Согласно новому отчету Mid-Year Threat Landscape Report 2020 румынского инфосек вендора Bitdefender количество атак ransomware за год выросло больше чем в 7 раз!
Если не это свидетельство того, что ransomware - это современная киберугроза №1, то мы даже не знаем что сказать.
Кстати RCE в сети российского банка из предыдущего поста вполне может быть использовано для развертывания внутри вымогателя. Последствия можно себе представить.
Если не это свидетельство того, что ransomware - это современная киберугроза №1, то мы даже не знаем что сказать.
Кстати RCE в сети российского банка из предыдущего поста вполне может быть использовано для развертывания внутри вымогателя. Последствия можно себе представить.
Shadow Intelligence сообщает, что последние несколько часов недоступны блог страницы сразу нескольких ransomware:
- Maze
- REvil (Sodinokibi)
- Nefilim
- Conti.
За первыми тремя стоят русскоязычные хакерские группы.
Как выясняется, сайт Maze все еще доступен по IP-адресу, но доменное имя больше не резолвится. Похоже, что кто-то начал организованно давить ресурсы владельцев ransomware, чтобы они не могли сливать украденные данные в паблик.
Мера очевидная, но вряд ли решит проблему.
- Maze
- REvil (Sodinokibi)
- Nefilim
- Conti.
За первыми тремя стоят русскоязычные хакерские группы.
Как выясняется, сайт Maze все еще доступен по IP-адресу, но доменное имя больше не резолвится. Похоже, что кто-то начал организованно давить ресурсы владельцев ransomware, чтобы они не могли сливать украденные данные в паблик.
Мера очевидная, но вряд ли решит проблему.
Twitter
Shadow Intelligence
The following ransomware blog pages have been offline for the past few hours: - Maze (All Domains) - Revil - Conti (Onion Page) - Nefilim https://t.co/2s2EG0kaz8
Две группы исследователей из американского Университета Пердью и Федеральной политехнической школы в Лозанне обнаружили уязвимость в стандартах Blurtooth Classic (BR/EDR) и Bluetooth Low Energy (BLE).
Ошибка, названная BLURtooth (CVE-2020-15802), содержится в компоненте Cross-Transport Key Derivation (CTDK), который используется для согласования ключей аутентификации при сопряжении устройств через BR/EDR или BLE, и позволяет злоумышленнику перехватывать такие ключи. В итоге хакер может заменить аутентификационный ключ или снизить его надежность.
Атаке подвержены все устройства, использующие версии Bluetooth с 4.0 по 5.0.
А что насчет исправлений уязвимости BLURtooth? А их пока нет и точный срок появления неизвестен. Поэтому единственной возможностью защититься от подобной атаки является контроль подключенных по Bluetooth устройств.
Кстати, представленные недавно мозговые чипы Neuralink от Илона Маска соединяются с внешними устройствами как раз по протоколу BLE. А теперь представьте, что злоумышленники подключились к вживленному в голову чипу - Киберпанк 2077, не иначе.
Ошибка, названная BLURtooth (CVE-2020-15802), содержится в компоненте Cross-Transport Key Derivation (CTDK), который используется для согласования ключей аутентификации при сопряжении устройств через BR/EDR или BLE, и позволяет злоумышленнику перехватывать такие ключи. В итоге хакер может заменить аутентификационный ключ или снизить его надежность.
Атаке подвержены все устройства, использующие версии Bluetooth с 4.0 по 5.0.
А что насчет исправлений уязвимости BLURtooth? А их пока нет и точный срок появления неизвестен. Поэтому единственной возможностью защититься от подобной атаки является контроль подключенных по Bluetooth устройств.
Кстати, представленные недавно мозговые чипы Neuralink от Илона Маска соединяются с внешними устройствами как раз по протоколу BLE. А теперь представьте, что злоумышленники подключились к вживленному в голову чипу - Киберпанк 2077, не иначе.
BleepingComputer
BLURtooth vulnerability lets attackers defeat Bluetooth encryption
A vulnerability exists in certain implementations of Bluetooth 4.0 through 5.0 which allows an attacker to overwrite or lower the strength of the pairing key, giving them access to authenticated services.
Мы нечасто, но все-таки, уделяем внимание атакам на промышленные системы управления (ICS) - например, здесь писали про атаку Triton. Но, вообще говоря, эти малоизвестные широкой публике атаки с точки зрения потенциальных негативных последствий являются, пожалуй, самыми разрушительными. Ведь под управлением ICS находятся промышленные объекты, зачастую имеющие дело с опасными для окружающей среды и людей веществами.
Исследователи инфосек компании Clarity во вторник опубликовали материалы отчета, в котором сообщили, что нашли 6 критических уязвимостей в компоненте CodeMeter компании Wibu-Systems, использующемся производителями программного обеспечения для ICS для управления лицензиями.
Выявленные уязвимости позволяют удаленно выполнить код, вызвать отказ в обслуживании, получить информацию с атакованного устройства и др. Фактически - полностью взять под внешнее управление атакованный узел ICS.
Такие крупные поставщики ICS как Siemens и Rockwell уже признали наличие связанных с выявленными уязвимостями в CodeMeter угроз безопасности в своем ПО.
Будем надеяться, что не бахнет.
Исследователи инфосек компании Clarity во вторник опубликовали материалы отчета, в котором сообщили, что нашли 6 критических уязвимостей в компоненте CodeMeter компании Wibu-Systems, использующемся производителями программного обеспечения для ICS для управления лицензиями.
Выявленные уязвимости позволяют удаленно выполнить код, вызвать отказ в обслуживании, получить информацию с атакованного устройства и др. Фактически - полностью взять под внешнее управление атакованный узел ICS.
