Attention! Сайт telegram-us .com распространяет вредоносы под видом установок Telegram.
Малварь, кстати, определяется только четырьмя антивирусами, если верить VirusTotal.
Малварь, кстати, определяется только четырьмя антивирусами, если верить VirusTotal.
Twitter
Alan Neilan
looks like we got a new one. this time, it's targeting telegram users: telegram-us[.]com (behind cloudflare) gonna take a look at where it links
Forwarded from Эксплойт | Live
Электромобили Tesla можно купить за биткоины
А Илон Маск обещает не переводить криптовалюту в доллары — об этом он сообщил в своём Twitter.
Причём, при оплате покупатели не будут терять на конвертации в доллары: криптовалюта будет приниматься компанией Tesla напрямую.
К слову, возможность оплаты биткоинами уже появилась на сайте Tesla.
К примеру, комиссию за заказ нового электромобиля в размере $100 уже можно оплатить биткоинами.
Пока это доступно лишь жителям США, но Илон пояснил, что возможность оплаты биткоинами у покупателей из других стран появится позже в этом году.
Кстати, на сайте Tesla показан весь процесс оплаты криптовалютой.
А Илон Маск обещает не переводить криптовалюту в доллары — об этом он сообщил в своём Twitter.
Причём, при оплате покупатели не будут терять на конвертации в доллары: криптовалюта будет приниматься компанией Tesla напрямую.
К слову, возможность оплаты биткоинами уже появилась на сайте Tesla.
К примеру, комиссию за заказ нового электромобиля в размере $100 уже можно оплатить биткоинами.
Пока это доступно лишь жителям США, но Илон пояснил, что возможность оплаты биткоинами у покупателей из других стран появится позже в этом году.
Кстати, на сайте Tesla показан весь процесс оплаты криптовалютой.
Мы писали позавчера про атаку ransomware на одну из крупнейших американских страховых компаний CNA Financial, имеющую годовой доход в 10 млрд. долларов.
BleepingComputer подвез подробностей в отношении этой атаки.
Оказывается CNA Financial стала жертвой нового вымогателя Phoenix CryptoLocker. 21 марта хакеры скомпрометировали сеть страховой компании, развернули вымогатель и зашифровали более 15 тыс. устройств. Причем пострадали даже компьютеры сотрудников, которые работали на удаленке и были подключены к корпоративному VPN.
Так что если вы думаете, что сидя дома на удаленном офисе можете избежать последствий от атак на вашего прекрасного работодателя, то не факт. В наше время прекрасность компании должна оцениваться с точки зрения того, как у нее обстоят дела в области информационной безопасности.
Штамм Phoenix CryptoLocker добавляет к зашифрованным файлам расширение .phoenix и создает записку с требованием выкупа с названием PHOENIX-HELP.txt и изображением Феникса внутри.
Журналисты, со ссылкой на свои источники, утверждают, что Phoenix CryptoLocker является новым штаммом ransomware, принадлежащем Evil Corp. Основой для этого, якобы, служит сходство в коде.
Между тем, как заявили американские исследователи из CrowdStrike, появившееся в декабре прошлого года ransomware Hades является ни чем иным как перелицованным вариантом WastedLocker, принадлежащего тем же Evil Corp. Вымогатель, в частности, был задействован хакерами для атаки на американского транспортного гиганта Forward Air.
По мнению исследователей, таким образом Evil Corp пытаются выйти из под санкций американского Минфина, которые запрещают компаниям в американской юрисдикции каким-либо образом взаимодействовать с Evil Corp, в том числе выплачивать им выкуп за расшифровку файлов после атаки связанных с хакерской группой штаммов ransomware .
BleepingComputer подвез подробностей в отношении этой атаки.
Оказывается CNA Financial стала жертвой нового вымогателя Phoenix CryptoLocker. 21 марта хакеры скомпрометировали сеть страховой компании, развернули вымогатель и зашифровали более 15 тыс. устройств. Причем пострадали даже компьютеры сотрудников, которые работали на удаленке и были подключены к корпоративному VPN.
Так что если вы думаете, что сидя дома на удаленном офисе можете избежать последствий от атак на вашего прекрасного работодателя, то не факт. В наше время прекрасность компании должна оцениваться с точки зрения того, как у нее обстоят дела в области информационной безопасности.
Штамм Phoenix CryptoLocker добавляет к зашифрованным файлам расширение .phoenix и создает записку с требованием выкупа с названием PHOENIX-HELP.txt и изображением Феникса внутри.
