Команда Unit42 вендора Paolo Alto Networks выпустила отчет о новом функционале ransomware Thanos, который должен был бы еще больше напугать жертву, но не работает.
Thanos - это продолжение Quimera Ransomware, которое появилось в октябре 2019 года. Потом вымогатель переименовался в Hakbit, а теперь он - Thanos. Видно, что создатели ransomware ищут себя.
Thanos работает по схеме Ransomware-as-a-Service (RaaS), забирая 30-40% от выкупа. Поддерживает его актор под псевдонимом Nosophorus. Рекламируется (на английском) на русскоязычных хакерских форумах.
В июле Unit42 анализировали атаки Thanos на две государственные организации на Ближнем Востоке и в Северной Африке. Ransomware, в числе прочего, попыталось перезаписать MBR (Master Boot Record), чтобы вместо загрузки сломанная машина выдавала требование о выкупе, но что-то пошло не так. Хакеры банально допустили ошибку в коде, в результате чего MBR не перезаписывалась.
Впервые подобный прием (перезапись MBR) применили создатели ransomware Petya, появившегося в 2016 году (там еще и вымогатель Mischa был). Подобными фокусами (ну, кроме Equation, конечно) активно баловались тогда северокорейские хакеры из Lazarus. Но это не точно.
Кстати, названия Petya и Mischa вовсе не означают, что создатели вымогателей были русскоязычными - это наименования двух спутников с ядерными боеголовками из фильма GoldenEye про Джеймса Бонда. Соответственно, когда в 2017 году появился EternalPetya (он же NotPetya) - это также не имело никакого отношения к русскоязычности авторов этого ransomware.
Thanos - это продолжение Quimera Ransomware, которое появилось в октябре 2019 года. Потом вымогатель переименовался в Hakbit, а теперь он - Thanos. Видно, что создатели ransomware ищут себя.
Thanos работает по схеме Ransomware-as-a-Service (RaaS), забирая 30-40% от выкупа. Поддерживает его актор под псевдонимом Nosophorus. Рекламируется (на английском) на русскоязычных хакерских форумах.
В июле Unit42 анализировали атаки Thanos на две государственные организации на Ближнем Востоке и в Северной Африке. Ransomware, в числе прочего, попыталось перезаписать MBR (Master Boot Record), чтобы вместо загрузки сломанная машина выдавала требование о выкупе, но что-то пошло не так. Хакеры банально допустили ошибку в коде, в результате чего MBR не перезаписывалась.
Впервые подобный прием (перезапись MBR) применили создатели ransomware Petya, появившегося в 2016 году (там еще и вымогатель Mischa был). Подобными фокусами (ну, кроме Equation, конечно) активно баловались тогда северокорейские хакеры из Lazarus. Но это не точно.
Кстати, названия Petya и Mischa вовсе не означают, что создатели вымогателей были русскоязычными - это наименования двух спутников с ядерными боеголовками из фильма GoldenEye про Джеймса Бонда. Соответственно, когда в 2017 году появился EternalPetya (он же NotPetya) - это также не имело никакого отношения к русскоязычности авторов этого ransomware.
Unit 42
Thanos Ransomware: Destructive Variant Targeting State-Run Organizations in the Middle East and North Africa
We observed a variant of the Thanos ransomware that attempted to overwrite the master boot record, a more destructive approach than previous versions.
Ну, а логичным завершением серии сегодняшних постов, в которых мы обсуждали информационную безопасность органов госвласти, а также ransomware, которое в наше время является киберугрозой №1, будет пост про то, как органы госвласти пострадали от ransomware.
Аргентинское агентство по борьбе с киберпреступностью Unidad Fiscal Especializada en Ciberdelincuencia завело уголовное производство по факту атаки оператора ransomware NetWalker на аргентинское же Агентство иммиграции Direccion Nacional de Migraciones.
Взлом ЦОД Агентства произошел утром (ночью) 27 августа. Для предотвращения дальнейшего распространения шифровальщика техническая поддержка была вынуждена отключить все удаленные сервисы, в том числе и те, которые используются на пограничных КПП. В результате аргентинская граница была закрыта в течение 4 часов (по нашему мнению, это еще скромно).
Аргентинские СМИ пишут, что правительство не собирается идти на переговоры с хакерами, а зашифрованные данные не являются критичными.
Да вот только оператор NetWalker думает по другому, ведь, согласно последней моде, злоумышленники крадут конфиденциальную информацию перед тем как ее зашифровать. Сумма выкупа с первоначальных 2 млн. долларов уже увеличилась до 4 млн., а на своем сайте хакеры опубликовали часть слитых данных. Журналисты BleepingComputer, которые ознакомились с содержимым, отказались в своей статье даже опубликовать скриншоты, поскольку "утечка носит конфиденциальный характер".
NetWalker - ransomware, работающее по схеме RaaS и появившееся в октябре 2019 года. Операторы вымогателя преимущественно специализировались на взломах сетей учебных заведений. Эта атака является, пожалуй, первой известной атакой ransomware на центральный орган госвласти, в результате которой были затронуты исполняемые государством функции.
А теперь давайте немного повангуем.
Как нам кажется, ransomware будет становиться все популярнее и популярнее, потому что под угрозой публикации украденных конфиденциальных данных все больше жертв будет платить выкуп (и это тенденция уже видна невооруженным глазом). А там где есть потенциальная прибыль всегда есть желающие ее получить.
И в конце концов активность операторов вымогателей распространится не только на крупный бизнес (что мы все больше наблюдаем в последние месяцы), но и на крупные государственные структуры (что мы увидели сегодня). И никакие вооруженные силы и черные вертолеты с пативэнами не помогут, если у государства не налажена информационная безопасность.
Dixi.
Аргентинское агентство по борьбе с киберпреступностью Unidad Fiscal Especializada en Ciberdelincuencia завело уголовное производство по факту атаки оператора ransomware NetWalker на аргентинское же Агентство иммиграции Direccion Nacional de Migraciones.
Взлом ЦОД Агентства произошел утром (ночью) 27 августа. Для предотвращения дальнейшего распространения шифровальщика техническая поддержка была вынуждена отключить все удаленные сервисы, в том числе и те, которые используются на пограничных КПП. В результате аргентинская граница была закрыта в течение 4 часов (по нашему мнению, это еще скромно).