Такие крупные поставщики ICS как Siemens и Rockwell уже признали наличие связанных с выявленными уязвимостями в CodeMeter угроз безопасности в своем ПО.
Будем надеяться, что не бахнет.
Claroty
Far-Reaching Third-Party Components Putting OT Networks at Risk - Claroty
Critical vulnerabilities in Wibu-Systems’ CodeMeter digital rights management (DRM) solution, prevalent across the industrial control realm, put machines at risk for denial-of-service and remote code execution attacks.
Транснациональная корпорация Equinix с доходом в 5,5 млрд. долларов США за 2019 год стала жертвой атаки ransomware, о чем сообщила вчера в своем Twitter-аккаунте.
Чтобы был понятнее масштаб трагедии - Equinix это один из мировых лидеров на рынке центров обработки данных, имеет под своим управлением 205 ЦОД в 25 странах мира.
В своем сообщении компания утверждает, что данные клиентов не пострадали, но, положа руку на сердце, так делают большинство пострадавших от ransomware. Правда, это не всегда соответствует действительности.
Чтобы был понятнее масштаб трагедии - Equinix это один из мировых лидеров на рынке центров обработки данных, имеет под своим управлением 205 ЦОД в 25 странах мира.
В своем сообщении компания утверждает, что данные клиентов не пострадали, но, положа руку на сердце, так делают большинство пострадавших от ransomware. Правда, это не всегда соответствует действительности.
Twitter
Equinix, Inc.
Read the Equinix statement on our security incident. Keep up to date via the Equinix blog - https://t.co/pMnc8U34Hj
Group-IB запилила в своем Twitter странную викторину, в которой надо отвечать на вопросы о ransomware ProLock.
Мы сначала подумали, что это оригинальный метод социальной инженерии, чтобы выловить владельцев вымогателя через Twitter.
Но потом оказалось, что это просто такая иновационная реклама нового исследования компании про этот самый ProLock.
Объедятся чили-краба в своем Сингапуре, а потом другу другу викторины придумывают.
Мы сначала подумали, что это оригинальный метод социальной инженерии, чтобы выловить владельцев вымогателя через Twitter.
Но потом оказалось, что это просто такая иновационная реклама нового исследования компании про этот самый ProLock.
Объедятся чили-краба в своем Сингапуре, а потом другу другу викторины придумывают.
Twitter
Group-IB
Group-IB releases a new blog post, in which senior digital forensics analyst Oleg Skulkin @oskulkin and malware analyst Semen Rogachev examine the recent #TTPs of #ProLock #ransomware operators. Read it now -> https://t.co/E964RBH9Aw
Поскольку избирательная кампания в США набирает обороты, то обстановка вокруг кандидатов на пост американского Президента все больше накаляется.
Согласно сообщениям американских журналистов, избирательный штаб Джо Байдена был предупрежден о том, что находится в прицеле русских хакеров.
Мы, как всегда не оставаясь в стороне, провели собственное расследование и получили видео, на котором зафиксировано проникновение русских хакеров через установленный в штабе Байдена Next-Gen Firewall от американской компании Palo Alto Networks. При взломе ГРУ использовало новую технологию обфускации под названием "Babe".
Согласно сообщениям американских журналистов, избирательный штаб Джо Байдена был предупрежден о том, что находится в прицеле русских хакеров.
Мы, как всегда не оставаясь в стороне, провели собственное расследование и получили видео, на котором зафиксировано проникновение русских хакеров через установленный в штабе Байдена Next-Gen Firewall от американской компании Palo Alto Networks. При взломе ГРУ использовало новую технологию обфускации под названием "Babe".
Twitter
Rex Chapman🏇🏼
I have a few questions...
Когда-то давным-давно, несколько месяцев назад, мы написали серию постов про ведущую северокорейскую APT Lazarus и обещали продолжить ее материалами про другую хакерскую группу, работающую на спецслужбы КНДР и носящую название Kimsuky. Однако, тогда не срослось.
И вот теперь мы решили выполнить обещание и дать краткий обзор активности этой APT в несколько постов.
Напомним как связаны Lazarus и Kimsuky. Эти хакерские группы работают на разные департаменты Главного разведывательного бюро (RGB) Генштаба Народной армии Северной Кореи. Lazarus работает на 3-й Департамент RGB aka Bureau 121, который специализируется на технической разведке, а Kimsuky функционирует под контролем 5-го Департамента RGB aka Bureau 35, занимающегося разведкой зарубежной.
И хотя по масштабу своей деятельности Kimsuky (она же Velvet Chollima, она же Thallium, она же Black Banshee) не сравнится со своими коллегами из технической разведки, тем не менее в ее багаже есть немало интересных киберопераций.
Впервые северокорейская APT была обнаружена в 2013 году, как ни странно, Касперскими. Однажды в сети южнокорейского think-tank исследователи нашли шпионский вредонос, в коде которого содержались корейские иероглифы и который для связи использовал публичный болгарский почтовый сервер. Среди целей malware значились ведущие южнокорейские исследовательские центры, связанные с национальной безопасностью и оборонкой, а также Министерство объединения Южной Кореи, разрабатывающее политику в отношение КНДР.
Предполагаемым способом заражения был целевой фишинг. По своему функционалу вредонос представлял собой полноценный шпионский RAT (троян удаленного доступа), способный собирать различную информацию с зараженной машины, а также обеспечивать удаленное управление. Связь и эксфильтрация украденной информации осуществлялась посредством обмена электронной почтой между ящиками на болгарском сервере mail.bg.
Кстати, при изучения функционала вредоноса по обходу анивирусных решений Касперские нашли любопытную вещь — RAT сосредотачивался на обходе антивирусного ПО исключительно производства южнокорейской компании AhnLab. Все дело в том, что регуляторные органы Южной Кореи занимали достаточно жесткую позицию в части максимального сокращения использования внутри страны антивирусов иностранного производства. Зная это, авторы найденного вредоноса даже не пытались обходить другие средства защиты кроме AhnLab.
