И еще одна новость про ransomware. Во вторник атаке вымогателя RansomExx подвергся Верховный суд Бразилии.

Атака произошла прямо во время судебных заседаний. Техподдержка отключила часть систем для предотвращения дальнейшего распространения ransomware, но к этому моменту основная часть данных и резервные копии уже были зашифрованы. На данный момент большинство IT-систем Верховного суда, включая сайт, не работают.

Судебные заседания по конференц-связи отменены до 9 ноября. Это повлекло то, что с 3 по 9 ноября приостановлены процессуальные сроки.

RansomExx - штамм ransomware, который ранее успешно атаковал компанию Konica Minolta, а также ведущего американского IT-подрядчика Tyler Technologies, который в итоге был вынужден заплатить выкуп.

Кажется, лицам, причастным к RansomExx, теперь в Бразилии лучше не появляться. Закроют на крытку и процессуальные сроки приостановят. Навечно.

Есть интересное мнение про закрытые уязвимости в iOS, о которых мы писали сегодня.

Сам набор выявленных командой Google уязвимостей очень похож на боевой эксплойт-кит, который позволяет взять атакованное Apple-устройство под контроль.

И как нам подсказывают, этот набор вероятно использовался для сбора фактуры против шестерых членов APT Sandworm aka BlackEnergy, которых в октябре Министерство юстиции США обвинило в проведении кибератак по заказу ГРУ. В процессе сбора данных, очевидно, был взлом смартфонов подозреваемых.

Google активно участвовали в подготовке этого досье. Вполне вероятно, что они либо сами нашли и использовали эти уязвимости, либо им дали эксплойты. После чего информация в отношении дырок была передана в Apple и опубликована.

Эта информация, конечно же, не стопроцентная. Но весьма вероятно, что так и было.

​​Краткая выжимка 2020 года в минутном видео.

—Партнерский пост—

Благодаря социальной инженерии этим летом была проведена самая масштабная атака в истории Twitter: взломаны аккаунты звезд, компаний и криптовалютных бирж.

С помощью социальной инженерии хакер взломал телефон самого богатого в мире человека по версии Forbes.

В связи с обостренной обстановкой в мире, социальная инженерия занимает лидирующее место в сфере обмана покупателей онлайн товаров.

Этот список можно продолжать бесконечно... Если ты давно хотел узнать о методах взлома человека, манипуляции и прокачать свои навыки СИ, то в самом крупном канале по социальной инженерии, собрана вся необходимая информация — @Social_Engineering

Здесь ты найдешь то, что так давно искал. Добро пожаловать.

Вчера исследователи Лаборатории Касперского сообщили, что обнаружили новый штамм ransomware RansomExx, который предназначен для атаки на системы под управлением Linux.

Принадлежность нового вредоноса владельцам RansomExx подтверждена сходством в коде, а также в текстах требований о выкупе. И это первый известный случай, когда крупный вымогатель перенесли на Linux.

Такой шаг вполне логичен, потому что многие корпоративные сервера работают под управлением NIX. А операторы RansomExx как раз нацелены преимущественно на крупные корпоративные сети, владельцы которых могут выплатить большой выкуп.

Напомним, что только неделю назад атаке RansomExx подверглись ресурсы Верховного суда Бразилии. А ранее вымогатель успешно атаковал компанию Konica Minolta и ведущего американского IT-подрядчика Tyler Technologies, который в итоге был вынужден заплатить выкуп.

Новая головная боль для подразделений информационной безопасности.

Вчера в Китае завершились ежегодные соревнования этичных хакеров Tianfu Cup.

В ходе турнира команды исследователей имели три попытки по пять минут, чтобы взломать выбранное устройство или ПО с помощью авторских эксплойтов.

В итоге были взломаны свежая iOS 14 на iPhone 11 Pro, Samsung Galaxy s20, Windows 10 v2004, Ubuntu, Chrome, Safari, FireFox и многое другое.

Информация в отношении всех использованных уязвимостей направлена в адрес разработчиков. Так что нас ждут новые обновления, исправляющие ошибки.

Кстати, первое место заняла команда китайской компании Qihoo 360, одного из ведущих мировых ресерчеров по теме APT, которой принадлежит классификация APT-C-xx хакерских групп.

​​На одном из хакерских форумов продается база клиентов банка, содержащая данные в отношении более 12 млн. человек. Стартовая цена аукциона - 65 тыс. долларов. За 100 тысяч можно купить сразу.

Информация включает в себя полные ФИО, почту, телефонный номер, регион проживания.

Продавец не называет банк, но сообщает, что он известен и, судя по всему, большинство клиентов банка из РФ. По параметрам подходят ВТБ и Тинькофф, которые имели 13,3 и 11 млн. клиентов соответственно по состоянию на лето этого года.

Ждем новую волну обзвонов из "службы безопасности"?

—Партнерский пост—

В сети ежедневно проходят множество как платных, так и бесплатных мероприятий, курсов и вебинаров по информационной безопасности.

