Теперь уже официально - ransomware Maze прекратило свое функционирование.

Хакеры в своем прощальном письме написали кучу пафосной херни, про то, что они за инфосек и приватность, а злые буржуи против. И про то, что они могли взломать системы жизнеобеспечения Нью-Йорка и обрубить доступ в сеть в 35 штатах, но не стали этого делать, потому что они благородные (нет).

Также Maze Team заявили, что Maze Cartel никогда не существовал и все это выдумки журналистов. И это странно, потому что ранее сами Maze заявляли Bleeping Computer, что теперь у них картель.

Ну, и напоследок, вымогатели обещают вернуться когда-нибудь, чтобы вывести нас, потерянных, из лабиринта наших ошибок и заблуждений.

Правда, тут поступает информация, что торжественного ухода, как такового, собственно, и не было. А работающие с владельцами Maze хакерские группы организованно переходят на использование нового ransomware Egregor, которое появилось в середине сентября этого года. А Egregor - это ни что иное, как новая итерация Maze, за которым стоят те же разработчики.

Поэтому склоняемся к мысли, что громкое прощание Maze Team - не более чем PR-акция, тем более что такое происходит далеко не в первый раз. Потому что глупо было бы поверить, что владельцы вымогателя, входящего в тройку самых активных в мире и приносящего им доход в десятки миллионов долларов, просто так решат уйти на пенсию. Мы и не верим.

Американская инфосек компания Cybereason в своем материале о новом выявленном вредоносном инструментарии KGH_SPY, который используется северокорейской APT Kimsuky, демонстрирует каким на самом деле должен быть отчет по результатам исследований.

Исследуя вредоносную инфраструктуру Kimsuky американские ресерчеры обнаружили новый вредоносный комплект, нацеленный, в первую очередь, на кибершпионаж. Принадлежность его северокорейским хакерам подтверждается использованием той же инфраструктуры, которая была задействована Kimsuky в конце 2018 - начале 2019 в атаке BabyShark, нацеленной на американские исследовательские институты. Тогда хакеры из КНДР использовали авторский вредонос, который распространялся посредством фишинговых писем от имени реально существующего в США специалиста по ядерным технологиям. Спустя пару месяцев атака распространилась на компании, связанные с криптовалютами. Мы писали про нее в нашем обзоре активности Kimsuky.

Свой отчет исследователи назвали "Назад в будущее", поскольку для затруднения работы киберкриминалистов хакеры исправили временные метки вредоносных модулей на 2016 год. Хотя отдельные домены, жестко зашитые в код KGH_SPY, были зарегистрированы в период с января 2019 по август 2020 года.

В этот раз северокорейцы использовали фишинг с приманками в виде двух документов, посвященных проблемам с правами человека в КНДР.

Содержащиеся в них вредоносные макросы собирали информацию об атакованной системе, отправляли ее управляющему центру, после чего загружали полезную нагрузку, состоящую из нескольких модулей, включающих загрузчик, основной модуль и несколько дополнительных компонентов, среди которых специализированный инфостиллер.

Самым неприятным является то, что некоторые модули KGH_SPY на конец октября не обнаруживались ни одним антивирусным решением.

Кроме того, исследователи нашли еще один оригинальный загрузчик северокорейцев, который назвали CSPY Downloader, который, как предполагается, может быть отладочной версией нового, пока еще неактивного, вредоноса.

Возвращаясь к мысли, высказанной нами в начале этого поста, - отчет Cybereason нам понравился хорошим анализом и, что основное, достаточно подробным описанием TTPs, благодаря которым исследователи смогли сделать атрибуцию новых вредоносных программ как принадлежащих APT Kimsuky. Так бы всегда.

​​Что: The Standoff
Где: онлайн
Когда: с 12 по 17 ноября

С 12 ноября стартует масштабная кибербитва защитников и нападающих The Standoff. Пять дней красные команды будут тестировать на прочность инфраструктуру виртуального мегаполиса, а синие — им в этом противостоять. В ходе борьбы на платформе будут выступать российские и зарубежные спикеры на темы, охватывающие все аспекты современной инфобезопасности. Узнать подробнее о спикерах, зарегистрироваться в качестве участника или аккредитоваться как журналист можно уже сейчас.