Ряд признаков, такие как выбор целей, использование корейского языка, IP-адреса, принадлежащие работающему с КНДР китайскому провайдеру, позволяли с большой долей уверенности утверждать, что хакерская группа, стоящая за распространением вредоноса, который Касперские назвали Kimsuky, базируется в Северной Корее. Впоследствии, как это часто бывает, по названию malware стали именовать и саму группу — Kimsuky.
Почему Kimsuky? Один из используемых хакерами почтовых ящиков был зарегистрирован на имя kimsukyang. Поэтому исследователи и присвоили RAT такое название.
#APT #Kimsuky
И вот теперь мы решили выполнить обещание и дать краткий обзор активности этой APT в несколько постов.
Напомним как связаны Lazarus и Kimsuky. Эти хакерские группы работают на разные департаменты Главного разведывательного бюро (RGB) Генштаба Народной армии Северной Кореи. Lazarus работает на 3-й Департамент RGB aka Bureau 121, который специализируется на технической разведке, а Kimsuky функционирует под контролем 5-го Департамента RGB aka Bureau 35, занимающегося разведкой зарубежной.
И хотя по масштабу своей деятельности Kimsuky (она же Velvet Chollima, она же Thallium, она же Black Banshee) не сравнится со своими коллегами из технической разведки, тем не менее в ее багаже есть немало интересных киберопераций.
Впервые северокорейская APT была обнаружена в 2013 году, как ни странно, Касперскими. Однажды в сети южнокорейского think-tank исследователи нашли шпионский вредонос, в коде которого содержались корейские иероглифы и который для связи использовал публичный болгарский почтовый сервер. Среди целей malware значились ведущие южнокорейские исследовательские центры, связанные с национальной безопасностью и оборонкой, а также Министерство объединения Южной Кореи, разрабатывающее политику в отношение КНДР.
Предполагаемым способом заражения был целевой фишинг. По своему функционалу вредонос представлял собой полноценный шпионский RAT (троян удаленного доступа), способный собирать различную информацию с зараженной машины, а также обеспечивать удаленное управление. Связь и эксфильтрация украденной информации осуществлялась посредством обмена электронной почтой между ящиками на болгарском сервере mail.bg.
Кстати, при изучения функционала вредоноса по обходу анивирусных решений Касперские нашли любопытную вещь — RAT сосредотачивался на обходе антивирусного ПО исключительно производства южнокорейской компании AhnLab. Все дело в том, что регуляторные органы Южной Кореи занимали достаточно жесткую позицию в части максимального сокращения использования внутри страны антивирусов иностранного производства. Зная это, авторы найденного вредоноса даже не пытались обходить другие средства защиты кроме AhnLab.
Ряд признаков, такие как выбор целей, использование корейского языка, IP-адреса, принадлежащие работающему с КНДР китайскому провайдеру, позволяли с большой долей уверенности утверждать, что хакерская группа, стоящая за распространением вредоноса, который Касперские назвали Kimsuky, базируется в Северной Корее. Впоследствии, как это часто бывает, по названию malware стали именовать и саму группу — Kimsuky.
Почему Kimsuky? Один из используемых хакерами почтовых ящиков был зарегистрирован на имя kimsukyang. Поэтому исследователи и присвоили RAT такое название.
#APT #Kimsuky
В следующий раз Kimsuky выступили в конце 2014 года и шоу получилось громким. Они взломали сеть южнокорейской компании Korea Hydro and Nuclear Power (KHNP), являющейся оператором 23 ядерных реакторов в Южной Корее. И хотя власти сразу же заявили, что пострадали только «некритические» сегменты сети, вскоре стало ясно, что хакеры ухитрились украсть массу конфиденциальной информации, хотя и не смогли добраться до технологических сетей.
Kimsuky стали разыгрывать ту же сценку, которую ранее в 2014 году показали Lazarus при взломе Sony Pictures Entertainment, - изображать из себя долбанутых борцов за что-то там, которые осуществили взлом из идеологических соображений. Lazarus представлялись хакерской группой Guardians of Peace, а Kimsuky завели от имени «борцов с ядерной энергетикой с Гавайских островов» Twitter-аккаунт «Who am I = No Nuclear Power», в котором начали сливать украденные у KHNP сведения.
Для начала хакеры опубликовали персональные данные сотрудников компании и несколько конфиденциальных документов, среди которых были руководство по управлению ядерными реакторами Wolsong и чертежи трубопровода реактора Wolsong №1. После этого «борцы с ядерной энергетикой» потребовали закрыть к католическому Рождеству три ядерных реактора, иначе они продолжат публикацию украденных данных. Естественно, что реакторы никто закрывать не стал.
В марте северокорейские разведчики продолжили веселиться в стиле офицера-контрразведчика из фильма ДМБ - «денег предлагал, но не дал». Они опубликовали в том же Twitter требование денежной выплаты за приостановку дальнейшей публикации информации KHNP, но ни способа передачи денег, ни даже требуемую сумму не указали. В конце концов Kimsuky слили в Twitter чертежи южнокорейского атомного реактора 1400.
Доподлинно неизвестно, было ли все это запланировано с самого начала или северокорейцы импровизировали по ходу дела, после того как не сумели пробиться к технологичесим сетям KHNP. Но звон по Южной Корее пошел что надо.
После этого Kimsuky ушли в тину на долгих четыре года. По крайней мере, никто не смог с достаточной степенью достоверности идентифицировать их активность. А в 2018 году они вернулись с операциями BabyCoin и MysteryBaby, в ходе которых пытались внедрить инфостилеры на компьюетры южнокорейских пользователей. Однако, мы не будем на них останавливаться, там нет ничего особенного.
