Почти год назад мы писали, как LockBit сами стали жертвой утечки. Один из разработчиков в команде вымогателей слил исходники новой версии ПО LockBit 3.0, включая и сборщик для новейшего шифровальщика.

Наши тогдашние предположения о том, что ransomware широко расползется по киберподполью подтвердили исследователи из Лаборатории Касперского, которые отследили и изучили более сотни новых вариантов, созданных с помощью утекшего LockBit 3.0 Ransomware Builder.

По факту этот инструмент позволял любому создать свою собственную версию программы-вымогателя.

Сразу после утечки исследователи ЛК в ходе реагирования на инцидент обнаружили вторжение ransomware, которая использовала код Lockbit 3, но с совершенно другой схемой вымогательства выкупа.

Злоумышленник использовал записку о выкупе с заголовком, связанным с ранее неизвестной группой под названием NATIONAL HAZARD AGENCY.

В обновленной записке о выкупе была прямо указана сумма, подлежащая уплате за получение ключей расшифровки, а также перенаправление в службу Tox и электронную почту, в отличие от LockBit, которая, как правило, не упоминала в записке сумму и имела собственную платформу для переговоров.

Причем NATIONAL HAZARD AGENCY - далеко не единственная банда киберпреступников, которая нашла применение утекшему в сеть сборщика LockBit 3.0, среди других злоумышленников отметились, как известно, Bl00dy и Buhti.

Телеметрия Лаборатории Касперского зафиксировала в общей сложности 396 различных образцов LockBit, из которых 312 артефактов были созданы с использованием просочившихся сборщиков.

Причем в 77 образцах в записке о выкупе не упоминается LockBit. Были идентифицированы и другие образцы, созданные с использованием неизвестных билдеров, датированные июнем и июлем 2022 года.

Измененная записка о выкупе без ссылки на Lockbit или с другим контактным адресом (почта/URL), безусловно, указывает на возможное злоупотребление конструктором другими лицами, кроме «оригинального» Lockbit.

• SSHD Injection and Password Harvesting.

• https://jm33.me/sshd-injection-and-password-harvesting.html

#backdoor #linux #SSH

• Лучший roadmap по сертификациям в #ИБ, отсортированный по уровням сложности и направлениям:

• https://pauljerimy.com/security-certification-roadmap/

͏Мы хотели было написать очередной новостной пост по следам последнего отчета Security Joes в отношении наблюдения в дикой природе атак на объектное хранилище MinIO, однако подумали - какого черта?!

Две критичные уязвимости были выявлены и закрыты еще в марте этого года, а в апреле в паблике появился их эксплойт. Между тем, как утверждают Security Joes, в сети доступны более 52 тысяч экземпляров MinIO, из которых только 38% обновлены до неуязвимой версии. В России, кстати, всего наружу торчит около 1800 MinIO, а значит примерно 1100 установок дырявые.

Если админ за полгода (!) не обновил один из ключевых объектов своей инфраструктуры, то нам его совершенно не жаль - он просто мудак. И его начальник, который его держит на должности - мудак. И директор HR, который нанял таких специалистов - мудак. И генеральный директор компании вместе с учредителями, допустившие такую кадровую политику в ущерб информационной безопасности своих данных, - мудаки. Нам их всех ничуть не жаль, они должны страдать.

Пора вводить новый вид атак - атака на цепочку мудаков. Она куда более распространена, чем атаки на цепочку поставок или цепочку зависимостей.

awesome-linux-rootkits: https://github.com/milabs/awesome-linux-rootkits

#linux #rootkits

В Kubernetes были обнаружены три критических недостатка, которые могут быть использованы для RCE с повышенными привилегиями на оконечных устройствах Windows в рамках одного кластера.

Все уязвимости взаимосвязаны и отслеживаются как CVE-2023-3676, CVE-2023-3893 и CVE-2023-3955 с оценкой CVSS 8.8.

Баги влияют на все среды Kubernetes с хостами Windows, а для эксплуатации злоумышленнику нужно применить вредоносный файл YAML в кластере.

CVE-2023-3676 позволяет злоумышленнику с привилегиями 'apply' взаимодействовать с API Kubernetes и внедрять произвольный код, который будет выполнен на удаленных машинах Windows с привилегиями SYSTEM.

Уязвимость, так же, как и CVE-2023-3955, возникает из-за недостаточной очистки входных данных, что позволяет специально созданной строке пути быть проанализированной в качестве параметра команды PowerShell, что в конечном итоге приводит к выполнению команды.

С другой стороны, CVE-2023-3893, связана со случаем эскалации привилегий в прокси-сервере Container Storage Interface (CSI), что позволяет злоумышленнику получить административный доступ к узлу.

Баги раскрыты 13 июля 2023 года исследователями Akamai, а 23 августа были выпущены соответствующие исправления.

В Amazon Web Services, Google Cloud и Microsoft Azure выпустили советы по устранению этих ошибок, которые влияют на следующие версии Kubelet: < v1.28.1, v1.27.5, v1.26.8, v1.25.13 и v1.24.17.