Аргентинские СМИ пишут, что правительство не собирается идти на переговоры с хакерами, а зашифрованные данные не являются критичными.
Да вот только оператор NetWalker думает по другому, ведь, согласно последней моде, злоумышленники крадут конфиденциальную информацию перед тем как ее зашифровать. Сумма выкупа с первоначальных 2 млн. долларов уже увеличилась до 4 млн., а на своем сайте хакеры опубликовали часть слитых данных. Журналисты BleepingComputer, которые ознакомились с содержимым, отказались в своей статье даже опубликовать скриншоты, поскольку "утечка носит конфиденциальный характер".
NetWalker - ransomware, работающее по схеме RaaS и появившееся в октябре 2019 года. Операторы вымогателя преимущественно специализировались на взломах сетей учебных заведений. Эта атака является, пожалуй, первой известной атакой ransomware на центральный орган госвласти, в результате которой были затронуты исполняемые государством функции.
А теперь давайте немного повангуем.
Как нам кажется, ransomware будет становиться все популярнее и популярнее, потому что под угрозой публикации украденных конфиденциальных данных все больше жертв будет платить выкуп (и это тенденция уже видна невооруженным глазом). А там где есть потенциальная прибыль всегда есть желающие ее получить.
И в конце концов активность операторов вымогателей распространится не только на крупный бизнес (что мы все больше наблюдаем в последние месяцы), но и на крупные государственные структуры (что мы увидели сегодня). И никакие вооруженные силы и черные вертолеты с пативэнами не помогут, если у государства не налажена информационная безопасность.
Dixi.
BleepingComputer
Netwalker ransomware hits Argentinian government, demands $4 million
Argentina's official immigration agency, Dirección Nacional de Migraciones, suffered a Netwalker ransomware attack that temporarily halted border crossing into and out of the country.
Новость прошлой недели, но мы не смогли пройти мимо.
ZDNet сообщили, что разработчики приватного мессенджера Threema пообещали в ближайшие месяцы полностью открыть его код , который будет полностью соответствовать загружаемому приложению.
Это должно означать одно - пользователь сможет самостоятельно проверить код мессенджера на предмет наличия/отсутствия закладок, скомпилировать его и получится рабочая версия Threema, которая будет обладать всем заявленным функционалом.
Правда возможен еще один вариант, который уже проворачивал известный всем приватный мессенджер на букву S, - выложить исходники, которые после компиляции не будут подключаться к рабочим серверам.
Но будем надеяться, что швейцарцы на такую уловку не пойдут, поскольку их схема монетизации все-таки более менее понятная - они тупо продают мессенджер за деньги. В отличие от.
ZDNet сообщили, что разработчики приватного мессенджера Threema пообещали в ближайшие месяцы полностью открыть его код , который будет полностью соответствовать загружаемому приложению.
Это должно означать одно - пользователь сможет самостоятельно проверить код мессенджера на предмет наличия/отсутствия закладок, скомпилировать его и получится рабочая версия Threema, которая будет обладать всем заявленным функционалом.
Правда возможен еще один вариант, который уже проворачивал известный всем приватный мессенджер на букву S, - выложить исходники, которые после компиляции не будут подключаться к рабочим серверам.
Но будем надеяться, что швейцарцы на такую уловку не пойдут, поскольку их схема монетизации все-таки более менее понятная - они тупо продают мессенджер за деньги. В отличие от.
ZDNet
Threema E2EE chat app to go 'fully open source' within months
Threema follows in the footsteps of Signal and Wickr and opens its apps' codebase.
Вчера мы описали инцидент, в котором атака ransomware на аргентинское Агентство иммиграции Direccion Nacional de Migraciones повлекла за собой закрытие границы Аргентины на четыре часа. Хорошо, что никто не пострадал, хотя люди и испытали достаточно серьезные неудобства.
А что было бы если бы киберинцидент повлек за собой реальный физический ущерб (вплоть до гибели), кто был бы ответственным? В настоящее время, полагаем, никто из должностных лиц подвергшейся атаке организации, за исключением, возможно, CISО. Но так будет не всегда, утверждает компания Gartner, одна из ведущих консалтинговых компаний в области информационных технологий.
По данным исследования компании Gartner, к 2024 году 75 процентов CEO будут нести личную ответственность за киберинциденты, произошедшие с подведомственными им системам кибер-физической безопасности (CPS).
Gartner определяет CPS как компьютерные системы, которые оказывают непосредственное влияние на физический мир (включая людей). В настоящее время подобные системы встречаются преимущественно в критической информационной инфраструктуре и медицинских учреждениях, однако, по мнению консультантов, в ближайшие годы они получат широкое распространение благодаря внедрению "умных" городов и зданий, автомобильных автопилотов и других систем управления транспортом, удаленной медицине и пр.
В таких условиях "инциденты могут привести к физическому ущербу для людей, разрушению имущества или экологическим катастрофам", говорит Gartner. Финансовые последствия атак на CPS, по оценкам экспертов компании, к 2023 году составят более 50 млрд. долларов.
С учетом такого развития событий национальные правительства и международные органы будут вынуждены резко ужесточить ответственность должностных лиц за происходящие с их CPS инциденты. И ссылаться на "неправильное сегментирование сети" можно будет уже непосредственно на киче.
Мы абсолютно согласны с исследователями Gartner и сами неоднократно обращали внимание на несоответствие принимаемых государственными и частными организациями, владеющими критическими информационными системами, такими как ICS (Industrial Control Systems, по нашему - АСУ ТП).
Российские госорганы также идут в сторону ужесточения, введя в оборот понятие объектов КИИ и разработав (разрабатывая) множество соответствующих норм.
Поэтому мы думаем, что попытки найти руководителей подразделений информационной безопасности на предприятия, имеющие в номенклатуре несколько объектов КИИ 1-й категории, за 200 тыс. рублей в месяц станут безуспешными с первой же посадкой такого руководителя по статье 274.1 УК. А полностью прекратятся после того, как сядет первый CEO.
И вот тогда CISO точно станут самыми уважаемыми специалистами в любой организации. А не HR-директора, как сейчас.