Между этими операциями северокорейские хакеры ухитрились очень неловко напасть на академические учреждения США, эта кибероперация получила название Stolen Pencil. Неловкость заключалась в низком техническом уровне атаки, в ходе которой, к примеру, для осуществления удаленного доступа хакеры использовали Microsoft RDP (удаленный рабочий стол), а не какой-нибудь RAT. В одном случае корейский оператор, видимо с устали, забыл переключить назад корейскую раскладку клавиатуры. Вместе с тем, возможно, что за такой стояла не Kimsuky, а другая, менее скилованная, хакерская группа.
С конца 2018 по весну 2019 года Kimsuky атаковали американские исследовательские институты, специализирующиеся на вопросах денуклеаризации. В ходе атаки они использовали оригинальный вредонос BabyShark, который распространялся посредством фишингового письма от имени реально существующего в США специалиста по ядерным технологиям. Спустя пару месяцев атака распространилась на компании, связанные с криптовалютами. Подобное поведение по смешиванию кибершпионажа и коммерческого взлома вообще свойственно северокорейским APT, которые периодически испытывают затруднения с финансированием. Достаточно вспомнить Lazarus с их попыткой украсть миллиард долларов.
Продолжение следует.
#APT #Kimsuky
Kimsuky стали разыгрывать ту же сценку, которую ранее в 2014 году показали Lazarus при взломе Sony Pictures Entertainment, - изображать из себя долбанутых борцов за что-то там, которые осуществили взлом из идеологических соображений. Lazarus представлялись хакерской группой Guardians of Peace, а Kimsuky завели от имени «борцов с ядерной энергетикой с Гавайских островов» Twitter-аккаунт «Who am I = No Nuclear Power», в котором начали сливать украденные у KHNP сведения.
Для начала хакеры опубликовали персональные данные сотрудников компании и несколько конфиденциальных документов, среди которых были руководство по управлению ядерными реакторами Wolsong и чертежи трубопровода реактора Wolsong №1. После этого «борцы с ядерной энергетикой» потребовали закрыть к католическому Рождеству три ядерных реактора, иначе они продолжат публикацию украденных данных. Естественно, что реакторы никто закрывать не стал.
В марте северокорейские разведчики продолжили веселиться в стиле офицера-контрразведчика из фильма ДМБ - «денег предлагал, но не дал». Они опубликовали в том же Twitter требование денежной выплаты за приостановку дальнейшей публикации информации KHNP, но ни способа передачи денег, ни даже требуемую сумму не указали. В конце концов Kimsuky слили в Twitter чертежи южнокорейского атомного реактора 1400.
Доподлинно неизвестно, было ли все это запланировано с самого начала или северокорейцы импровизировали по ходу дела, после того как не сумели пробиться к технологичесим сетям KHNP. Но звон по Южной Корее пошел что надо.
После этого Kimsuky ушли в тину на долгих четыре года. По крайней мере, никто не смог с достаточной степенью достоверности идентифицировать их активность. А в 2018 году они вернулись с операциями BabyCoin и MysteryBaby, в ходе которых пытались внедрить инфостилеры на компьюетры южнокорейских пользователей. Однако, мы не будем на них останавливаться, там нет ничего особенного.
Между этими операциями северокорейские хакеры ухитрились очень неловко напасть на академические учреждения США, эта кибероперация получила название Stolen Pencil. Неловкость заключалась в низком техническом уровне атаки, в ходе которой, к примеру, для осуществления удаленного доступа хакеры использовали Microsoft RDP (удаленный рабочий стол), а не какой-нибудь RAT. В одном случае корейский оператор, видимо с устали, забыл переключить назад корейскую раскладку клавиатуры. Вместе с тем, возможно, что за такой стояла не Kimsuky, а другая, менее скилованная, хакерская группа.
С конца 2018 по весну 2019 года Kimsuky атаковали американские исследовательские институты, специализирующиеся на вопросах денуклеаризации. В ходе атаки они использовали оригинальный вредонос BabyShark, который распространялся посредством фишингового письма от имени реально существующего в США специалиста по ядерным технологиям. Спустя пару месяцев атака распространилась на компании, связанные с криптовалютами. Подобное поведение по смешиванию кибершпионажа и коммерческого взлома вообще свойственно северокорейским APT, которые периодически испытывают затруднения с финансированием. Достаточно вспомнить Lazarus с их попыткой украсть миллиард долларов.
Продолжение следует.
#APT #Kimsuky
По данным Shadow Intelligence, на одном из хакерских форумов продавец с псевдонимом ftpolice предлагает брутфорсер для Facebook на основе Mobile API.
Со слов продавца, брутфорсер многопоточен и обходит капчу. Судя по предоставленному скрину - ПО русскоязычное.
В очередной раз стоит задуматься о надежности ваших паролей.
Со слов продавца, брутфорсер многопоточен и обходит капчу. Судя по предоставленному скрину - ПО русскоязычное.
В очередной раз стоит задуматься о надежности ваших паролей.
Прекрасная история от ZDnet, которая потенциально может коснуться и российскую аудиторию.
В конце августа исследователи из vpnMentor обнаружили в сети открытый Elasticsearch сервер, содержащий огромную базу данных push-уведомлений, которые различные сайты отправляли своим пользователям с помощью маркетинговой платформы Mailfire.
Они связались с представителями Mailfire, после чего 3 сентября сервер был закрыт. Всего он содержал 882 Гб логов push-сообщений, отправленных через Mailfire, которые обновлялись в реальном режиме времени. В логах была информация о более чем 66 миллионах уведомлений, отправленных за предыдущие 96 часов. Большинство уведомлений было отправлено с сайтов знакомств.