А сейчас нам бы хотелось рассказать про событие, которое случилось неделю назад, но широкого освещения не получило. А должно бы было.

Японское Управление по ядерному регулированию (NRA) 27 октября сообщило, что днем ранее его сеть подверглась кибератаке. В результате японцы были вынуждены отключить свой сервис электронной почты, чтобы сдержать распространение. А заместитель госсекретаря Японии был вынужден успокаивать журналистов, сообщив, что никакая конфиденциальная информация, в том числе данные о физической безопасности АЭС, не была утрачена.

К гадалке не ходи, NRA попало под удар ransomware. Какие в действительности сведения могли украсть вымогатели - неизвестно. Но звоночек тревожный.

Google выпустили обновление для десктоп версии Chrome, в котором исправили 10 ошибок, среди которых одна, CVE-2020-16009, является 0-day уязвимостью.

Пока технических подробностей нет, единственное что известно - ошибка находится в движке V8, предназначенном для обработки JavaScript и была выявлена внутренней группой исследователей. Эксплуатация CVE-2020-16009 может привести к удаленному выполнению кода (RCE). Google также сообщает, что зафиксировала использование этой уязвимости в дикой природе, но опять же без каких-либо деталей.

Еще одна 0-day уязвимость CVE-2020-16010 исправлена Google в версии Chrome для Android. Также замечено ее использование в дикой природе.

Поскольку 0-day уязвимость приводящая к RCE и эксплуатируемая в дикой природе - это серьезно, то рекомендуем всем пользователям Chrome срочно обновиться.

Давненько не видели мы интересных исследований от американцев из группы Mandiat инфосек вендора FireEye. И вот вышел обзор про новую хакерскую группу, которую ресерчеры обозначили как UNC1945. А группа - скиллованная и вооруженная 0-day эксплойтами.

Впервые FireEye обнаружила UNC1945 в середине 2020 года, хотя ее активность начинается как минимум с конца 2018. Основными целями хакеров являются телекоммуникационные компании, а также финансы и консалтинг.

Исследователи обнаружили как минимум два факта взлома хакерами серверов под управлением ОС Solaris с использованием эксплойта EVILSUN ранее неизвестной уязвимости, которая получила название CVE-2020-14871 и с подачи FireEye была закрыта в октябре Oracle, производителем операционной системы.

Ресерчеры полагают, что данные об эксплуатации уязвимости были куплены UNC1945 на черном рынке, поскольку предложение о продаже "эксплойта удаленного доступа для Oracle Solaris" появилось на одном из хакерских форумов в апреле 2020 года по цене в 3000 долларов. С другой стороны UNC1945 взламывали Solaris, скорее всего, еще с конца 2018 года.

Хакерская группа, по словам FireEye, является весьма продвинутой. Используемый инструментарий представляет собой совокупность авторских вредоносов и общедоступного ПО, например Mimikatz. Их действия по взлому сетей, их дальнейшей разведки, боковому перемещению, туннелированию канала связи с управляющими центрами и пр. являются профессиональными и выверенными. Они продемонстрировали способность эффективно работать как с системами под управлением Windows, так и под управлением NIX.

В некоторых случаях хакеры использовали сборки на основе виртуальной машины QEMU, в которую входили ОС Tiny Core Linux и набор вредоносных инструментов.

Тем не менее, несмотря на сообщения FireEye о неоднократно зафиксированных взломах со стороны UNC1945, исследователи не смогли обнаружить какую-либо активность хакеров по сбору информации из скомпрометированных сетей. В одном случае они выявили развертывание во взломанной сети ransomware ROLLCOAST, но связывают это с тем, что хакеры продали полученный доступ стороннему актору.

Что же в остатке. Если бы не факт продажи доступа оператору ransomware, то мы бы предположили, что американцы наткнулись на новую прогосударственную APT, которая проводит взломы ресурсов с целью сбора массивов конфиденциальных данных. А так - по всей видимости это чисто коммерческая группа, которая, тем не менее, работает профессионально и скрытно. И с непонятной пока целью.

Российское Министерство цифрового развития, связи и массовых коммуникаций планирует создать Центр по борьбе с киберпреступлениями, телефонным спамом и фишингом в рамках нацпроекта "Цифровая экономика".