Журналисты, со ссылкой на свои источники, утверждают, что Phoenix CryptoLocker является новым штаммом ransomware, принадлежащем Evil Corp. Основой для этого, якобы, служит сходство в коде.
Между тем, как заявили американские исследователи из CrowdStrike, появившееся в декабре прошлого года ransomware Hades является ни чем иным как перелицованным вариантом WastedLocker, принадлежащего тем же Evil Corp. Вымогатель, в частности, был задействован хакерами для атаки на американского транспортного гиганта Forward Air.
По мнению исследователей, таким образом Evil Corp пытаются выйти из под санкций американского Минфина, которые запрещают компаниям в американской юрисдикции каким-либо образом взаимодействовать с Evil Corp, в том числе выплачивать им выкуп за расшифровку файлов после атаки связанных с хакерской группой штаммов ransomware .
BleepingComputer
Insurance giant CNA hit by new Phoenix CryptoLocker ransomware
Insurance giant CNA has suffered a ransomware attack using a new variant called Phoenix CryptoLocker that is possibly linked to the Evil Corp hacking group.
The Record сообщают об исследовании компании AdaptiveMobile, посвященном новым уязвимостям стандарта 5G.
Уязвимости касаются механизма разделения сети 5G на части, который может быть использован при постепенной замене старых сетей на новое поколение. По причине "отсутствия сопоставления между идентификаторами прикладного и транспортного уровней" злоумышленник может выдать себя за легитимный узел сотовой сети, благодаря чему осуществить атаку на отказ в обслуживании (не совсем понятно - атаку на абонента или на оборудование оператора), а также получить абонентские данные, например, его геолокацию.
AdaptiveMobile уведомили об уязвимостях GSMA, а также организацию 3GPP, отвечающую за разработку стандарта 5G. Видимо они выразят озабоченность и рекомендуют рассматривать соответствующие запросы как "подозрительные" (сарказм).
Что же, теперь кроме старых дырок в ОКС-7, злоумышленники будут использовать для атак на абонентов еще и новые уязвимости в 5G. Улыбаемся и машем.
Уязвимости касаются механизма разделения сети 5G на части, который может быть использован при постепенной замене старых сетей на новое поколение. По причине "отсутствия сопоставления между идентификаторами прикладного и транспортного уровней" злоумышленник может выдать себя за легитимный узел сотовой сети, благодаря чему осуществить атаку на отказ в обслуживании (не совсем понятно - атаку на абонента или на оборудование оператора), а также получить абонентские данные, например, его геолокацию.
AdaptiveMobile уведомили об уязвимостях GSMA, а также организацию 3GPP, отвечающую за разработку стандарта 5G. Видимо они выразят озабоченность и рекомендуют рассматривать соответствующие запросы как "подозрительные" (сарказм).
Что же, теперь кроме старых дырок в ОКС-7, злоумышленники будут использовать для атак на абонентов еще и новые уязвимости в 5G. Улыбаемся и машем.
The Record
New 5G protocol vulnerabilities allow location tracking
Security researchers have identified new vulnerabilities in the 5G protocol that could be abused to crash network segments and extract user data, such as location information.
Ну и под конец рабочей недели немного конспирологии и здравой паранойи.
Совсем скоро, с 1 апреля производители смартфонов и планшетов должны будут предустанавливать на свои устройства список российского ПО, который был утвержден распоряжением российского Правительства №3704-р от 31 декабря 2020 года.
Не будем ломать копья по поводу необходимости самой такой меры, тем более решение уже принято и вот-вот вступит в силу. И если часть ПО из списка, такое как соцсети Вконтакте и Одноклассники (в конце концов, предустановленные Facebook и Twitter никого не возмущают), Госуслуги, MirPay или Kaspersky Internet Security (конкуренция тут, конечно, не проходила, но пусть лучше так, чем никак совсем) мы еще можем понять, то вот к мессенджеру ICQ от Mail .ru Group у нас большие вопросы.
Напомним, что созданная в 1996 году компанией Mirabillis Аська сначала перешла к AOL, а потом в 2010 году ее купил российский фонд DST, созданный Юрием Мильнером, который затем в результате преобразований стал Mail .ru Group.
Уже на момент покупки ICQ была весьма спорным активом - с пика в 100 млн. пользователей в 2001 году мессенджер скатился до немногим более 33 млн. пользователей в 2010. Вдобавок, насколько мы слышали, у DST возникли проблемы с переносом серверов ICQ из США, когда американская SEC под угрозой разрыва сделки настояла, чтобы их оставили "где стояло". Признаемся, правда, что чем закончился этот кейс мы не в курсе.