И, казалось бы, ничего страшного, но дырявый сервер содержал кроме копий сообщений "отладочную" информацию, в которую включались личные данные пользователей - имя, возраст, адрес электронной почты, местоположение и даже IP-адреса. А в качестве вишенки на торте - ссылка на профиль пользователя и ключ аутентификации.
Таким образом, злоумышленник, заимевший доступ к серверу, теоретически мог не только получить регистрационные данные пользователей сайтов, но и, зайдя на их профили, вытащить всю внутреннюю переписку.
А теперь про то, почему это могло (и еще может) потенциально коснуться нашу аудиторию. Дело в том, что эти сайты знакомств, судя по всему, являются составляющими одной крупной сети и названия некоторых, полагаем, могут быть вам знакомы - Julia Dates, Ukranian Charm, JollyRomance, Jolly.me и др. По крайней мере, некоторые из них мы сами не раз видели в рекламных баннерах.
Судя по всему, это большая сеть сайтов для знакомств, которой рулят украинцы. И украинская же компания Mailfire рассылает от их имени push-уведомления. При этом собирая их на дырявый сервер со всей сопутствующей конфиденциальной информацией.
Вот такая вот любовь на троих - он, она и тот, кто нашел сервер Mailfire.
В конце августа исследователи из vpnMentor обнаружили в сети открытый Elasticsearch сервер, содержащий огромную базу данных push-уведомлений, которые различные сайты отправляли своим пользователям с помощью маркетинговой платформы Mailfire.
Они связались с представителями Mailfire, после чего 3 сентября сервер был закрыт. Всего он содержал 882 Гб логов push-сообщений, отправленных через Mailfire, которые обновлялись в реальном режиме времени. В логах была информация о более чем 66 миллионах уведомлений, отправленных за предыдущие 96 часов. Большинство уведомлений было отправлено с сайтов знакомств.
И, казалось бы, ничего страшного, но дырявый сервер содержал кроме копий сообщений "отладочную" информацию, в которую включались личные данные пользователей - имя, возраст, адрес электронной почты, местоположение и даже IP-адреса. А в качестве вишенки на торте - ссылка на профиль пользователя и ключ аутентификации.
Таким образом, злоумышленник, заимевший доступ к серверу, теоретически мог не только получить регистрационные данные пользователей сайтов, но и, зайдя на их профили, вытащить всю внутреннюю переписку.
А теперь про то, почему это могло (и еще может) потенциально коснуться нашу аудиторию. Дело в том, что эти сайты знакомств, судя по всему, являются составляющими одной крупной сети и названия некоторых, полагаем, могут быть вам знакомы - Julia Dates, Ukranian Charm, JollyRomance, Jolly.me и др. По крайней мере, некоторые из них мы сами не раз видели в рекламных баннерах.
Судя по всему, это большая сеть сайтов для знакомств, которой рулят украинцы. И украинская же компания Mailfire рассылает от их имени push-уведомления. При этом собирая их на дырявый сервер со всей сопутствующей конфиденциальной информацией.
Вот такая вот любовь на троих - он, она и тот, кто нашел сервер Mailfire.
ZDNet
Leaky server exposes users of dating site network
Personal details of hundreds of thousands of dating site users were temporarily exposed online earlier this month.
В июне мы писали про ошибку Straght Line Speculation (SLS) в архитектуре Armv8-A, построенные на основе которой процессоры используются преимущественно в мобильных устройствах, Интернете вещей и пр.
SLS позволяла осуществить спекулятивные атаки по стороннему каналу, с помощью которых злоумышленник может получить доступ к данным, которые процессор обрабатывает с помощью спекулятивного (упреждающего) исполнения команд.
На днях группа исследователей из Амстердамского свободного университета, Технологического института Стивенс и Федерального института технологии в Цюрихе опубликовали отчет о новой атаке на спекулятивное исполнение команд, которую они назвали BlindSide. Атаке подвержены процессоры независимо от их архитектуры, в том числе производства Intel и AMD.
С помощью BlindSide злоумышленник может обойти рандомизацию адресного пространства (ASLR), механизм безопасности, используемый для рандомизации и маскировки мест в памяти процессора, где выполняется код. В результате хакер может заполучить криптоключи, пароли и прочие конфиденциальные данные, которые находятся в памяти процессора.
Технические подробности атаки BlindSide - в приложенном отчете.
SLS позволяла осуществить спекулятивные атаки по стороннему каналу, с помощью которых злоумышленник может получить доступ к данным, которые процессор обрабатывает с помощью спекулятивного (упреждающего) исполнения команд.
На днях группа исследователей из Амстердамского свободного университета, Технологического института Стивенс и Федерального института технологии в Цюрихе опубликовали отчет о новой атаке на спекулятивное исполнение команд, которую они назвали BlindSide. Атаке подвержены процессоры независимо от их архитектуры, в том числе производства Intel и AMD.
С помощью BlindSide злоумышленник может обойти рандомизацию адресного пространства (ASLR), механизм безопасности, используемый для рандомизации и маскировки мест в памяти процессора, где выполняется код. В результате хакер может заполучить криптоключи, пароли и прочие конфиденциальные данные, которые находятся в памяти процессора.
Технические подробности атаки BlindSide - в приложенном отчете.
Большой шум поднялся в инфосек сообществе после опубликования сегодня голландской инфосек компанией Secure BV технических подробностей устраненной Microsoft в августовском обновлении уязвимости CVE-2020-1472, получившей название Zerologon.
Хотя ранее и было известно, что ошибка получила 10 из 10 по шкале критичности и касается повышения привилегий в Netlogon, службе аутентификации в Windows Server, полной информации не было. Она появилась сегодня и поставила всех на уши.