Даже не знаем как относится к этой новости. С одной стороны, инициатива пусть и сильно запоздалая, но крайне необходимая.

С другой - имеем огромные сомнения в компетентности сотрудников, которые будут причастны к созданию и функционированию этого Центра. Даже название, в котором фигурирует словосочетание "телефонный спам и фишинг" говорит о том, что люди, планирующие создание Центра, не вполне (мягко сказать) владеют темой. Потому что фишинг бывает разный, а для того вида противоправных деяний, который министр Шадаев подразумевает под "телефонным спамом", давно существует устоявшийся термин "фрод" или "телекоммуникационное мошенничество". И это понятие гораздо шире "телефонного спама".

Впрочем привлечение государством к мероприятиям по информационной безопасности людей некомпетентных - это сложившаяся традиция. Поэтому подозреваем, что Центр по борьбе будет, а самой борьбы - нет.

Sad but true.

​​Прекрасная иллюстрация к нашему предыдущему посту про сомнительную эффективность будущего Центра по борьбе с киберпреступлениями, телефонным спамом и фишингом Минцифры.

За наводку спасибо Лукацкому.

На скрине - страница официального сайта Единой России, посвященная приватности.

Так и живем.

Выборы в США прошли и логично было бы предположить, что напор обвинений хакеров из России, Китая и Ирана в атаках на американскую инфраструктуру спадет. Скорее всего так и будет, хотя возможны отдельные эксцессы на фоне подсчета голосов.

Однако одну из целей создания подобных информационных поводов можно назвать уже сейчас - это легитимизация американцами собственных наступательных киберопераций.

По сообщению CNN, американское Киберкомандование и АНБ расширяют свои операции в киберпространстве против России, Китая и Ирана. Основание - конечно же "опасность вмешательства в американские выборы", но вот в качестве периода активизации хакеров США указано "до, во время и после выборов". То есть отныне и навсегда. Ну и, само собой, допускаются превентивные атаки.

Таким образом алгоритм вполне прозрачен. Сначала приучаем инфосек отрасль к обвинениям в причастности к кибератакам без конкретных TTPs. Потом наваливаем множество неподтвержденных (или не до конца подтвержденных) фактурой обвинений - если что, в запасе всегда стоят управляемые эксперты из тех же FireEye или CrowdStrike. Ну а затем на их основании официально объявляем о своих хакерских операциях. И, вуаля, они теперь легальны и легитимны, поскольку проводятся "чтобы предотвратить внешнюю агрессию". Ну а если при этом еще и отвечающие за кибербезопасность спецслужбы предполагаемого противника спят-похрапывают (а в случае России так и происходит) - то совсем хорошо.

Ждем окончательного сброса всех масок и трансляции кибератак на критическую инфраструктуру американских визави в прямом эфире CNN.

Теперь ломать будут и по 5G! А если серьезно, то единственное, для чего идеально подходит и необходим новый стандарт - это удаленное управление автомобилем. Ну вы поняли...

Хакер обнаружил признаки 5G в последнем обновлении ПО Tesla

В последнем обновлении программного обеспечения хакер с псевдонимом «Green» нашёл «намёки», которые указывают на возможность добавления модема 5G и точки доступа в автомобили.

Об этом хакер сообщает в своём Twitter-аккаунте.

По его словам, ему удалось обнаружить это благодаря новому файлу прошивки в обновлении 2020.44.

До этого автомобили Tesla имели функцию подключения 3G и 4G, однако сейчас даже эта функция считается «премиальным» вариантом.

Сразу несколько новостей про ransomware.

1. Известный производитель игрушек Mattel в своем ежеквартальном отчете перед американской SEC сообщил, что в конце июля подвергся атаке оператора неназванного ransomware.

В результате атаки некоторые бизнес-функции компании были нарушены, но вскоре восстановлены. Также, со слов Mattel, доступа к какой-либо конфиденциальной информации хакеры не получили.

Но мы уже привыкли, что в официальных документах и пресс-релизах пострадавшие компании редко рассказывают правду, поэтому нам кажется, что на самом деле Mattel просто заплатили выкуп. Поэтому атака вымогателей прошла тихо и незаметно.

Ну и не жалко их, сделали из Барби какую-то толстую женщину....