А что было бы если бы киберинцидент повлек за собой реальный физический ущерб (вплоть до гибели), кто был бы ответственным? В настоящее время, полагаем, никто из должностных лиц подвергшейся атаке организации, за исключением, возможно, CISО. Но так будет не всегда, утверждает компания Gartner, одна из ведущих консалтинговых компаний в области информационных технологий.
По данным исследования компании Gartner, к 2024 году 75 процентов CEO будут нести личную ответственность за киберинциденты, произошедшие с подведомственными им системам кибер-физической безопасности (CPS).
Gartner определяет CPS как компьютерные системы, которые оказывают непосредственное влияние на физический мир (включая людей). В настоящее время подобные системы встречаются преимущественно в критической информационной инфраструктуре и медицинских учреждениях, однако, по мнению консультантов, в ближайшие годы они получат широкое распространение благодаря внедрению "умных" городов и зданий, автомобильных автопилотов и других систем управления транспортом, удаленной медицине и пр.
В таких условиях "инциденты могут привести к физическому ущербу для людей, разрушению имущества или экологическим катастрофам", говорит Gartner. Финансовые последствия атак на CPS, по оценкам экспертов компании, к 2023 году составят более 50 млрд. долларов.
С учетом такого развития событий национальные правительства и международные органы будут вынуждены резко ужесточить ответственность должностных лиц за происходящие с их CPS инциденты. И ссылаться на "неправильное сегментирование сети" можно будет уже непосредственно на киче.
Мы абсолютно согласны с исследователями Gartner и сами неоднократно обращали внимание на несоответствие принимаемых государственными и частными организациями, владеющими критическими информационными системами, такими как ICS (Industrial Control Systems, по нашему - АСУ ТП).
Российские госорганы также идут в сторону ужесточения, введя в оборот понятие объектов КИИ и разработав (разрабатывая) множество соответствующих норм.
Поэтому мы думаем, что попытки найти руководителей подразделений информационной безопасности на предприятия, имеющие в номенклатуре несколько объектов КИИ 1-й категории, за 200 тыс. рублей в месяц станут безуспешными с первой же посадкой такого руководителя по статье 274.1 УК. А полностью прекратятся после того, как сядет первый CEO.
И вот тогда CISO точно станут самыми уважаемыми специалистами в любой организации. А не HR-директора, как сейчас.
Gartner
Gartner Predicts 75% of CEOs Will be Personally Liable for Cyber-Physical Security Incidents by 2024
Gartner predicts that 75% of CEOs will be personally liable for cyber-physical security incidents by 2024 #GartnerSEC #Security #Risk @Gartner_IT
И в продолжение темы влияния кибератак на реальную жизнь людей.
Вчера BancoEstado, один трех крупнейших банков Чили, был вынужден закрыть все свои отделения после атаки ransomware, которая произошла в выходные.
Подробности банк не сообщил, но журналисты ZDNet утверждают, что это был вымогатель Sodinokibi (он же REvil). Внутренняя сеть банка была скомпрометирована через бэкдор, который содержался в фишинговом сообщении, полученном одним из сотрудников банка.
В воскресенье чилийское правительство разослало общенациональный алерт по поводу кампании ransomware, нацеленной на частный сектор страны.
Пока на принадлежащем REvil сайте сливов украденной информации данных BancoEstado не появилось. Это значит, что хакеры еще ждут выплаты выкупа. Обычный срок, который дается жертве для принятия решения, - неделя. Если в следующий понедельник слива не появится, значит, с большой долей вероятности, банкиры заплатили REvil деньги.
Вчера BancoEstado, один трех крупнейших банков Чили, был вынужден закрыть все свои отделения после атаки ransomware, которая произошла в выходные.
Подробности банк не сообщил, но журналисты ZDNet утверждают, что это был вымогатель Sodinokibi (он же REvil). Внутренняя сеть банка была скомпрометирована через бэкдор, который содержался в фишинговом сообщении, полученном одним из сотрудников банка.
В воскресенье чилийское правительство разослало общенациональный алерт по поводу кампании ransomware, нацеленной на частный сектор страны.
Пока на принадлежащем REvil сайте сливов украденной информации данных BancoEstado не появилось. Это значит, что хакеры еще ждут выплаты выкупа. Обычный срок, который дается жертве для принятия решения, - неделя. Если в следующий понедельник слива не появится, значит, с большой долей вероятности, банкиры заплатили REvil деньги.
ZDNET
Chilean bank shuts down all branches following ransomware attack
All BancoEstado branches will remain closed on Monday, September 7, and possibly more days.
Команда IssueMakersLab сообщает, что северокорейские хакеры из APT Lazarus развернули новую фишинговую атаку, направленную на военную и аэрокосмическую отрасли США.
В этот раз под видом предложения работы от лица американской компании General Dynamics Mission Systems (GDMS) корейцы рассылают фишинговое сообщение с вредоносным макросом внутри.
В этот раз под видом предложения работы от лица американской компании General Dynamics Mission Systems (GDMS) корейцы рассылают фишинговое сообщение с вредоносным макросом внутри.
Мы нашли очень интересную и очень большую статью исследователей Национального центра биотехнологической информации (NCBI) американского Национального института здоровья (NIH), посвященную разработке основанной на нейросети системы выявления активности APT на основе анализа DNS-трафика.
Как связаны хакеры и Национальный центр биотехнологической информации - не спрашивайте, сами не знаем.
В двух словах, ресерчеры определили восемь параметров для обнаружения подозрительного DNS-трафика:
- длина доменного имени;
- числовые включения в доменном имени;
- наличие в домене ключевых слов;
- период непрерывного появления одного и того же доменного имени;
- отображается ли доменное имя лишь один раз;
- частотный вектор появления доменного имени в ходе всего мониторинга;
- временной интервал между DNS-запросом и ответом;
- частота смены IP-адреса для конкретного доменного имени.
Далее они построили нейросеть на основе оценки этих параметров и провели ее глубокое обучение на примере более чем 376 миллионов записей.
В результате обученная нейросеть стала выявлять подозрительный DNS-трафик с точностью до 97,6%. Конечно неизвестно как система проявит себя в реальной жизни, но предварительные данные выглядят весьма перспективно.
Мы всегда верили в Big Data.
Как связаны хакеры и Национальный центр биотехнологической информации - не спрашивайте, сами не знаем.