Уязвимость заключается в недостатке в криптографической аутентификации протокола Netlogon Remote Protocol. Она позволяет злоумышленнику выдавать себя за любой хост в сети, включая сам контроллер домена. Кроме того, хакер может отключить функции безопасности аутентификации Netlogon и изменить пароль в Active Directory.
В чем же конкретно содержалась ошибка? В реализации алгоритма шифрования AES-CFB8 в функции ComputeNetlogonCredential, где вектор инициализации (IV) является фиксированным и состоит из 16 нулевых байтов, хотя по требованиям безопасности он должен быть случайным. В итоге для 1 из 256 ключей применение шифрования к вводу, состоящему из всех нулей, даст такой же нулевой вывод.
Чем же это плохо? А тем, что хакер, попробовав несколько раз подряд (среднее ожидаемое количество попыток равняется 256), может обойти процесс аутентификации, поскольку один из ключевых его параметров, ClientCredential, вычисляется как раз с помощью ComputeNetlogonCredential. То есть в среднем в 1 из 256 попыток сервер при получении клиентского запроса из 8 нулей будет ожидать ClientCredential также из 8 нулей.
А поскольку аккаунт подключающегося компьютера не блокируется в случае неверного ответа, то с помощью простой последовательности попыток напихать серверу 8 нулей, которая займет около 3 секунд, злоумышленник пройдет процесс аутентификации.
В дальнейшем хакер предпримет еще несколько трюков, связанных с уязвимостью ComputeNetlogonCredential, чтобы полноценно взять контроллер домена под свою власть.
Единственное ограничение на применение атаки - злоумышленник должен совершать ее изнутри сети, предварительно скомпрометировав одну из машин. Но это задача во многих случаях решаемая.
Выпущенный Microsoft в августе патч устанавливает заплатку на уязвимость Zerologon, делая обязательным включение механизма NRPC транспортного шифрования, который хакер мог обойти, просто отключив его со стороны клиента (такое допускалось).
Инфосек эксперты признают Zerologon весьма простой к использованию и очень опасной уязвимостью - "This is really scary". Чтобы не было "scary" надо просто своевременно апдейтить свои Windows Server.
Хотя ранее и было известно, что ошибка получила 10 из 10 по шкале критичности и касается повышения привилегий в Netlogon, службе аутентификации в Windows Server, полной информации не было. Она появилась сегодня и поставила всех на уши.
Уязвимость заключается в недостатке в криптографической аутентификации протокола Netlogon Remote Protocol. Она позволяет злоумышленнику выдавать себя за любой хост в сети, включая сам контроллер домена. Кроме того, хакер может отключить функции безопасности аутентификации Netlogon и изменить пароль в Active Directory.
В чем же конкретно содержалась ошибка? В реализации алгоритма шифрования AES-CFB8 в функции ComputeNetlogonCredential, где вектор инициализации (IV) является фиксированным и состоит из 16 нулевых байтов, хотя по требованиям безопасности он должен быть случайным. В итоге для 1 из 256 ключей применение шифрования к вводу, состоящему из всех нулей, даст такой же нулевой вывод.
Чем же это плохо? А тем, что хакер, попробовав несколько раз подряд (среднее ожидаемое количество попыток равняется 256), может обойти процесс аутентификации, поскольку один из ключевых его параметров, ClientCredential, вычисляется как раз с помощью ComputeNetlogonCredential. То есть в среднем в 1 из 256 попыток сервер при получении клиентского запроса из 8 нулей будет ожидать ClientCredential также из 8 нулей.
А поскольку аккаунт подключающегося компьютера не блокируется в случае неверного ответа, то с помощью простой последовательности попыток напихать серверу 8 нулей, которая займет около 3 секунд, злоумышленник пройдет процесс аутентификации.
В дальнейшем хакер предпримет еще несколько трюков, связанных с уязвимостью ComputeNetlogonCredential, чтобы полноценно взять контроллер домена под свою власть.
Единственное ограничение на применение атаки - злоумышленник должен совершать ее изнутри сети, предварительно скомпрометировав одну из машин. Но это задача во многих случаях решаемая.
Выпущенный Microsoft в августе патч устанавливает заплатку на уязвимость Zerologon, делая обязательным включение механизма NRPC транспортного шифрования, который хакер мог обойти, просто отключив его со стороны клиента (такое допускалось).
Инфосек эксперты признают Zerologon весьма простой к использованию и очень опасной уязвимостью - "This is really scary". Чтобы не было "scary" надо просто своевременно апдейтить свои Windows Server.
English
Zerologon: instantly become domain admin by subverting Netlogon cryptography (CVE-2020-1472) | Secura - Take Control of Your Digital…
Secura is your independent, specialised advisor taking care of your digital security needs. We bundle our services into a complete portfolio that enables you to be proactive and in control of your digital security. Take control of your digital security.
Британский Центр национальной кибербезопасности (NCSC) выпустил обновленное Руководство по противодействию атакам вредоносов и ransomware. Видимо, растущая угроза со стороны вымогателей понуждает ответственные за инфосек государственные органы (разговор не про Россию, тут ситуация "похер, пляшем") придумывать какие-то костыли, чтобы хотя бы минимально исправить ситуацию.
Что же рекомендует NCSC.
Во-первых, правильно организовывать резервное копирование.
Во-вторых, укреплять внешний периметр и предотвращать возможность бокового распространения внутри сети.
В-третьих, предпринимать меры по снижению возможности запуска вредоносов на устройствах внутри сети - регулярные обновления, надежные приложения, антивирусная защита and so on.