В итоге, по данным Mediascope, в 2020 году российская аудитория перезапущенной мобильной ICQ New составляла немногим более 400 тысяч.
И вот такое непонятно что включили в список предустановленного ПО. Ясно дело, что этот шаг несомненно поможет Mail .ru Group существенно увеличить аудиторию Аськи, однако у нас есть есть мнение по поводу еще одной причины такого решения.
Дело в том, что множество олдфагов, увидя на своем смартфоне приложение ICQ, станут логиниться под своим старым аккаунтом. И "совершенно случайно" привяжут к своему номеру мобильного телефона всю старую переписку, которую они вели 15-20 лет назад, когда понятия о конфиденциальности в сети сводились к паролям больше 6 знаков и блокированию экрана горячей клавишей "Босс идет". А что там в этой переписке было - и сам пользователь уже не вспомнит.
Следи за собой, будь осторожен (с).
Совсем скоро, с 1 апреля производители смартфонов и планшетов должны будут предустанавливать на свои устройства список российского ПО, который был утвержден распоряжением российского Правительства №3704-р от 31 декабря 2020 года.
Не будем ломать копья по поводу необходимости самой такой меры, тем более решение уже принято и вот-вот вступит в силу. И если часть ПО из списка, такое как соцсети Вконтакте и Одноклассники (в конце концов, предустановленные Facebook и Twitter никого не возмущают), Госуслуги, MirPay или Kaspersky Internet Security (конкуренция тут, конечно, не проходила, но пусть лучше так, чем никак совсем) мы еще можем понять, то вот к мессенджеру ICQ от Mail .ru Group у нас большие вопросы.
Напомним, что созданная в 1996 году компанией Mirabillis Аська сначала перешла к AOL, а потом в 2010 году ее купил российский фонд DST, созданный Юрием Мильнером, который затем в результате преобразований стал Mail .ru Group.
Уже на момент покупки ICQ была весьма спорным активом - с пика в 100 млн. пользователей в 2001 году мессенджер скатился до немногим более 33 млн. пользователей в 2010. Вдобавок, насколько мы слышали, у DST возникли проблемы с переносом серверов ICQ из США, когда американская SEC под угрозой разрыва сделки настояла, чтобы их оставили "где стояло". Признаемся, правда, что чем закончился этот кейс мы не в курсе.
В итоге, по данным Mediascope, в 2020 году российская аудитория перезапущенной мобильной ICQ New составляла немногим более 400 тысяч.
И вот такое непонятно что включили в список предустановленного ПО. Ясно дело, что этот шаг несомненно поможет Mail .ru Group существенно увеличить аудиторию Аськи, однако у нас есть есть мнение по поводу еще одной причины такого решения.
Дело в том, что множество олдфагов, увидя на своем смартфоне приложение ICQ, станут логиниться под своим старым аккаунтом. И "совершенно случайно" привяжут к своему номеру мобильного телефона всю старую переписку, которую они вели 15-20 лет назад, когда понятия о конфиденциальности в сети сводились к паролям больше 6 знаков и блокированию экрана горячей клавишей "Босс идет". А что там в этой переписке было - и сам пользователь уже не вспомнит.
Следи за собой, будь осторожен (с).
Только мы решили расслабиться и пойти игрануть в Квиз в уютном московском баре, как подъехали данные о суперскилованной элитной APT, которую ранее нашли Google Project Zero.
Тогда в рамках своей программы "В дикой природе" исследователи обнаружили две компании неустановленной хакерской группы, вероятно прогосударственной, которая меньше чем за год использовала 11(!) 0-day уязвимостей. При этом хакеры шифровались настолько хорошо, что Project Zero так и не установили ни целей киберопераций, ни кто за ними стоит. Также Google не предоставили никаких TTPs, что само по себе в этой ситуации было весьма необычно.
И вот сегодня в MIT Technology Review вышел материал за авторством главного редактора раздела инфосек Патрика О'Нилла, в котором он раскрывает всю подноготную.
По данным издания, вскрытые исследователями киберкампании проводились неназванной APT, работающей на одно из западных правительств, и были направлены на контртеррористическую борьбу, и Google были в курсе этого.