В двух словах, ресерчеры определили восемь параметров для обнаружения подозрительного DNS-трафика:
- длина доменного имени;
- числовые включения в доменном имени;
- наличие в домене ключевых слов;
- период непрерывного появления одного и того же доменного имени;
- отображается ли доменное имя лишь один раз;
- частотный вектор появления доменного имени в ходе всего мониторинга;
- временной интервал между DNS-запросом и ответом;
- частота смены IP-адреса для конкретного доменного имени.
Далее они построили нейросеть на основе оценки этих параметров и провели ее глубокое обучение на примере более чем 376 миллионов записей.
В результате обученная нейросеть стала выявлять подозрительный DNS-трафик с точностью до 97,6%. Конечно неизвестно как система проявит себя в реальной жизни, но предварительные данные выглядят весьма перспективно.
Мы всегда верили в Big Data.
PubMed Central (PMC)
Discovering Suspicious APT Behaviors by Analyzing DNS Activities
As sensors become more prevalent in our lives, security issues have become a major concern. In the Advanced Persistent Threat (APT) attack, the sensor has also become an important role as a transmission medium. As a relatively weak link in the network ...
Вчера Microsoft выпустили очередное сентябрьское обновление безопасности, в котором исправили 129 уязвимостей в 15 своих продуктах, среди которых - Windows, Edge, Internet Explorer, Microsoft Office, Share Point и ряд других.
Из 129 уязвимостей - 32 позволяют злоумышленнику удаленное выполнение кода (RCE), 20 из них - критичные.
Всем срочно обновляться.
Из 129 уязвимостей - 32 позволяют злоумышленнику удаленное выполнение кода (RCE), 20 из них - критичные.
Всем срочно обновляться.
Новости про ransomware идут сплошным потоком каждый день, хоть отдельный канал для них заводи.
Первая - руководство города Хартфорд (штат Коннектикут, США) объявило о том, то первый школьный день в городе откладывается из-за атаки вымогателя на городскую компьютерную сеть, которая произошла в прошлый четверг.
В результате, как сообщил мэр Хатфорда, атака затронула несколько школьных сетей, а также систему управления школьными автотранспортом. Чиновник рассказал, что город не планирует выплачивать оператору ransomware выкуп, поскольку не ведет переговоров с вымогателями, а никакие чувствительные данные украдены не были (или мэр об этом просто не знает).
По данным BleepingComputer, за атакой стоит ransomware Hermes, но это не точно.
Вторая новость, уже совсем невеселая, - оператор ransomware NetWalker, атака которого только недавно стала причиной закрытия аргентинской границы на 4 часа, 7 сентября успешно атаковал пакистанскую электросетевую компанию K-Electric, являющуюся единственным поставщиком электричества в пакистанском городе Карачи.
В результате взлома пострадали биллинг и онлайн-сервисы. Хорошо, что хакеры не добрались до системы управления транзитом электричества (или как это правильно называется). Потому что город Карачи - это агломерация размером с Москву, 15 миллионов человек.
Хакеры требуют 3 млн. 850 тыс. долларов, которые, по традиции, превратятся в 7,7 миллионов баксов если жертва не выплатит выкуп в течение недели.
Учитывая, что был взломан биллинг, наверняка персональные данные всех клиентов K-Electric были украдены и в случае отказа пакистанцев платить окажутся в открытом доступе в сети.
Напомним, что NetWalker работает по схеме Ransomware-as-a-Service, когда хакеры-клиенты, используя вредоносную инфраструктуру ransomware, в случае удачного вымогательства делят прибыль с владельцами вредоноса. Это объясняет необычайную активность NetWalker (да и других вымогателей, работающих по схеме RaaS) в последнее время - фактически взломы осуществляет множество независимых хакеров (хакерских групп). По данным McAfee, только с марта 2020 года владельцы NetWalker заработали 25 миллионов долларов США.
Первая - руководство города Хартфорд (штат Коннектикут, США) объявило о том, то первый школьный день в городе откладывается из-за атаки вымогателя на городскую компьютерную сеть, которая произошла в прошлый четверг.
В результате, как сообщил мэр Хатфорда, атака затронула несколько школьных сетей, а также систему управления школьными автотранспортом. Чиновник рассказал, что город не планирует выплачивать оператору ransomware выкуп, поскольку не ведет переговоров с вымогателями, а никакие чувствительные данные украдены не были (или мэр об этом просто не знает).
По данным BleepingComputer, за атакой стоит ransomware Hermes, но это не точно.
Вторая новость, уже совсем невеселая, - оператор ransomware NetWalker, атака которого только недавно стала причиной закрытия аргентинской границы на 4 часа, 7 сентября успешно атаковал пакистанскую электросетевую компанию K-Electric, являющуюся единственным поставщиком электричества в пакистанском городе Карачи.
В результате взлома пострадали биллинг и онлайн-сервисы. Хорошо, что хакеры не добрались до системы управления транзитом электричества (или как это правильно называется). Потому что город Карачи - это агломерация размером с Москву, 15 миллионов человек.
Хакеры требуют 3 млн. 850 тыс. долларов, которые, по традиции, превратятся в 7,7 миллионов баксов если жертва не выплатит выкуп в течение недели.
Учитывая, что был взломан биллинг, наверняка персональные данные всех клиентов K-Electric были украдены и в случае отказа пакистанцев платить окажутся в открытом доступе в сети.
Напомним, что NetWalker работает по схеме Ransomware-as-a-Service, когда хакеры-клиенты, используя вредоносную инфраструктуру ransomware, в случае удачного вымогательства делят прибыль с владельцами вредоноса. Это объясняет необычайную активность NetWalker (да и других вымогателей, работающих по схеме RaaS) в последнее время - фактически взломы осуществляет множество независимых хакеров (хакерских групп). По данным McAfee, только с марта 2020 года владельцы NetWalker заработали 25 миллионов долларов США.
BleepingComputer
Netwalker ransomware hits Pakistan's largest private power utility
K-Electric, the sole electricity provider for Karachi, Pakistan, has suffered a Netwalker ransomware attack that led to the disruption of billing and online services.
Исследовательский Центр Белферов Гарвардского Университета выпустил отчет Национальный индекс кибербезопасности 2020.