Помочь сделать выбор вам поможет канал @secwebinars, в котором представлены только самые актуальные и востребованные мероприятия как для профессионалов в области информационной безопасности, так и для тех, кто только начинает свою карьеру. Большинство событий бесплатны.

Подписывайтесь на канал @secwebinars

Коллеги подсказывают, что продажа базы данных пользователей российского банка была фейковой и администрация форума снесла топик.

Что же, может быть и так, будем посмотреть.

​​В воскресенье тайваньский производитель ноутбуков Compal Electronics, который занимает второе место в мире, подвергся атаке ransomware DoppelPaymer, оператор которого запросил выкуп в размере почти 17 млн. долларов (точнее 1100 BTC).

По сообщениям тайваньских СМИ около 30% компьютерного парка были затронуты атакой. Тем не менее, представитель Compal заявил, что все это выдумки и технические неполадки случились из-за "аномалий" в системе автоматизации офиса (что бы это ни значило).

Но журналистам BleepingComputer удалось получить записку о выкупе, которая подтвердила факт атаки ransomware на Compal.

Авторами DoppelPaymer являются наши соотечественники из Evil Corp. В сентябре немецкая пресса назвала DoppelPaymer причиной сбоя в работе сети Университетской больницы в Дюссельдорфе, в результате которой погиб не получивший своевременной неотложной помощи пациент.

​​Появилось краткое описание уязвимостей, продемонстрированных участниками турнира Tianfu Cup, о котором мы писали вчера.

Среди них удаленное выполнение кода (RCE) в Chrome, Firefox и Safari.

iPhone 11 под управлением iOS 14 был взломан двумя разными командами, но при этом приз за удаленный джейлбрейк никому не достался.

Инженер Microsoft украл подарочные карты на $10 миллионов и получил 9 лет тюрьмы

Владимира Квашука, гражданина Украины и бывшего инженера Microsoft, приговорили к 9 годам лишения свободы.

Его обвинили в краже цифровой валюты, в том числе и подарочных карт у компании Microsoft. Общая сумма его краж составила более $10 млн.

«Заработанные» деньги он потратил, в частности, на дом за $1,6 миллионов и автомобиль Tesla за $160 тысяч.

Остальные средства он разделил по банковским и инвестиционным счетам.

Когда эти преступления были раскрыты, хитрый сотрудник утверждал, что он действовал «в интересах компании».

Помимо тюремного заключения, он должен выплатить компании $8,3 миллиона компенсации.

Дорогие друзья. Мы решили провести первый в истории канала опрос по поводу одного из самых важных инструментов общения в сегодняшнем настоящем - в отношении мессенджеров.

Мы сознательно не спрашиваем, какими мессенджерами вы пользуетесь, это личное дело каждого. Нам интересно исключительно ваше мнение по поводу того, какой из них является наиболее безопасным.

И да, мы хотели включить Skype в опрос, но потом вспомнили, что это не мессенджер, а файлообменник.

Microsoft выпустили ноябрьское обновление безопасности линейки своих продуктов.

Всего закрыто 112 уязвимостей, из которых 17 критических. Эксплуатация 24 ошибок приводит к удаленному выполнению кода (RCE), в том числе в Excel, Sharepoint, Exchange Server и др.

Одна уязвимость, CVE-2020-17087, которая заключается в переполнении буфера в ядре Windows, является 0-day и позволяет повысить локальные привилегии. Ошибка была найдена командой Project Zero компании Google в конце прошлого месяца вместе с 0-day уязвимостью в Chrome, приводящей к RCE. И эксплуатация обеих этих уязвимостей была выявлена в дикой природе.

И, честно говоря, мы даже не знаем что посоветовать. С одной стороны, как всегда хочется призвать к скорейшему обновлению, особенно с учетом 0-day уязвимости, которую уже используют хакеры. С другой, вспоминая последний косяк Microsoft с предыдущим обновлением, можно и подождать немного.

Короче, думайте сами.

Брайн Кребс сообщает, что вымогатели пытаются использовать максимальное количество инструментов, чтобы побудить жертву заплатить выкуп. На сей раз они запустили рекламную кампанию в Facebook.

Как мы знаем, на прошлой неделе оператор ransomware RagnarLocker успешно атаковал итальянскую Campari Group, всемирно известного производителя различной алкогольной продукции, часть из которой, например Campari и Aperol, является вполне себе эксклюзивной. Сумма выкупа составила 15 млн. долларов. С целью принудить итальянцев к выплате выкупа вымогатели разместили небольшую часть украденной информации в сети. После чего представители Campari стали отмораживаться и заявлять, что они "не могут полностью исключить утечку некоторых данных".

В понедельник стоящие за RagnarLocker хакеры взломали Facebook-аккаунт чикагского диджея Криса Ходсона и оплатили 500 долларов за рекламную кампанию в социальной сети, в ходе которой распространили заявление о взломе Campari. В частности, они подтвердили, что украли более 2 Тб конфиденциальных данных. Всего рекламу ransomware посмотрели более 7 тыс. человек.