Тем не менее, учитывая значимость найденных множественных 0-day уязвимостей (а часть из них была к тому же в Google Chrome), Project Zero решили раскрыть публике данные о них, не предоставляя при этом никаких сведений, которые способствовали бы атрибуции стоящей за атаками прогосударственной хакерской группы.
Аплодируем смелости Google стоя!
Теперь, по информации MIT Technology Review, к компании появились вопросы у Разведсообщества США, которые могут превратиться во вполне реальные проблемы для Google, а скорее для некоторых из ее функционеров. Это же намекает, что за кибероперацией с большой долей вероятности стояли Equation либо Lamberts.
Тем временем напомним, что аналогичное раскрытие Касперскими в 2018 году хакерской активности американского Командования специальных операций (SOCOM) в рамках кибероперации Slingshot послужило одним из основных аргументов для окукливания российской компании на рынке США.
А мы ведь знали!
Тогда в рамках своей программы "В дикой природе" исследователи обнаружили две компании неустановленной хакерской группы, вероятно прогосударственной, которая меньше чем за год использовала 11(!) 0-day уязвимостей. При этом хакеры шифровались настолько хорошо, что Project Zero так и не установили ни целей киберопераций, ни кто за ними стоит. Также Google не предоставили никаких TTPs, что само по себе в этой ситуации было весьма необычно.
И вот сегодня в MIT Technology Review вышел материал за авторством главного редактора раздела инфосек Патрика О'Нилла, в котором он раскрывает всю подноготную.
По данным издания, вскрытые исследователями киберкампании проводились неназванной APT, работающей на одно из западных правительств, и были направлены на контртеррористическую борьбу, и Google были в курсе этого.
Тем не менее, учитывая значимость найденных множественных 0-day уязвимостей (а часть из них была к тому же в Google Chrome), Project Zero решили раскрыть публике данные о них, не предоставляя при этом никаких сведений, которые способствовали бы атрибуции стоящей за атаками прогосударственной хакерской группы.
Аплодируем смелости Google стоя!
Теперь, по информации MIT Technology Review, к компании появились вопросы у Разведсообщества США, которые могут превратиться во вполне реальные проблемы для Google, а скорее для некоторых из ее функционеров. Это же намекает, что за кибероперацией с большой долей вероятности стояли Equation либо Lamberts.
Тем временем напомним, что аналогичное раскрытие Касперскими в 2018 году хакерской активности американского Командования специальных операций (SOCOM) в рамках кибероперации Slingshot послужило одним из основных аргументов для окукливания российской компании на рынке США.
А мы ведь знали!
MIT Technology Review
Google’s top security teams unilaterally shut down a counterterrorism operation
A decision to shut down exploits being used by "friendly" hackers has caused controversy inside the company's security teams.
Forbes сообщают, что в минувшую пятницу американские банки Goldman Sachs и Morgan Stanley устроили масштабную распродажу акций китайский IT-компаний и американских медиа-групп. Аж на 19 млрд. долларов.
К примеру, Goldman Sachs продал акций Baidu, Tencent (китайский музыкальный стриминг) и Vishop Holdings (китайский гигант онлайн-продаж) на 6,6 млрд. долларов.
Morgan Stanley же в течение дня двумя порциями распродал акции в общей сложности на 8 млрд. долларов.
В результате этих действий совокупная капитализация китайских IT-гигантов, акции которых продавали банкиры, упала на 35 млрд. долларов. Трейдеры в шоке.
Мы не специалисты в биржевых махинациях, поэтому делать какие-либо далекоидущие выводы не будем. Но с точки зрения нас как обывателей - американские банкстеры что-то такое знают, из-за чего решили резко скинуть китайские акции. Возможно, что это свидетельство дальнейшего развертывания технологической войны между Китаем и США.
Например, планируемых санкций в отношении всех китайских технологических компаний, которые вынудят их уйти с американских и европейских финансовых рынков.
К примеру, Goldman Sachs продал акций Baidu, Tencent (китайский музыкальный стриминг) и Vishop Holdings (китайский гигант онлайн-продаж) на 6,6 млрд. долларов.
Morgan Stanley же в течение дня двумя порциями распродал акции в общей сложности на 8 млрд. долларов.
В результате этих действий совокупная капитализация китайских IT-гигантов, акции которых продавали банкиры, упала на 35 млрд. долларов. Трейдеры в шоке.
Мы не специалисты в биржевых махинациях, поэтому делать какие-либо далекоидущие выводы не будем. Но с точки зрения нас как обывателей - американские банкстеры что-то такое знают, из-за чего решили резко скинуть китайские акции. Возможно, что это свидетельство дальнейшего развертывания технологической войны между Китаем и США.