В ходе составления Индекса эксперты анализировали кучу параметров, которые можно условно объединить в 7 объективных показателей, среди которых укрепление национальной кибербезопасности, контроль и управление информационной средой и возможности по кибератакам инфраструктуры потенциального противника.
Ожидаемо, на первом месте - США, на втором - Китай. Россия - четвертая, пропустив вперед Великобританию.
Рейтинг, конечно, странный, хотя с отсутствием России в первой десятке стран с наилучшей национальной кибербезопасностью мы согласны.
Но как понимать четвертое место Испании и девятое место Эстонии в десятке стран с самыми мощными возможностями по кибератакам? Где все эти грозные хакерские группы типа "Неудержимые Кибермучачос" или "Eesti Kangelased". А вот КНДР в топ не попала, что весьма странно, учитывая количество и активность северокорейских хакерских групп.
В ходе составления Индекса эксперты анализировали кучу параметров, которые можно условно объединить в 7 объективных показателей, среди которых укрепление национальной кибербезопасности, контроль и управление информационной средой и возможности по кибератакам инфраструктуры потенциального противника.
Ожидаемо, на первом месте - США, на втором - Китай. Россия - четвертая, пропустив вперед Великобританию.
Рейтинг, конечно, странный, хотя с отсутствием России в первой десятке стран с наилучшей национальной кибербезопасностью мы согласны.
Но как понимать четвертое место Испании и девятое место Эстонии в десятке стран с самыми мощными возможностями по кибератакам? Где все эти грозные хакерские группы типа "Неудержимые Кибермучачос" или "Eesti Kangelased". А вот КНДР в топ не попала, что весьма странно, учитывая количество и активность северокорейских хакерских групп.
Свежая новость.
На одном из русскоязычных хакерских форумов актор с псевдонимом Ferb прямо сейчас продает за 20 тыс. долларов возможность удаленного выполнения кода (RCE) в сети одного из российских банков. Естественно, что названия взломанного банка нет.
Кроме того, Ferb со товарищи продает доступы к сетям нескольких банков из Италии, Парагвая и Австрии.
Гадаем "на кого Бог пошлет" и попадет ли информация о компрометации взломанного банка в паблик.
На одном из русскоязычных хакерских форумов актор с псевдонимом Ferb прямо сейчас продает за 20 тыс. долларов возможность удаленного выполнения кода (RCE) в сети одного из российских банков. Естественно, что названия взломанного банка нет.
Кроме того, Ferb со товарищи продает доступы к сетям нескольких банков из Италии, Парагвая и Австрии.
Гадаем "на кого Бог пошлет" и попадет ли информация о компрометации взломанного банка в паблик.
Согласно новому отчету Mid-Year Threat Landscape Report 2020 румынского инфосек вендора Bitdefender количество атак ransomware за год выросло больше чем в 7 раз!
Если не это свидетельство того, что ransomware - это современная киберугроза №1, то мы даже не знаем что сказать.
Кстати RCE в сети российского банка из предыдущего поста вполне может быть использовано для развертывания внутри вымогателя. Последствия можно себе представить.
Если не это свидетельство того, что ransomware - это современная киберугроза №1, то мы даже не знаем что сказать.
Кстати RCE в сети российского банка из предыдущего поста вполне может быть использовано для развертывания внутри вымогателя. Последствия можно себе представить.
Shadow Intelligence сообщает, что последние несколько часов недоступны блог страницы сразу нескольких ransomware:
- Maze
- REvil (Sodinokibi)
- Nefilim
- Conti.
За первыми тремя стоят русскоязычные хакерские группы.
Как выясняется, сайт Maze все еще доступен по IP-адресу, но доменное имя больше не резолвится. Похоже, что кто-то начал организованно давить ресурсы владельцев ransomware, чтобы они не могли сливать украденные данные в паблик.
Мера очевидная, но вряд ли решит проблему.
- Maze
- REvil (Sodinokibi)
- Nefilim
- Conti.
За первыми тремя стоят русскоязычные хакерские группы.
Как выясняется, сайт Maze все еще доступен по IP-адресу, но доменное имя больше не резолвится. Похоже, что кто-то начал организованно давить ресурсы владельцев ransomware, чтобы они не могли сливать украденные данные в паблик.
Мера очевидная, но вряд ли решит проблему.
Twitter
Shadow Intelligence
The following ransomware blog pages have been offline for the past few hours: - Maze (All Domains) - Revil - Conti (Onion Page) - Nefilim https://t.co/2s2EG0kaz8
Две группы исследователей из американского Университета Пердью и Федеральной политехнической школы в Лозанне обнаружили уязвимость в стандартах Blurtooth Classic (BR/EDR) и Bluetooth Low Energy (BLE).
Ошибка, названная BLURtooth (CVE-2020-15802), содержится в компоненте Cross-Transport Key Derivation (CTDK), который используется для согласования ключей аутентификации при сопряжении устройств через BR/EDR или BLE, и позволяет злоумышленнику перехватывать такие ключи. В итоге хакер может заменить аутентификационный ключ или снизить его надежность.
Атаке подвержены все устройства, использующие версии Bluetooth с 4.0 по 5.0.
А что насчет исправлений уязвимости BLURtooth? А их пока нет и точный срок появления неизвестен. Поэтому единственной возможностью защититься от подобной атаки является контроль подключенных по Bluetooth устройств.
Кстати, представленные недавно мозговые чипы Neuralink от Илона Маска соединяются с внешними устройствами как раз по протоколу BLE. А теперь представьте, что злоумышленники подключились к вживленному в голову чипу - Киберпанк 2077, не иначе.
Ошибка, названная BLURtooth (CVE-2020-15802), содержится в компоненте Cross-Transport Key Derivation (CTDK), который используется для согласования ключей аутентификации при сопряжении устройств через BR/EDR или BLE, и позволяет злоумышленнику перехватывать такие ключи. В итоге хакер может заменить аутентификационный ключ или снизить его надежность.
Атаке подвержены все устройства, использующие версии Bluetooth с 4.0 по 5.0.
А что насчет исправлений уязвимости BLURtooth? А их пока нет и точный срок появления неизвестен. Поэтому единственной возможностью защититься от подобной атаки является контроль подключенных по Bluetooth устройств.
