работает на китайское правительство.
Кстати, интересный факт. При расследовании взлома Visma американские исследователи чуть не поругались. Recorded Future утверждала, что за атакой стоит китайская же APT 10, работающая на МГБ КНР. А Microsoft заявляла, что это ни хрена не так и кибероперация принадлежит APT 31.
За атакой на штаб Трампа стоит APT 35, она же Newcaster Team, которая занимается киберразведкой в интересах иранского правительства.
Вот такие интересные расклады всплывают в ходе анализа деятельности прогосударственных хакерских групп. Китай большей угрозой считает Байдена, несмотря на воинственную риторику Трампа в отношении Пекина, а Ирану действующий американский президент не мил, потому что активизирует санкционный режим. А казалось бы, геополитические союзники...
На сотрудников штаба Байдена нацелилась APT 31, она же ZIRCONIUM и BRONZE VINEWOOD. Эта группа раньше была замечена на атаках на гонконгских оппозиционеров , а также подозревалась во взломе норвежской ИТ-компании Visma. Считается, что она работает на китайское правительство.
Кстати, интересный факт. При расследовании взлома Visma американские исследователи чуть не поругались. Recorded Future утверждала, что за атакой стоит китайская же APT 10, работающая на МГБ КНР. А Microsoft заявляла, что это ни хрена не так и кибероперация принадлежит APT 31.
За атакой на штаб Трампа стоит APT 35, она же Newcaster Team, которая занимается киберразведкой в интересах иранского правительства.
Вот такие интересные расклады всплывают в ходе анализа деятельности прогосударственных хакерских групп. Китай большей угрозой считает Байдена, несмотря на воинственную риторику Трампа в отношении Пекина, а Ирану действующий американский президент не мил, потому что активизирует санкционный режим. А казалось бы, геополитические союзники...
Twitter
Shane Huntley
Recently TAG saw China APT group targeting Biden campaign staff & Iran APT targeting Trump campaign staff with phishing. No sign of compromise. We sent users our govt attack warning and we referred to fed law enforcement. https://t.co/ozlRL4SwhG
По данным SecurityWeek, ресерчеры из немецкой компании ProtectEM в июле прошлого года обнаружили, что светофоры австрийской компании SWARCO могут быть взломаны.
Уязвимость CVE-2020-12493, которая была исправлена производителем только в апреле этого года, затрагивала контроллер светофора CPU LS4000 SWARCO. Светофор имел открытый порт отладки, предоставлявший рутовый доступ без пароля, что могло позволить злоумышленнику отключать светофоры или управлять ими, например включить одновременно зеленый свет на всем перекрестке.
Из пояснений немецких исследователей следует, что точка входа из Интернета отсутствовала, но можно было подключиться физически к одному из устройств, а потом получить доступ ко всей городской светофорной сети.
Интересно, а у нас кто-нибудь проводит аудит информационной безопасности городской дорожной инфраструктуры? Нам кажется это необходимым. Потому что, например, SWARCO поставляет светофоры более чем в 70 стран мира. И вполне возможно, что такие же светофоры стоят на московских перекрестках.
Уязвимость CVE-2020-12493, которая была исправлена производителем только в апреле этого года, затрагивала контроллер светофора CPU LS4000 SWARCO. Светофор имел открытый порт отладки, предоставлявший рутовый доступ без пароля, что могло позволить злоумышленнику отключать светофоры или управлять ими, например включить одновременно зеленый свет на всем перекрестке.
Из пояснений немецких исследователей следует, что точка входа из Интернета отсутствовала, но можно было подключиться физически к одному из устройств, а потом получить доступ ко всей городской светофорной сети.
Интересно, а у нас кто-нибудь проводит аудит информационной безопасности городской дорожной инфраструктуры? Нам кажется это необходимым. Потому что, например, SWARCO поставляет светофоры более чем в 70 стран мира. И вполне возможно, что такие же светофоры стоят на московских перекрестках.
SecurityWeek
Critical Vulnerability Could Have Allowed Hackers to Disrupt Traffic Lights
A critical vulnerability affecting traffic light controllers made by SWARCO could have been exploited by hackers to disrupt a city’s traffic lights.
У нас очередная новость, которая, вполне возможно, будет иметь далекоидущие последствия.
Американский военный подрядчик Westech International был взломан оператором ransomware Maze, в результате чего конфиденциальные данные были зашифрованы и скопированы хакерами. Подтверждения утечки уже размещены в сети.
И все бы ничего, в конце концов Westech International это не первый американский военный подрядчик, попавший под ransomware, да вот только эта компания занимается непосредственно обслуживанием ядерных ракет Minuteman III, стоящих на вооружении США. Кроме этого Westech International имеет еще ряд военных контрактов, например, на работы с американской системой противоракетной обороны или на субподряды Northrup Grumman.
А вот разработчики Maze, вероятно, имеют отношение к СНГ. По крайней мере, эта рансомварь не проявляет активность на машинах, на которых установлены языки стран СНГ, а также сербский язык, для чего вредонос после попадания в зараженную систему проводит специальную проверку. Кроме того, ряд управляющих центров Maze имел российские IP-адреса (хотя, по большому счету, это ни о чем особо не свидетельствует).
Поэтому обвинения в адрес России в кибератаке на американские ракетные силы, по нашему мнению, пока не появились исключительно потому, что в США сейчас веселые уличные гуляния и всем просто нет дела до чего-то еще.
Американский военный подрядчик Westech International был взломан оператором ransomware Maze, в результате чего конфиденциальные данные были зашифрованы и скопированы хакерами. Подтверждения утечки уже размещены в сети.
И все бы ничего, в конце концов Westech International это не первый американский военный подрядчик, попавший под ransomware, да вот только эта компания занимается непосредственно обслуживанием ядерных ракет Minuteman III, стоящих на вооружении США. Кроме этого Westech International имеет еще ряд военных контрактов, например, на работы с американской системой противоракетной обороны или на субподряды Northrup Grumman.
А вот разработчики Maze, вероятно, имеют отношение к СНГ. По крайней мере, эта рансомварь не проявляет активность на машинах, на которых установлены языки стран СНГ, а также сербский язык, для чего вредонос после попадания в зараженную систему проводит специальную проверку. Кроме того, ряд управляющих центров Maze имел российские IP-адреса (хотя, по большому счету, это ни о чем особо не свидетельствует).
Поэтому обвинения в адрес России в кибератаке на американские ракетные силы, по нашему мнению, пока не появились исключительно потому, что в США сейчас веселые уличные гуляния и всем просто нет дела до чего-то еще.
Sky News
Hackers steal secrets from US nuclear missile contractor Cyber extortionists have stolen sensitive data from a company which supports…
Cyber extortionists have stolen sensitive data from a company which supports the US Minuteman III nuclear deterrent.