2. Японский производитель игр Capcom сообщил, что в прошедшие выходные подвергся атаке вымогателя. Если кто не знает, Capcom - это культовая в некоторых кругах компания, которая является автором таких игровых серий как Resident Evil, Devil May Cry и Street Fighter.

Начиная с 2 ноября появились проблемы с некоторыми сервисами, в том числе с электронной почтой и файловыми серверами. Пока данных о краже данных клиентов не получено. Что, как обычно, не означает что ее не было, да и конфиденциальная информация не ограничивается одними клиентскими данными.

Возможно, что это именно та громкая атака на производителя игр, про которую сообщал в интервью Unknown из REvil.

3. Американская компания GEO Group также в отчете, поданном в SEC, сообщает, что в августе была атакована оператором вымогателя.

GEO Group специализируется на управлении частными тюрьмами и центрами содержания нелегальных мигрантов на территории США, Австралии, ЮАР и Великобритании - всего 123 заведения. Судя по всему, хакеры, кроме шифрования ресурсов, получили доступ к информации о заключенных, включая их личные данные, по поводу чего компания теперь рассылает письма с предупреждениями.

А теперь представим, что будет, если оператор ransomware удалит все бэкапы с данными о сроках содержания заключенных (а они за резервными копиями специально охотятся). Что тогда делать? По памяти сроки восстанавливать? Или кубики подбрасывать?

Израильский инфосек вендор Check Point раскрыл подробности выявленных атак на корпоративные VoIP-системы по всему миру, которые осуществляют палестинские хакеры.

По данным исследователей, за последние 12 месяцев хакеры атаковали более 1200 организаций, эксплуатирующих программную АТС Asterisk, а точнее используемый в ней интерфейс Sangcoma PBX, который уязвим перед ошибкой CVE-2019-19006, устраненной в конце прошлого года.

Хакеры сканируют сеть на предмет выявления необновленных серверов, а затем, используя эту уязвимость, которая имеет оценку 9,8 по шкале критичности, получают права администратора в атакованной системе, что позволяет им фактически взять АТС под свой контроль.

В дальнейшем злоумышленники продают полученный доступ телекоммуникационным мошенникам, которые инициируют вызовы скомпрометированной АТС на PRN-номера (Prime Rate Numbers, телефонные номера с повышенной стоимостью окончания вызова), чтобы получить незаконную прибыль.

Мы же полагаем, что кроме звонков на PRN, с помощью взлома корпоративного VoIP можно, например, приземлять мошеннические звонки на телефонную сеть. Или использовать для подмены номера.

В любом случае, подобными преступлениями по идее должен бы заняться будущий Центр по борьбе с киберпреступлениями, телефонным спамом и фишингом Минцифры. Но не уверены, что у него хватит компетенции.

Остается отметить, что хотя основное количество пострадавших находится в США и Европе, в России, тем не менее, тоже нашлось 13 взломанных палестинцами компаний.

Где искать литературу по инфосеку и этичному хакингу

Часто, в поисках нужной книги в Интернете, вы заканчивали на фейковых сайтах, просящих ввести номер телефона, или предлагающих скачать книгу в формате .exe.

В телеграме есть хороший канал Библиотеки хакера, админы которого собирают всю лучшую литературу и курсы по информационной безопасности, программированию и этичному хакерству.

Туда также часто сливают различные материалы с закрытых площадок и форумов, которую не найти в открытом доступе. Советуем заглянуть.

​​Какая интересная вещь обнаружилась.

Исследователь из команды Hacker House пишет про уязвимость CVE-2020-14871, о которой мы сообщали на днях. Напомним, что американцы из FireEye обнаружили ее эксплойт в атаках новой хакерской группы UNC1945 на сервера под управлением ОС Solaris, а устранена ошибка была только в октябре этого года.

Как оказывается, CVE-2020-14871 использовалась рядом хакерских групп в качестве 0-day уязвимость аж с октября 2014 года, то есть шесть (!) лет. Более того, она была описана в слитой в 2015 году хактивистом Финеасом Фишером переписке закрытой ныне итальянской компании Hacking Team. То есть шесть лет спецслужбы всего мира, которым итальянцы продавали свои разработки, могли использовать CVE-2020-14871 в своих атаках.