Кстати, представленные недавно мозговые чипы Neuralink от Илона Маска соединяются с внешними устройствами как раз по протоколу BLE. А теперь представьте, что злоумышленники подключились к вживленному в голову чипу - Киберпанк 2077, не иначе.
BleepingComputer
BLURtooth vulnerability lets attackers defeat Bluetooth encryption
A vulnerability exists in certain implementations of Bluetooth 4.0 through 5.0 which allows an attacker to overwrite or lower the strength of the pairing key, giving them access to authenticated services.
Мы нечасто, но все-таки, уделяем внимание атакам на промышленные системы управления (ICS) - например, здесь писали про атаку Triton. Но, вообще говоря, эти малоизвестные широкой публике атаки с точки зрения потенциальных негативных последствий являются, пожалуй, самыми разрушительными. Ведь под управлением ICS находятся промышленные объекты, зачастую имеющие дело с опасными для окружающей среды и людей веществами.
Исследователи инфосек компании Clarity во вторник опубликовали материалы отчета, в котором сообщили, что нашли 6 критических уязвимостей в компоненте CodeMeter компании Wibu-Systems, использующемся производителями программного обеспечения для ICS для управления лицензиями.
Выявленные уязвимости позволяют удаленно выполнить код, вызвать отказ в обслуживании, получить информацию с атакованного устройства и др. Фактически - полностью взять под внешнее управление атакованный узел ICS.
Такие крупные поставщики ICS как Siemens и Rockwell уже признали наличие связанных с выявленными уязвимостями в CodeMeter угроз безопасности в своем ПО.
Будем надеяться, что не бахнет.
Исследователи инфосек компании Clarity во вторник опубликовали материалы отчета, в котором сообщили, что нашли 6 критических уязвимостей в компоненте CodeMeter компании Wibu-Systems, использующемся производителями программного обеспечения для ICS для управления лицензиями.
Выявленные уязвимости позволяют удаленно выполнить код, вызвать отказ в обслуживании, получить информацию с атакованного устройства и др. Фактически - полностью взять под внешнее управление атакованный узел ICS.
Такие крупные поставщики ICS как Siemens и Rockwell уже признали наличие связанных с выявленными уязвимостями в CodeMeter угроз безопасности в своем ПО.
Будем надеяться, что не бахнет.
Claroty
Far-Reaching Third-Party Components Putting OT Networks at Risk - Claroty
Critical vulnerabilities in Wibu-Systems’ CodeMeter digital rights management (DRM) solution, prevalent across the industrial control realm, put machines at risk for denial-of-service and remote code execution attacks.
Транснациональная корпорация Equinix с доходом в 5,5 млрд. долларов США за 2019 год стала жертвой атаки ransomware, о чем сообщила вчера в своем Twitter-аккаунте.
Чтобы был понятнее масштаб трагедии - Equinix это один из мировых лидеров на рынке центров обработки данных, имеет под своим управлением 205 ЦОД в 25 странах мира.
В своем сообщении компания утверждает, что данные клиентов не пострадали, но, положа руку на сердце, так делают большинство пострадавших от ransomware. Правда, это не всегда соответствует действительности.
Чтобы был понятнее масштаб трагедии - Equinix это один из мировых лидеров на рынке центров обработки данных, имеет под своим управлением 205 ЦОД в 25 странах мира.
В своем сообщении компания утверждает, что данные клиентов не пострадали, но, положа руку на сердце, так делают большинство пострадавших от ransomware. Правда, это не всегда соответствует действительности.
Twitter
Equinix, Inc.
Read the Equinix statement on our security incident. Keep up to date via the Equinix blog - https://t.co/pMnc8U34Hj
Group-IB запилила в своем Twitter странную викторину, в которой надо отвечать на вопросы о ransomware ProLock.
Мы сначала подумали, что это оригинальный метод социальной инженерии, чтобы выловить владельцев вымогателя через Twitter.
Но потом оказалось, что это просто такая иновационная реклама нового исследования компании про этот самый ProLock.
Объедятся чили-краба в своем Сингапуре, а потом другу другу викторины придумывают.
Мы сначала подумали, что это оригинальный метод социальной инженерии, чтобы выловить владельцев вымогателя через Twitter.
Но потом оказалось, что это просто такая иновационная реклама нового исследования компании про этот самый ProLock.
Объедятся чили-краба в своем Сингапуре, а потом другу другу викторины придумывают.
Twitter
Group-IB
Group-IB releases a new blog post, in which senior digital forensics analyst Oleg Skulkin @oskulkin and malware analyst Semen Rogachev examine the recent #TTPs of #ProLock #ransomware operators. Read it now -> https://t.co/E964RBH9Aw
Поскольку избирательная кампания в США набирает обороты, то обстановка вокруг кандидатов на пост американского Президента все больше накаляется.
Согласно сообщениям американских журналистов, избирательный штаб Джо Байдена был предупрежден о том, что находится в прицеле русских хакеров.
Мы, как всегда не оставаясь в стороне, провели собственное расследование и получили видео, на котором зафиксировано проникновение русских хакеров через установленный в штабе Байдена Next-Gen Firewall от американской компании Palo Alto Networks. При взломе ГРУ использовало новую технологию обфускации под названием "Babe".
Согласно сообщениям американских журналистов, избирательный штаб Джо Байдена был предупрежден о том, что находится в прицеле русских хакеров.
Мы, как всегда не оставаясь в стороне, провели собственное расследование и получили видео, на котором зафиксировано проникновение русских хакеров через установленный в штабе Байдена Next-Gen Firewall от американской компании Palo Alto Networks. При взломе ГРУ использовало новую технологию обфускации под названием "Babe".
Twitter
Rex Chapman🏇🏼
I have a few questions...
Когда-то давным-давно, несколько месяцев назад, мы написали серию постов про ведущую северокорейскую APT Lazarus и обещали продолжить ее материалами про другую хакерскую группу, работающую на спецслужбы КНДР и носящую название Kimsuky. Однако, тогда не срослось.
И вот теперь мы решили выполнить обещание и дать краткий обзор активности этой APT в несколько постов.