В-четвертых, NCSC рекомендует определить критически важные активы и возможное влияние на них вредоносного ПО в случае удачной атаки. Британцы фактически предлагают руководителям организаций разработать план реагирования на инцидент (кто сказал Business continuity management?), в котором определить возможные негативные последствия атаки, разработать стратегию внутренней и внешней коммуникации, определить приоритеты систем и прописать подробную последовательность действий по скорейшему восстановлению работы информационных ресурсов.
К сожалению, все эти рекомендации не помогают, если оператор ransomware проник в систему и украл конфиденциальные данные, которые грозится опубликовать. То есть ничего принципиально нового в "обновленном руководстве" нет.
А мы так надеялись.
Что же рекомендует NCSC.
Во-первых, правильно организовывать резервное копирование.
Во-вторых, укреплять внешний периметр и предотвращать возможность бокового распространения внутри сети.
В-третьих, предпринимать меры по снижению возможности запуска вредоносов на устройствах внутри сети - регулярные обновления, надежные приложения, антивирусная защита and so on.
В-четвертых, NCSC рекомендует определить критически важные активы и возможное влияние на них вредоносного ПО в случае удачной атаки. Британцы фактически предлагают руководителям организаций разработать план реагирования на инцидент (кто сказал Business continuity management?), в котором определить возможные негативные последствия атаки, разработать стратегию внутренней и внешней коммуникации, определить приоритеты систем и прописать подробную последовательность действий по скорейшему восстановлению работы информационных ресурсов.
К сожалению, все эти рекомендации не помогают, если оператор ransomware проник в систему и украл конфиденциальные данные, которые грозится опубликовать. То есть ничего принципиально нового в "обновленном руководстве" нет.
А мы так надеялись.
www.ncsc.gov.uk
Mitigating malware and ransomware attacks
How to defend organisations against malware or ransomware attacks
Японские исследователи из Trend Micro провели исследование Head in the Clouds, в ходе которого опросили более 13 тыс. сотрудников из 27 стран, которые в условиях эпидемии COVID-19 работают удаленно.
В целом большинство сотрудников заявили, что они стали более серьезно относиться к вопросам информационной безопасности. Но на этом хорошие новости заканчиваются.
40% респондентов заявили, что всегда или часто используют для работы общедоступные Wi-Fi сети без использования корпоративного VPN.
Треть опрошенных хотя бы раз работали с конфиденциальными документами в общественных местах, при этом в случае с HR специалистами это количество вырастает до 47%, а для юристов - до 48%.
80% используют рабочие ноутбуки в личных целях, при этом 19% играют в онлайн-игры, 8% смотрят порно (мы думаем, что больше), а 7% даже серфят в даркнете. 20% могут загрузить на рабочий ноутбук стороннее ПО.
И это еще не все. 70% подключают рабочие ноутбуки к своим домашним сетям, при этом у 57% на этих же сетях висят устройства IoT.
А 28% респондентов разрешает третьим лицам использовать свои рабочие ноутбуки для личных целей.
И в качестве завершающего штриха - 39% используют личные незащищенные устройства для доступа к корпоративным системам.
Ваш CISO говорит, что с информационной безопасностью на удаленке все хорошо? "Бабка врет!"
В целом большинство сотрудников заявили, что они стали более серьезно относиться к вопросам информационной безопасности. Но на этом хорошие новости заканчиваются.
40% респондентов заявили, что всегда или часто используют для работы общедоступные Wi-Fi сети без использования корпоративного VPN.
Треть опрошенных хотя бы раз работали с конфиденциальными документами в общественных местах, при этом в случае с HR специалистами это количество вырастает до 47%, а для юристов - до 48%.
80% используют рабочие ноутбуки в личных целях, при этом 19% играют в онлайн-игры, 8% смотрят порно (мы думаем, что больше), а 7% даже серфят в даркнете. 20% могут загрузить на рабочий ноутбук стороннее ПО.
И это еще не все. 70% подключают рабочие ноутбуки к своим домашним сетям, при этом у 57% на этих же сетях висят устройства IoT.
А 28% респондентов разрешает третьим лицам использовать свои рабочие ноутбуки для личных целей.
И в качестве завершающего штриха - 39% используют личные незащищенные устройства для доступа к корпоративным системам.
Ваш CISO говорит, что с информационной безопасностью на удаленке все хорошо? "Бабка врет!"
Trendmicro
DevSecOps: The Key to Securing Your Cloud-Native Applications—Fast
Listen as Doug Cahill, Senior Analyst and Group Director, ESG and David Clement, Product Marketing Manager Hybrid Cloud, Trend Micro, discuss how DevSecOps is being used to artfully secure cloud-native applications. It’ll be music to your ears.
В выходные неизвестные хакеры взломали почти 2 тысячи Интернет-магазинов, работающих под управлением CMS Magento, после чего внедрили в них скиммер (вредоносный код, ворующий платежные данные). Подобные атаки, напомним, в соответствии с текущей модой называют сейчас Magecart.
По сообщению инфосек компании Sansec Threat Intelligence, в пятницу было заражено 10 Интернет-магазинов, 1058 в субботу, 603 в воскресенье и 233 в понедельник, что является самым крупным известным заражением Magecart в истории. Уязвимыми оказались ресурсы под управлением Magento версии 1, поддержка которой была прекращена в июне.
Исследователи сообщают, что, по их оценкам, только в одном из взломанных магазинов были украдены платежные данные нескольких десятков тысяч (!) клиентов.
Кампания была явно автоматизирована и, судя по всему, в ее ходе использовалась 0-day уязвимость в Magento, которая продавалась в августе на одном из хакерских форумов за 5 тыс. долларов. Причем продавец z3r0day был русскоязычным.
Согласно имеющимся данным, на сегодняшний день под управлением уязвимой версии Magento работает около 95 тыс. Интернет-магазинов по всему миру.