Например, планируемых санкций в отношении всех китайских технологических компаний, которые вынудят их уйти с американских и европейских финансовых рынков.
Forbes.ru
«В высшей степени необычно»: Goldman Sachs и Morgan Stanley за день распродали акции на $19 млрд
Goldman Sachs и Morgan Stanley в пятницу устроили крупную распродажу акций китайских IT-гигантов и американских компаний, совершив сделки почти на $19 млрд. Трейдеры задаются вопросами, что стоит за беспрецедентной ликвидацией активов и могут ли бан
На всякий случай напоминаем, что в пятницу вечером Apple выпустили срочное обновление безопасности для iOS, iPadOS и watchOS, которое исправляет критическую 0-day уязвимость CVE-2021-1879.
Очередную ошибку в браузерном движке Webkit (если нам не изменяет склероз - это уже шестая 0-day в WebKit с начала года) обнаружили исследователи Google Threat Analysis Group. Она позволяет хакеру осуществить межсайтовый скриптинг (XSS). Технических подробностей, как обычно, нет. Ресерчеры говорят, что уязвимость использовалась в дикой природе.
У нас сразу возникает подозрение - а не та ли это уязвимость, которую нашли Google Project Zero в недавней скандальной истории про то, как они поломали контртеррористическую операцию американских спецслужб?
Как бы там ни было, всем пользователям яблочных устройств необходимо срочно обновиться.
Очередную ошибку в браузерном движке Webkit (если нам не изменяет склероз - это уже шестая 0-day в WebKit с начала года) обнаружили исследователи Google Threat Analysis Group. Она позволяет хакеру осуществить межсайтовый скриптинг (XSS). Технических подробностей, как обычно, нет. Ресерчеры говорят, что уязвимость использовалась в дикой природе.
У нас сразу возникает подозрение - а не та ли это уязвимость, которую нашли Google Project Zero в недавней скандальной истории про то, как они поломали контртеррористическую операцию американских спецслужб?
Как бы там ни было, всем пользователям яблочных устройств необходимо срочно обновиться.
Apple Support
About the security content of iOS 14.4.2 and iPadOS 14.4.2
This document describes the security content of iOS 14.4.2 and iPadOS 14.4.2.
Немецкое издание Spiegel нашло очередных русских хакеров. По сообщению журналистов, обнаружена фишинговая атака на 7 депутатов Бундестага и 31 депутата региональных парламентов Германии.
Основные цели - депутаты от правящей коалиции ХДС/ХСС и СДПГ. Задача фишинга - увод учетных записей, принадлежащих жертвам.
По заявлению Spiegel, к атаке причастны русские хакеры из APT GhostWriter, работающей на ГРУ. Это был наркоманский трип немецких журналистов.
А теперь фактура. Хакерской группы Ghostwriter не существует, это название киберкампании влияния, которую в 2020 году описали исследователи из FireEye, объединив в единое целое нескольких информационных операций. В своем отчете американцы специально подчеркнули, что они "не связывают кампанию Ghostwriter с конкретным актором или группой акторов".
Ghostwriter - это, в первую очередь, информационно-пропагандистские операции, направленные на подрыв доверия к НАТО среди населения Литвы, Латвии и Польши. Основное их содержание - распространение информационных материалах на сайтах, в блогах и социальных сетях. Единственным, что связывало Ghostwriter с хакерской активностью, была наблюдаемая FireEye деятельность по взлому отдельных новостных сайтов в целях размещения на них фейковых новостей.
Ни о каких фишинговых кампаниях FireEye речи не вели, никаких TTPs не приводили. И уж тем более не атрибутировали стоящих за Ghostwriter акторов как принадлежащих ГРУ. Что не отменяет, само собой, совпадения направленности этой киберкампании с внешнеполитическими интересами России.
Но всем пофиг и по сети понеслась волна материалов о взломе со стороны ГРУ депутатов немецкого Бундестага. "I don't give a Fuck!" - как бы говорят нам инфосек журналисты.
Основные цели - депутаты от правящей коалиции ХДС/ХСС и СДПГ. Задача фишинга - увод учетных записей, принадлежащих жертвам.
По заявлению Spiegel, к атаке причастны русские хакеры из APT GhostWriter, работающей на ГРУ. Это был наркоманский трип немецких журналистов.