Напомним как связаны Lazarus и Kimsuky. Эти хакерские группы работают на разные департаменты Главного разведывательного бюро (RGB) Генштаба Народной армии Северной Кореи. Lazarus работает на 3-й Департамент RGB aka Bureau 121, который специализируется на технической разведке, а Kimsuky функционирует под контролем 5-го Департамента RGB aka Bureau 35, занимающегося разведкой зарубежной.
И хотя по масштабу своей деятельности Kimsuky (она же Velvet Chollima, она же Thallium, она же Black Banshee) не сравнится со своими коллегами из технической разведки, тем не менее в ее багаже есть немало интересных киберопераций.
Впервые северокорейская APT была обнаружена в 2013 году, как ни странно, Касперскими. Однажды в сети южнокорейского think-tank исследователи нашли шпионский вредонос, в коде которого содержались корейские иероглифы и который для связи использовал публичный болгарский почтовый сервер. Среди целей malware значились ведущие южнокорейские исследовательские центры, связанные с национальной безопасностью и оборонкой, а также Министерство объединения Южной Кореи, разрабатывающее политику в отношение КНДР.
Предполагаемым способом заражения был целевой фишинг. По своему функционалу вредонос представлял собой полноценный шпионский RAT (троян удаленного доступа), способный собирать различную информацию с зараженной машины, а также обеспечивать удаленное управление. Связь и эксфильтрация украденной информации осуществлялась посредством обмена электронной почтой между ящиками на болгарском сервере mail.bg.
Кстати, при изучения функционала вредоноса по обходу анивирусных решений Касперские нашли любопытную вещь — RAT сосредотачивался на обходе антивирусного ПО исключительно производства южнокорейской компании AhnLab. Все дело в том, что регуляторные органы Южной Кореи занимали достаточно жесткую позицию в части максимального сокращения использования внутри страны антивирусов иностранного производства. Зная это, авторы найденного вредоноса даже не пытались обходить другие средства защиты кроме AhnLab.
Ряд признаков, такие как выбор целей, использование корейского языка, IP-адреса, принадлежащие работающему с КНДР китайскому провайдеру, позволяли с большой долей уверенности утверждать, что хакерская группа, стоящая за распространением вредоноса, который Касперские назвали Kimsuky, базируется в Северной Корее. Впоследствии, как это часто бывает, по названию malware стали именовать и саму группу — Kimsuky.
Почему Kimsuky? Один из используемых хакерами почтовых ящиков был зарегистрирован на имя kimsukyang. Поэтому исследователи и присвоили RAT такое название.
#APT #Kimsuky
И вот теперь мы решили выполнить обещание и дать краткий обзор активности этой APT в несколько постов.
Напомним как связаны Lazarus и Kimsuky. Эти хакерские группы работают на разные департаменты Главного разведывательного бюро (RGB) Генштаба Народной армии Северной Кореи. Lazarus работает на 3-й Департамент RGB aka Bureau 121, который специализируется на технической разведке, а Kimsuky функционирует под контролем 5-го Департамента RGB aka Bureau 35, занимающегося разведкой зарубежной.
И хотя по масштабу своей деятельности Kimsuky (она же Velvet Chollima, она же Thallium, она же Black Banshee) не сравнится со своими коллегами из технической разведки, тем не менее в ее багаже есть немало интересных киберопераций.
Впервые северокорейская APT была обнаружена в 2013 году, как ни странно, Касперскими. Однажды в сети южнокорейского think-tank исследователи нашли шпионский вредонос, в коде которого содержались корейские иероглифы и который для связи использовал публичный болгарский почтовый сервер. Среди целей malware значились ведущие южнокорейские исследовательские центры, связанные с национальной безопасностью и оборонкой, а также Министерство объединения Южной Кореи, разрабатывающее политику в отношение КНДР.
Предполагаемым способом заражения был целевой фишинг. По своему функционалу вредонос представлял собой полноценный шпионский RAT (троян удаленного доступа), способный собирать различную информацию с зараженной машины, а также обеспечивать удаленное управление. Связь и эксфильтрация украденной информации осуществлялась посредством обмена электронной почтой между ящиками на болгарском сервере mail.bg.
Кстати, при изучения функционала вредоноса по обходу анивирусных решений Касперские нашли любопытную вещь — RAT сосредотачивался на обходе антивирусного ПО исключительно производства южнокорейской компании AhnLab. Все дело в том, что регуляторные органы Южной Кореи занимали достаточно жесткую позицию в части максимального сокращения использования внутри страны антивирусов иностранного производства. Зная это, авторы найденного вредоноса даже не пытались обходить другие средства защиты кроме AhnLab.
Ряд признаков, такие как выбор целей, использование корейского языка, IP-адреса, принадлежащие работающему с КНДР китайскому провайдеру, позволяли с большой долей уверенности утверждать, что хакерская группа, стоящая за распространением вредоноса, который Касперские назвали Kimsuky, базируется в Северной Корее. Впоследствии, как это часто бывает, по названию malware стали именовать и саму группу — Kimsuky.
Почему Kimsuky? Один из используемых хакерами почтовых ящиков был зарегистрирован на имя kimsukyang. Поэтому исследователи и присвоили RAT такое название.
#APT #Kimsuky
В следующий раз Kimsuky выступили в конце 2014 года и шоу получилось громким. Они взломали сеть южнокорейской компании Korea Hydro and Nuclear Power (KHNP), являющейся оператором 23 ядерных реакторов в Южной Корее. И хотя власти сразу же заявили, что пострадали только «некритические» сегменты сети, вскоре стало ясно, что хакеры ухитрились украсть массу конфиденциальной информации, хотя и не смогли добраться до технологических сетей.
Kimsuky стали разыгрывать ту же сценку, которую ранее в 2014 году показали Lazarus при взломе Sony Pictures Entertainment, - изображать из себя долбанутых борцов за что-то там, которые осуществили взлом из идеологических соображений. Lazarus представлялись хакерской группой Guardians of Peace, а Kimsuky завели от имени «борцов с ядерной энергетикой с Гавайских островов» Twitter-аккаунт «Who am I = No Nuclear Power», в котором начали сливать украденные у KHNP сведения.