Hacking Team, основанная в 2003 году, была пионером на рынке легального взлома, производя инструменты для взлома и отслеживания ПК и мобильных устройств и продавая их правоохранительным органам и спецслужбам. Компания быстро вышла за пределы национального рынка и на своей вершине в 2015 году поставляла программные продукты в 41 страну.

Теперь вы имеете представление сколько могут жить 0-day уязвимости, которым подвержены десятки тысяч систем, и как они могут использоваться.

​​Казалось бы только полтора месяца назад Apple исправила 11 ошибок, среди которых была и допускающая удаленное исполнение кода (RCE). И вот опять, очередные три 0-day уязвимости в яблочных продуктах.

Вчера Apple выпустили обновления операционок iOS, iPadOS и watchOS, в которых исправили три новых уязвимости, использование которых наблюдалось в дикой природе (!).

Технических подробностей нет, но по информации команды Google Project Zero, которая и обнаружила дырки, это следующие уязвимости:

- CVE-2020-27930 - ошибка в компоненте FontParser, эксплуатация которой приводит к RCE;
- CVE-2020-27932 - уязвимость, приводящая к повышению локальных привилегий;
- CVE-2020-27950 - уязвимость, приводящая к утечке информации из ядра ОС.

Очень неприятные ошибки, эксплуатация которых потенциально даст возможность злоумышленнику захватить пользовательское устройство под свой контроль. Всем необходимо срочно обновиться. Мы уже.

​​Операторы ransomware бумкнули объект мировой критической инфраструктуры. И это не атомная электростанция и не подводный трубопровод.

По сообщению ZDNet, итальянская Campari Group в понедельник стала жертвой атаки вымогателя RagnarLocker. Хакеры вывели из строя часть ресурсов компании, а также украли более 2 Тб конфиденциальной информации.

Озвученная злоумышленниками сумма выкупа составила 15 млн. долларов. Итальянцы платить отказались, о чем сообщили в пресс-релизе во вторник, и попытались восстановить свои системы собственными силами. Однако по состоянию на вчерашний день им этого сделать не удалось и почта, сайты и телефонная связь Campari не работают.

В ответ вымогатели разметили на своем DLS (сайт, для публикации утечек данных) часть украденной информации, среди которой обнаружилась копия рекламного контракта Campari с известным актером Мэтью МакКонахи.

Причем тут критическая инфраструктура, спросят некоторые. Ну, если Campari Group навернется, то с чем же тогда пить Апероль Шприц и Негрони?!

И еще одна новость про ransomware. Во вторник атаке вымогателя RansomExx подвергся Верховный суд Бразилии.

Атака произошла прямо во время судебных заседаний. Техподдержка отключила часть систем для предотвращения дальнейшего распространения ransomware, но к этому моменту основная часть данных и резервные копии уже были зашифрованы. На данный момент большинство IT-систем Верховного суда, включая сайт, не работают.

Судебные заседания по конференц-связи отменены до 9 ноября. Это повлекло то, что с 3 по 9 ноября приостановлены процессуальные сроки.

RansomExx - штамм ransomware, который ранее успешно атаковал компанию Konica Minolta, а также ведущего американского IT-подрядчика Tyler Technologies, который в итоге был вынужден заплатить выкуп.

Кажется, лицам, причастным к RansomExx, теперь в Бразилии лучше не появляться. Закроют на крытку и процессуальные сроки приостановят. Навечно.

Есть интересное мнение про закрытые уязвимости в iOS, о которых мы писали сегодня.

Сам набор выявленных командой Google уязвимостей очень похож на боевой эксплойт-кит, который позволяет взять атакованное Apple-устройство под контроль.

И как нам подсказывают, этот набор вероятно использовался для сбора фактуры против шестерых членов APT Sandworm aka BlackEnergy, которых в октябре Министерство юстиции США обвинило в проведении кибератак по заказу ГРУ. В процессе сбора данных, очевидно, был взлом смартфонов подозреваемых.

Google активно участвовали в подготовке этого досье. Вполне вероятно, что они либо сами нашли и использовали эти уязвимости, либо им дали эксплойты. После чего информация в отношении дырок была передана в Apple и опубликована.

Эта информация, конечно же, не стопроцентная. Но весьма вероятно, что так и было.

​​Краткая выжимка 2020 года в минутном видео.