Команда SentinelLabs рассказывает о новом вымогателе FONIX, работающем по схеме RaaS (Ransomware-as-a-Service). Материал интересен тем, что подробно описывает процесс взаимодействия владельца ransomware, его оператора и жертвы.

Итак, FONIX - это новый штамм, который впервые появился в июле этого года. На данный момент он не располагает сайтом для публикации украденной информации в случае невыплаты жертвой выкупа, что делает его атаки менее грозными по сравнению с Ryuk, Maze, Sodinokibi и пр. Тем не менее, если у жертвы не налажен бэкап, то последствия атаки FONIX для нее могут быть плачевными.

Видимо, в силу своей новизны, FONIX не имеет портала для общения владельца и оператора и управления кампаниями. Все коммуникациями происходят по электронной почте.

Покупатель отправляет владельцу вымогателя свой адрес электронной почты, на который направляется полезная нагрузка в виде ransomware. Она настраивается таким образом, чтобы при рансоме в качестве контактного отображался адрес электронной почты нового оператора. Никаких авансовых платежей от покупателя не требуется.

После удачной атаки, когда жертва вышла на связь, оператор запрашивает у нее два файла - один из зашифрованных файлов небольшого размера и файл cpriv.key, созданный ransomware. Оператор перенаправляет оба файла владельцу FONIX и получает обратно расшифрованную версию первого файла, которую направляет жертве как доказательство своей возможности осуществить расшифровку.

Как только жертва убеждается в дееспособности оператора вымогателя последний предоставляет ей BTC-кошелек, на который необходимо выплатить выкуп. После получения битков оператор перечисляет владельцу ransomware 25% от суммы и получает утилиту дешифрования и ключ, который должен (но не обязательно) отправить жертве.

В данной схеме мы видим одну большую дырку - оператор может забить на жертву и не отдавать владельцу FONIX вообще ничего. В этом случае жертва останется с нерасшифрованными файлами, владельцы ransomware без денег и с подмоченной репутацией (после n-го кидка все будут знать, что FONIX не дает ключ расшифровки, а потому и денег ему платить бессмысленно). Видимо, именно поэтому многие крупные владельцы ransomware проводят с потенциальными операторами целые собеседования, чтобы оценить их хакерскую подготовку и благонадежность.

Ну а сам FONIX интересен, пожалуй, двумя вещами - во-первых, он использует для зашифровки файлов сразу четыре метода шифрования - RES, AES, Chacha и Salsa20.

А во-вторых, он оставляет на зашифрованном ресурсе файл "Hello Michaele Gllips" как привет Майклу Гиллеспи, члену MalwareHunterTeam. Такие пасхалки авторы ransomware оставляют не в первый раз - весной в коде Nemty обнаружилось послание от создателей Виталию Кремезу из SentinelLabs, Майклу Гилеспи и команде MalwareHunterTeam.

Среди наблюдаемых APT есть и достаточно экзотические.

Как, например, хакерская группа SandCat родом из Службы государственной безопасности (СГБ или SSS) Узбекистана. При этом узбеки оказались весьма скилованными ребятами, поскольку в своей работе использовали вполне себе хорошие 0-day уязвимости. Но расскажем подробнее.

В конце 2018 года Лаборатория Касперского обнаружила попытку использования неизвестной доселе уязвимости в файле ntoskrnl.sys ядра семейства Windows NT. Уязвимость позволяла осуществить повышение локальных привилегий. Об ошибке (CVE-2018-8611) было сообщено в Microsoft и позднее она была успешно закрыта. Вредоносное ПО, которое эксплуатировало эту уязвимость позднее получило название Chainshot.

Тогда же Касперские упомянули, что эта уязвимость используется двумя APT - FruityArmor (aka Project Raven) из ОАЭ и новой группой SandCat.

Кстати, арабы из FruityArmor (точнее из государственного агентства NESA) те еще затейники - чего стоит хотя бы история с наймом бывших спецов из АНБ, которых потом запрягли ломать ресурсы арабскимх диссидентов в Европе и США.

Впервые о том, что СГБ занимается кибершпионажем стало известно в 2015 году, когда хактивист Финеас Фишер взломал итальянскую Hacking Team, поставлявшую спецслужбам и правоохранительным органам различных стран соответствующий инструментарий. Так, в период с 2011 по 2015 годы узбеки понакупили ПО у Hacking Team почти на миллион долларов.

А осенью 2019 года все те же Касперскиe на конференции VirusBulletin рассказали о SandCat уже намного больше. Как оказалось, исследовав вредоносную инфраструктуру SandCat ресерчеры не только смогли определить государственную принадлежность группы, но и установить точное место службы хакеров. И привели к этому ошибки в OPSEC хакеров.

Кроме CVE-2018-8611 было зафиксировано использование узбекской группой еще трех 0-day уязвимостей, которые, вероятно, были ими куплены.