К сожалению, списка уязвимых ресурсов Sansec не предоставили, сославшись на то, что передали его правоохранительным органам.
По сообщению инфосек компании Sansec Threat Intelligence, в пятницу было заражено 10 Интернет-магазинов, 1058 в субботу, 603 в воскресенье и 233 в понедельник, что является самым крупным известным заражением Magecart в истории. Уязвимыми оказались ресурсы под управлением Magento версии 1, поддержка которой была прекращена в июне.
Исследователи сообщают, что, по их оценкам, только в одном из взломанных магазинов были украдены платежные данные нескольких десятков тысяч (!) клиентов.
Кампания была явно автоматизирована и, судя по всему, в ее ходе использовалась 0-day уязвимость в Magento, которая продавалась в августе на одном из хакерских форумов за 5 тыс. долларов. Причем продавец z3r0day был русскоязычным.
Согласно имеющимся данным, на сегодняшний день под управлением уязвимой версии Magento работает около 95 тыс. Интернет-магазинов по всему миру.
К сожалению, списка уязвимых ресурсов Sansec не предоставили, сославшись на то, что передали его правоохранительным органам.
Sansec
Cardbleed: 3% of Magento install base hacked
Оказывается, мы пропустили новость, что Концерн Калашников додумался запихать встроенный компьютер в новое "smart"-ружье MP-155. "Это шаг в индустрию развлечений" - сказал гендир концерна.
Мы не знаем, какой функционал у компьютерной составляющей, но добром это не кончится. Чем больше ненужных технологичных фич прикручивают к современным устройствам, тем более уязвимыми последние становятся.
Вот помяните наше слово, скоро эти ружья будут массово отказывать в обслуживании. Или стрелять удаленно.
Ждем появления кассетной "smart"-бомбы со встроенной Full HD камерой и возможностью стримить в YouTube.
Мы не знаем, какой функционал у компьютерной составляющей, но добром это не кончится. Чем больше ненужных технологичных фич прикручивают к современным устройствам, тем более уязвимыми последние становятся.
Вот помяните наше слово, скоро эти ружья будут массово отказывать в обслуживании. Или стрелять удаленно.
Ждем появления кассетной "smart"-бомбы со встроенной Full HD камерой и возможностью стримить в YouTube.
Facebook Watch
Калашников
Премьера 💥 MP-155 Ultima Первое SMART-ружьё в инновационном дизайне! Уникальная разработка на базе надежного гладкоствольного ружья МР-155 с...
В июле мы писали, что в результате проникновения французских правоохранительных органов в начале года в закрытую мобильную сеть EncroChat в европейских странах было арестовано несколько сотен подозреваемых в причастности к организованным преступным группировкам.
EncroChat - криптофоны, функционировавшие на базе Android либо EncroChat OS. Устройства использовали шифрование с момента загрузки, при этом происходила проверка на предмет целостности ПО. Секретный PIN позволял стереть все содержимое криптофона. По желанию клиента для большей конспирации аппаратно отключались камера и микрофон. Обмен сообщениями происходил в зашифрованной форме через собственные сервера EncroChat.
Почему мы пишем про все возможности EncroChat в прошлом времени? Потому что после июльской операции европейских правоохранителей сеть прекратила свою деятельность.
Сегодня же Motherboard раскрывает подробности спецоперации французской жандармерии. В распоряжении журналистов оказался документ, согласно которому правоохранительные органы Франции массово развернули на устройствах EncroChat вредоносы, которые собирали данные, включая переписки, данные геолокации, имена пользователей, пароли, список точек доступа Wi-Fi и другие сведения.
С одной стороны, мы согласны с тем, что с организованной преступностью надо бороться. С другой - по факту многие из 60 тыс. абонентов EncroChat, которые являлись абсолютно легальными пользователями (потому что само по себе использование криптофонов пока, слава Богу, законодательно не запрещено), оказались взломанными французскими полицейскими.
Ну то есть, гражданину ломать государство нельзя, а государству гражданина, пусть и по ошибке, можно. Где-то мы похожий подход недавно уже видели.
EncroChat - криптофоны, функционировавшие на базе Android либо EncroChat OS. Устройства использовали шифрование с момента загрузки, при этом происходила проверка на предмет целостности ПО. Секретный PIN позволял стереть все содержимое криптофона. По желанию клиента для большей конспирации аппаратно отключались камера и микрофон. Обмен сообщениями происходил в зашифрованной форме через собственные сервера EncroChat.
Почему мы пишем про все возможности EncroChat в прошлом времени? Потому что после июльской операции европейских правоохранителей сеть прекратила свою деятельность.
Сегодня же Motherboard раскрывает подробности спецоперации французской жандармерии. В распоряжении журналистов оказался документ, согласно которому правоохранительные органы Франции массово развернули на устройствах EncroChat вредоносы, которые собирали данные, включая переписки, данные геолокации, имена пользователей, пароли, список точек доступа Wi-Fi и другие сведения.
С одной стороны, мы согласны с тем, что с организованной преступностью надо бороться. С другой - по факту многие из 60 тыс. абонентов EncroChat, которые являлись абсолютно легальными пользователями (потому что само по себе использование криптофонов пока, слава Богу, законодательно не запрещено), оказались взломанными французскими полицейскими.
Ну то есть, гражданину ломать государство нельзя, а государству гражданина, пусть и по ошибке, можно. Где-то мы похожий подход недавно уже видели.
Vice
European Police Malware Could Harvest GPS, Messages, Passwords, More
A document obtained by Motherboard provides more detail on the malware law enforcement deployed against Encrochat devices.
Надо сказать, это лучшее, что мы видели про 2020 год!
Twitter
Christopher Glyer
@ItsReallyNick https://t.co/WFTcw14kYr