Для начала хакеры опубликовали персональные данные сотрудников компании и несколько конфиденциальных документов, среди которых были руководство по управлению ядерными реакторами Wolsong и чертежи трубопровода реактора Wolsong №1. После этого «борцы с ядерной энергетикой» потребовали закрыть к католическому Рождеству три ядерных реактора, иначе они продолжат публикацию украденных данных. Естественно, что реакторы никто закрывать не стал.
В марте северокорейские разведчики продолжили веселиться в стиле офицера-контрразведчика из фильма ДМБ - «денег предлагал, но не дал». Они опубликовали в том же Twitter требование денежной выплаты за приостановку дальнейшей публикации информации KHNP, но ни способа передачи денег, ни даже требуемую сумму не указали. В конце концов Kimsuky слили в Twitter чертежи южнокорейского атомного реактора 1400.
Доподлинно неизвестно, было ли все это запланировано с самого начала или северокорейцы импровизировали по ходу дела, после того как не сумели пробиться к технологичесим сетям KHNP. Но звон по Южной Корее пошел что надо.
После этого Kimsuky ушли в тину на долгих четыре года. По крайней мере, никто не смог с достаточной степенью достоверности идентифицировать их активность. А в 2018 году они вернулись с операциями BabyCoin и MysteryBaby, в ходе которых пытались внедрить инфостилеры на компьюетры южнокорейских пользователей. Однако, мы не будем на них останавливаться, там нет ничего особенного.
Между этими операциями северокорейские хакеры ухитрились очень неловко напасть на академические учреждения США, эта кибероперация получила название Stolen Pencil. Неловкость заключалась в низком техническом уровне атаки, в ходе которой, к примеру, для осуществления удаленного доступа хакеры использовали Microsoft RDP (удаленный рабочий стол), а не какой-нибудь RAT. В одном случае корейский оператор, видимо с устали, забыл переключить назад корейскую раскладку клавиатуры. Вместе с тем, возможно, что за такой стояла не Kimsuky, а другая, менее скилованная, хакерская группа.
С конца 2018 по весну 2019 года Kimsuky атаковали американские исследовательские институты, специализирующиеся на вопросах денуклеаризации. В ходе атаки они использовали оригинальный вредонос BabyShark, который распространялся посредством фишингового письма от имени реально существующего в США специалиста по ядерным технологиям. Спустя пару месяцев атака распространилась на компании, связанные с криптовалютами. Подобное поведение по смешиванию кибершпионажа и коммерческого взлома вообще свойственно северокорейским APT, которые периодически испытывают затруднения с финансированием. Достаточно вспомнить Lazarus с их попыткой украсть миллиард долларов.
Продолжение следует.
#APT #Kimsuky
Kimsuky стали разыгрывать ту же сценку, которую ранее в 2014 году показали Lazarus при взломе Sony Pictures Entertainment, - изображать из себя долбанутых борцов за что-то там, которые осуществили взлом из идеологических соображений. Lazarus представлялись хакерской группой Guardians of Peace, а Kimsuky завели от имени «борцов с ядерной энергетикой с Гавайских островов» Twitter-аккаунт «Who am I = No Nuclear Power», в котором начали сливать украденные у KHNP сведения.
Для начала хакеры опубликовали персональные данные сотрудников компании и несколько конфиденциальных документов, среди которых были руководство по управлению ядерными реакторами Wolsong и чертежи трубопровода реактора Wolsong №1. После этого «борцы с ядерной энергетикой» потребовали закрыть к католическому Рождеству три ядерных реактора, иначе они продолжат публикацию украденных данных. Естественно, что реакторы никто закрывать не стал.
В марте северокорейские разведчики продолжили веселиться в стиле офицера-контрразведчика из фильма ДМБ - «денег предлагал, но не дал». Они опубликовали в том же Twitter требование денежной выплаты за приостановку дальнейшей публикации информации KHNP, но ни способа передачи денег, ни даже требуемую сумму не указали. В конце концов Kimsuky слили в Twitter чертежи южнокорейского атомного реактора 1400.
Доподлинно неизвестно, было ли все это запланировано с самого начала или северокорейцы импровизировали по ходу дела, после того как не сумели пробиться к технологичесим сетям KHNP. Но звон по Южной Корее пошел что надо.
После этого Kimsuky ушли в тину на долгих четыре года. По крайней мере, никто не смог с достаточной степенью достоверности идентифицировать их активность. А в 2018 году они вернулись с операциями BabyCoin и MysteryBaby, в ходе которых пытались внедрить инфостилеры на компьюетры южнокорейских пользователей. Однако, мы не будем на них останавливаться, там нет ничего особенного.
Между этими операциями северокорейские хакеры ухитрились очень неловко напасть на академические учреждения США, эта кибероперация получила название Stolen Pencil. Неловкость заключалась в низком техническом уровне атаки, в ходе которой, к примеру, для осуществления удаленного доступа хакеры использовали Microsoft RDP (удаленный рабочий стол), а не какой-нибудь RAT. В одном случае корейский оператор, видимо с устали, забыл переключить назад корейскую раскладку клавиатуры. Вместе с тем, возможно, что за такой стояла не Kimsuky, а другая, менее скилованная, хакерская группа.
С конца 2018 по весну 2019 года Kimsuky атаковали американские исследовательские институты, специализирующиеся на вопросах денуклеаризации. В ходе атаки они использовали оригинальный вредонос BabyShark, который распространялся посредством фишингового письма от имени реально существующего в США специалиста по ядерным технологиям. Спустя пару месяцев атака распространилась на компании, связанные с криптовалютами. Подобное поведение по смешиванию кибершпионажа и коммерческого взлома вообще свойственно северокорейским APT, которые периодически испытывают затруднения с финансированием. Достаточно вспомнить Lazarus с их попыткой украсть миллиард долларов.
Продолжение следует.
#APT #Kimsuky
По данным Shadow Intelligence, на одном из хакерских форумов продавец с псевдонимом ftpolice предлагает брутфорсер для Facebook на основе Mobile API.
Со слов продавца, брутфорсер многопоточен и обходит капчу. Судя по предоставленному скрину - ПО русскоязычное.
В очередной раз стоит задуматься о надежности ваших паролей.
Со слов продавца, брутфорсер многопоточен и обходит капчу. Судя по предоставленному скрину - ПО русскоязычное.
В очередной раз стоит задуматься о надежности ваших паролей.