Прокололись же SandCat достаточно просто - они установили на машины, где разрабатывалось вредоносное ПО, антивирусы Касперского, у которых были включена телеметрия. Таким образом, каждый раз, когда узбеки вставляли флешку с новым эксплойтом, антивирус отсылал копию вредоносного файла в исследователям ЛК.

Далее ресерчеры установили, что все эти ПК используют IP-адреса, принадлежащие в/ч 02616, являющейся подразделением СГБ Узбекистана. С этих же машин хакеры грузили свои вредоносы для проверки в Virus Total.

После того, как Касперские последовательно стали сообщать о выявленных 0-day уязвимостях, узбекские хакеры приступили к разработке своей собственной вредоносной платформы под названием Sharpa ("солнечный зайчик" с узбекского). Но делали они это с тех же самых ПК, оборудованных антивирусом!

Так в руки исследователей даже попал скриншот интерфейса Sharpa с комментариями на узбекском языке, который один из разработчиков зачем-то использовал в зараженном файле Word.

После публичного рассказа исследователей о деятельности APT SandCat последние затихарились и с тех пор их никто не видел. Очевидно, что они улучшили свой OPSEC и, возможно, ломают кого-то и по сей день.

Кстати, некоторые эксперты склонялись к тому, что используемые 0-day уязвимости SandCat покупали у известных израильских торговцев кибершпионским ПО NSO Group и Candiru (мы про них много писали).

#APT #SandCat

​​Три недели назад американская компания Tyler Technologies, один из крупнейших поставщиков программного обеспечения и ИТ-услуг для государственного сектора США, подверглась атаке ransomware RansomExx, ранее атаковавшего ресурсы технологического гиганта Konica Minolta.

Как оказалось далее, хакеры использовали скомпрометированную сеть Tyler для дальнейших атак уже на их клиентов.

И вот в субботу BleepingComputer выяснили, что Tyler Technologies все-таки были вынуждены заплатить оператору RansomExx выкуп. Правда сумма выкупа на данный момент неизвестна. Но мы попробуем прикинуть его границы.

Согласно исследованию IBM X-Force выкуп составляет от 0,08% до 9,1% от годового дохода жертвы. Известный годовой доход Tyler Technologies - приблизительно (и от этих цифр могли отталкиваться вымогатели) 1,2 млрд. долларов. Соответственно, размер выкупа - от 960 тыс. до 109 млн. долларов.

В последнюю цифру верится с трудом, поэтому, исходя из собственных знаний, можем предположить, что выкуп составил 5-20 миллионов долларов, скорее всего ближе к десятке.

Ну хоть на информационной безопасности сэкономили. Пару сотен тысяч долларов.

Ransomware и занимательная арифметика.

На прошлой неделе появилось сразу несколько новостей на одну и ту же тему - мировым властям не дает покоя сквозное шифрование и они хотят его директивно отменить.

Сначала Electronic Frontier Foundation (EFF), крупнейшая некоммерческая организация по защите гражданских прав в цифровом мире, выпустила большую статью, в которой рассмотрела последние поползновения на сквозное шифрование со стороны властей ЕС. Там перечислено много чего - от июньского выступления комиссара ЕС по внутренним делам Илвы Йоханссон до записки Европейской комиссии, в которой государства-члены ЕС призывают согласиться с новой позицией ЕС по сквозному шифрованию уже до конца 2020 года.

А позиция эта следующая - производители ПО, использующего сквозное шифрование, обязаны встраивать в него бэкдоры, которые дадут доступ к передаваемой конечным пользователем информации правоохранительным органам и спецслужбам. При этом этот доступ должен быть "без навязывания технических решений провайдерам и технологическим компаниям".

То есть исключается сама возможность какого-либо контроля над использованием этого бэкдора европейскими спецслужбами.

А в минувшие выходные представители стран-членов разведсообщества Five Eyes (США, Великобритания, Канада, Австралия, Новая Зеландия) вместе с примкнувшими к ним представителями Японии и Индии (это, кстати, для понимания того, в орбите каких стран находятся индусы применительно к своей цифровой политике) выступили с аналогичным призывом к технологическим компаниям о разработке бэкдоров. Тут правда есть упоминание про "строгие гарантии и контроль", но мы прекрасно понимаем, что такой контроль впоследствии элементарно отменяется каким-нибудь срочным законом типа Patriot Act.

Похоже, что-то надвигается. 1984-й?

Сингапурские китайцы из Channel NewsAsia троллят американцев в общем и Apple в частности.

Дело в том, что, как ожидается, завтра компания Apple представит новый iPhone 12, который, в соответствии с последней технологической модой, поддерживает сети 5G.