Что дальше? Вечерний Ургант? Ну а что, с финансами у владельцев ransomware все в полном порядке, а деньги Ваня любит...

Компанию Apple можно не любить за пафос и ценовую политику, за постоянное урезание комплектаций своих устройств и постепенное техническое отставание, а также за многое другое. Но, в отличие от подавляющего большинства конкурентов, Apple заботится о приватности своих пользователей, а это очень ценно в современном мире.

Купертиновцы разместили сообщение для разработчиков приложений, в котором заявили, что с 8 декабря обновление и размещение новых приложений в AppStore возможно только при соблюдении новых правил.

Теперь разработчикам необходимо предоставлять подробную информацию о том, какие пользовательские данные собирает приложение или его сторонние партнеры (маркетинговые компании, сторонние SDK и пр.) и в каких целях эти данные будут использоваться. Также Apple вводит понятие "отслеживания", которое подразумевает, связывание полученных приложением данных с конкретным пользователем или устройством.

В перечне собираемых данных есть исключения, которые можно не декларировать - например, когда собираемая информация используется в целях безопасности или для предотвращения мошенничества. Или когда пользователь дал четко выраженное согласие на передачу своих данных путем заполнения соответствующей формы в приложении.

Информация о собираемых данных и о том, куда они будут передаваться, будет публиковаться на странице приложения в AppStore и каждый пользователь сможет с ней ознакомиться.

За соответствие представляемых сведений реальной работе приложения разработчик несет персональную ответственность, полагаем, что в случае намеренного ввода в заблуждение он будет удален вместе со своими приложениями из AppStore.

Конечно, в этом механизме есть некоторые лазейки. Например "сбор данных в редких случаях, которые не являются частью основных функций приложения" необязателен для декларации. Но в целом это даст понимание пользователям того, кто и как за ними приглядывает.

Что наряду с другими шагами по обеспечению приватности делает продукцию Apple все более безальтернативной для использования.

Британская PwC сообщает, что в рамках проведенного исследования был проведен опрос 3249 руководителей компаний по всему миру по вопросам информационной безопасности (интересно, сколько было из России).

Так вот, хорошие новости - 51% из них планируют в будущем году увеличение штата своих подразделений ИБ. 43% респондентов признали, что личное взаимодействие между CEO и CISO должно быть более активным. 56% опрошенных планируют увеличить свои бюджеты на инфосек в 2021 году.

На смену точки зрения на киберугрозы существенно повлиял COVID-19, считают 39% CEO. А также атаки ransomware, вероятность которых на свои ресурсы признают 57% опрошенных.

Ну а тем 16% CEO, которые планируют в следующем году сократить свои подразделения информационной безопасности, мы передаем большой привет и просим редакцию включить песню группы Ленинград "Дорожная". Хотя им операторы ransomware и так все объяснят.

—Партнерский пост—

Кибербитва и онлайн-конференция по информационной безопасности The Standoff начинается уже завтра.

В программе — российские и зарубежные спикеры, среди них:
•Роберт Липовски, ESET
•Сесар Серрудо, IOActive Labs
•Арун Магеш, исследователь безопасности IoT
•Роман Ладутько, исследователь вредоносного ПО
•Данила Парнищев, независимый исследователь
•Сергей Гордейчик, эксперт по информационной безопасности
•Лоуренс Эмер, DarkLab (PwC)
•Красимир Цветанов, Университет Пёрдью
•Владимир Кропотов и Федор Ярочкин, Trend Micro
•Дмитрий Скляров, Positive Technologies
• и другие.

Помимо конференции, на платформе состоится кибербитва 29 команд нападающих и 6 команд защитников, которые сразятся за ресурсы виртуального мегаполиса.

​​Владельцы ransomware Darkside решили выйти на широкий рынок. Если ранее появившийся в августе этого года вымогатель использовался исключительно создателями, то теперь они объявили о привлечении партнеров по схеме Ransomware-as-a-Service.

Это тот самый вымогатель, владельцы которого пожертвовали в прошлом месяце по 10 тыс. долларов двум благотворительным организациям.

Darkside ориентирован на шифрование крупных корпоративных сетей. Как и большинство вымогателей в последнее время имеет собственный сайт, на котором в случае невыплаты жертвой выкупа публикуются украденные данные (DLS - data leak site).

Ранее владельцы Darkside сообщали, что группа не шифрует сети больниц, школ, университетов, некоммерческих и государственных организаций. В своем свежем обращении они это подтвердили.

Желающих подрезать кошельки корпоративных игроков все больше, риски ИБ все серьезнее.

Google закрыли еще две 0-day уязвимости высокой критичности в десктопной версии Chrome.

Одна из них содержится в V8, движке JavaScript, а вторая - в компоненте Chrome, отвечающем за изоляцию данных сайтов друг от друга. Других технических подробностей Google пока не дает. Информация об ошибках, согласно описанию, получена из анонимных источников.

За неполный месяц Google закрыли пять (!) 0-day уязвимостей в Chrome, некоторые из которых эксплуатировались хакерами в дикой природе.

Опять обновляться.