Да вот только в США как таковых сетей 5G нет. Те фрагментарные сети, которые позиционируются как 5G, работают в низкочастотном спектре и обеспечивают скорость лишь немногим большую чем стандартные 4G. И в полную силу 5G в Штатах заработают не раньше 2025 года, а к тому времени выйдет iPhone 15 (а может и iPhone 16). И не в последнюю очередь это связано с тем, что американцы отказались от оборудования Huawei, которые являются мировыми лидерами в 5G.

Ну а в России что? А то же самое - нет у нас 5G сетей. Во-первых - государство не выделило необходимых частотных спектров. А во-вторых - у операторов, с учетом низкого курса рубля, просто нет денег на строительство 5G сетей.

Так что iPhone 12 купить, конечно, можно. Но 5G попробовать на нем можно будет разве что в Китае или Южной Корее.

​​В Twitter появилась информация о том, что неустановленный актор продает доступ к сети компании из Fortune 500, имеющей активов на сумму более 100 млрд. долларов.

В скомпрометированной сети более 1800 машин. В качестве подтверждения продавец готов предоставить пароли 1697 пользователей в открытом виде.

В инфосек сообществе уже шутят, что CISO всех компаний из Fortune 500 срочно подсчитывают количество своих компьютеров.

Сегодня Microsoft объявили, что в составе большой коалиции с ESET, NTT, Symantec и ряда других команд "нанесли решающий удар" по одному из самых известных ботнетов Trickbot.

Компания получила судебное решение Окружного суда Восточного округа Вирджинии о нарушении создателями Trickbot ее авторских прав. На основании решения компании-члены коалиции смогли отключить управляющие сервера ботнета, почистить хранящиеся на них данные и заблокировать будущие попытки операторов TrickBot приобрести или арендовать новые сервера.

ESET сообщают, что принимали активное участие в операции, занимаясь составлением карты ботнета, а также осуществляя технический анализ и мониторинг.

Хотя, без сомнения, урон ботнету достаточно велик, полагаем, что создатели и операторы TrickBot смогут возобновить свою деятельность через некоторое время. То есть операция классная, но ландшафт киберпреступности вряд ли серьезно изменит.

C'est la vie.

Отличная статья на ZeroDay за авторством Криса Матищика, технического эксперта, руководителя консалтинговой компании Howard Raucous.

Если оставить все размышлизмы Матищика за кадром, то останется два основных тезиса, одновременно являющиеся же и ключевыми проблемами, которым посвящена статья:

- корпоративные пользователи остаются людьми со всеми присущими им человеческими недостатками, поэтому пытаются прикрутить к корпоративной сети любую новую свистоперделку с выходом в Интернет, будь то умная колонка от Amazon или дистанционно управляемая кофеварка;

- специалисты ИТ и ИБ остаются людьми со всеми присущими им человеческими недостатками, поэтому, несмотря на признание подключения незащищенных IoT устройств к корпоративной сети одной из основных угроз ее компрометации, даже не рассматривают возможность организации процесса их своевременных обновлений.

Единство и борьба противоположностей. Инфосек edition.

Интересный тред на реддите.

Чувак решил сделать апгрейд своей Ferrari, но в его процессе сработала "автомобильная DRM" и его суперкар превратился в кирпич.

Специалисты Ferrari помочь не могут, поскольку машина находится на подземной стоянке, а там нет сотовой связи для удаленного доступа.

Цифровое будущее, которое мы заслужили.

​​Хакеры продают базу данных украинского банка MonoBank, содержащую личные данные более полумиллиона клиентов. База датируется июлем текущего года.

Забавно, что в разделе новостей на сайте украинского МинФина последняя запись от вчерашнего числа - "Армянские хакеры "взломали" банки Азербайджана". Про MonoBank напишут?

Появились подробности трех уязвимостей в продуктах Acronis, позволяющие непривилегированным пользователям запускать код с правами SYSTEM.

Исправления выпущены неделю назад, поэтому всем рекомендуем срочно обновиться.

1. Как выучить Python за час
2. Как стать белым хакером в Google
3. Как искать уязвимости в приложениях
4. Как научиться программировать с нуля

Библиотека хакера - канал, где собраны лучшие книги и курсы по информационной безопасности, программированию и этичному хакерству.

Туда также часто сливают различные материалы с закрытых площадок и форумов, которую не найти в открытом доступе.

Подписывайтесь — @hackerlib

​​Жизненное

Так точно!

В последнее время мне задают один и тот же вопрос. Хотя нет, даже не вопрос, а утверждение. Телеграм канал #SecAtor принадлежит чекистам, госам и иже с ними!!!

Я провел собственное расследование:

#СЕНСАЦИЯ, #БЛЕАТЬ!!!!

Пройдясь по колуарам власти, я нашел тех, кто модерирует контент канала! Да там, ёпта, целый отдел работает. Ребята, отвечающие за их консперацию, были ошеломлены раскрытием, за шо позже получат пизды от руководства)

Мы пообщались, я поведал им некоторые аспекты дезинформирования и ведения информационных войн. Надеюсь, впредь никто их не раскроет.

Вчера Microsoft выпустили октябрьское обновление безопасности для своих продуктов.

Исправлены 87 уязвимостей, из которых 12 - критичные. Среди критичных - ошибки в графических компонентах Windows, Outlook, SharePoint и др., позволяющих хакеру удаленное выполнение кода (RCE).

Наиболее неприятная устраненная уязвимость CVE-2020-16898 - в реализации стека TCP/IP, которая позволяет осуществить RCE направив на целевую машину под управлением Windows специальным образом сформированный пакет IPv6 Router Advertisement.

Как всегда, всем рекомендуем как можно быстрее обновиться, с RCE, сами понимаете, не шутят.

​​В начале сентября мы писали про то, что электронная почта Парламента Норвегии была взломана неизвестными хакерами. Злоумышленники скомпрометировали почтовые ящики как депутатов Парламента, так и его сотрудников, откуда затем вытащили различные объемы данных.

Вчера назначали виновных. Угадайте с одного раза кого.

Министр иностранных дел Норвегии заявила, что норвежское правительство считает(!), что за взломом стоит Россия. Генсек НАТО Столтенберг одобряет.

Какие TTPs, вы о чем...

Когда Лавров заявит, что российское правительство считает Британию ответственной за атаку на Яндекс в 2018 году (тем более, что так и есть)?

​​Microsoft не были бы сами собой, если бы при выкатывании очередного обновления не накосячили. Как обычно, закрыли одну дырку - появилось две новых.

Сегодня мы уже писали про новое обновление безопасности продуктов Microsoft, которое вышло вчера. И в этот раз Microsoft превзошли сами себя, создав не дырку, а дырищу!

Одной из исправленных уязвимостей была CVE-2020-16938, которая заключалась в том, что из-за некорректной обработки ядром Windows объектов в памяти хакер мог получить некую информацию, которую в последующем можно было использовать для компрометации системы. Ошибка важная, но не критичная.

Уязвимость была открыта исследователем Джонасом Л., который впоследствии остался недоволен программой вознаграждения Microsoft, по поводу чего немного поскандалил.

Видимо, оставшись в обиде на мелкомягких, Джонас Л. сразу же после выхода нового апдейта безопасности раскопал, что Microsoft изменили механизм прав доступа к физическим разделам и томам. Да так изменили, что теперь пользователь, не обладающий необходимыми правами, может получить доступ к любым сырым данным на физическом носителе.

Самое опасное, что уязвимость позволяет хакеру получить доступ к NTLM-хэшам паролей, хранящимся в реестре SAM (который по умолчанию не виден даже админу). А уже имея их, запустить любой свой код с правами, например, администратора.

Proof of Concept любой может сделать сам - запускаете 7zip, в адресной строке вводите "\\.\PhysicalDrive0" и - вуаля, вы король физического диска.

Пожалуй, рано мы рекомендовали всем поставить это обновление...

Немецкое НПО Netzpolitik, специализирующееся на защите цифровых прав, сообщило сегодня о том, что по решению немецкой прокуратуры правоохранительные органы провели несколько обысков в Германии и Румынии в офисах компании FinFisher.

FinFisher известна тем, что создает ПО для легального хакинга, производя инструменты для взлома и отслеживания ПК и мобильных устройств и продавая их правоохранительным органам и спецслужбам.

Мы было обрадовались, поскольку к хакерской деятельности со стороны государственных органов (не важно чьих) относимся не особо хорошо, а особо не особо относимся к компаниям, подобным FinFisher, Hacking Team и NSO Group. Но оказалось все не так радужно, в том смысле, что Netzpolitik не против деятельности по продаже инструментов для взлома вообще, а против их продажи "неправильным режимам".

Дело в том, что продукцией FinFisher в 2017 году воспользовались власти Турции. А у турецких властей с немецкими властями не очень. Кроме того, немецкая компания поставила свое ПО в "диктатуры" Эфиопии, Бахрейна и Египта. Поэтому Netzpolitik подало жалобу о нарушении со стороны FinFisher экспортных правил, по результатам рассмотрения которой было возбуждено уголовное дело.

Ну и сами Netzpolitik ребята не простые. Основатель НПО, Маркус Бекедаль, в прошлом - один из основных функционеров движения Зеленая молодежь. Это такое радикальное зеленое движение, которое ратует за всяких трансгендеров, отмену запрета на инцест и пр. Неприятные, в общем, люди.

Так что, похоже, заинтересованные круги немецкого истеблишмента просто решили поставить FinFisher в стойло. Чтобы знали кому бэкдоры продавать.