А теперь фактура. Хакерской группы Ghostwriter не существует, это название киберкампании влияния, которую в 2020 году описали исследователи из FireEye, объединив в единое целое нескольких информационных операций. В своем отчете американцы специально подчеркнули, что они "не связывают кампанию Ghostwriter с конкретным актором или группой акторов".
Ghostwriter - это, в первую очередь, информационно-пропагандистские операции, направленные на подрыв доверия к НАТО среди населения Литвы, Латвии и Польши. Основное их содержание - распространение информационных материалах на сайтах, в блогах и социальных сетях. Единственным, что связывало Ghostwriter с хакерской активностью, была наблюдаемая FireEye деятельность по взлому отдельных новостных сайтов в целях размещения на них фейковых новостей.
Ни о каких фишинговых кампаниях FireEye речи не вели, никаких TTPs не приводили. И уж тем более не атрибутировали стоящих за Ghostwriter акторов как принадлежащих ГРУ. Что не отменяет, само собой, совпадения направленности этой киберкампании с внешнеполитическими интересами России.
Но всем пофиг и по сети понеслась волна материалов о взломе со стороны ГРУ депутатов немецкого Бундестага. "I don't give a Fuck!" - как бы говорят нам инфосек журналисты.
Spiegel
Russische Gruppe »Ghostwriter« attackiert offenbar Parlamentarier
Erneut haben Hacker Politiker angegriffen. Nach SPIEGEL-Informationen sind sieben Bundestags- und 31 Landtagsabgeordnete betroffen. Die Sicherheitsbehörden vermuten den russischen Geheimdienst GRU hinter der Attacke.
Вчера злодеи скомпрометировали внутренний репозиторий PHP и добавили бэкдор в исходный код.
Первым бэкдор обнаружил чешский программист Майкл Воржишек, который обратил внимание на подозрительный кусок кода и задался вопросом, что тот должен делать. Оказалось, что выполнять код через вызов функции zend-eval-string, содержащийся с подстрокой zerodium (это такая американская компания, покупающая 0-day, видимо хакеры пошутили), передаваемой в HTTP-заголовках.
Сегодня один из основных членов команды PHP Никита Попов подтвердил, что вчера был добавлен вредоносный код от его имени и от имени другого члена команды Расмуса Лердорфа. Он сообщает, что его учетная запись не была скомпрометирована, а взломан был именно сервер репозитория, в связи с чем они переедут на GitHub.
Атака на цепочку поставок.
Первым бэкдор обнаружил чешский программист Майкл Воржишек, который обратил внимание на подозрительный кусок кода и задался вопросом, что тот должен делать. Оказалось, что выполнять код через вызов функции zend-eval-string, содержащийся с подстрокой zerodium (это такая американская компания, покупающая 0-day, видимо хакеры пошутили), передаваемой в HTTP-заголовках.
Сегодня один из основных членов команды PHP Никита Попов подтвердил, что вчера был добавлен вредоносный код от его имени и от имени другого члена команды Расмуса Лердорфа. Он сообщает, что его учетная запись не была скомпрометирована, а взломан был именно сервер репозитория, в связи с чем они переедут на GitHub.
Атака на цепочку поставок.
GitHub
[skip-ci] Fix typo · php/php-src@c730aa2
Fixes minor typo.
Signed-off-by: Rasmus Lerdorf <rasmus@lerdorf.com>
Signed-off-by: Rasmus Lerdorf <rasmus@lerdorf.com>
Unknown, представитель группы-владельца ransomware REvil, на известном форуме оставил официальное заявление, из которого мы узнаем, что средний выкуп равняется 10 млн. долларов.
А также то, что благодаря работе со СМИ к REvil возросло доверие и одновременно страх со стороны жертв.
А еще вымогатели настроили сервера под DDoS, которые способны свалить ресурсы масштаба asus .com и honeywell .com (об этой тактике Unknown говорил еще в своем октябрьском интервью), и открыли call-центр по прозвону и обработке жертв.
Как мы и ванговали в прошлом году, стоящие за ransomware группировки становятся похожи на большие корпорации с большими возможностями. Но это же создает для них и дополнительные риски OpSec.
А в целом, можно констатировать, что пока что эффективных мер противодействия вымогателям нет и не предвидится.
А также то, что благодаря работе со СМИ к REvil возросло доверие и одновременно страх со стороны жертв.
А еще вымогатели настроили сервера под DDoS, которые способны свалить ресурсы масштаба asus .com и honeywell .com (об этой тактике Unknown говорил еще в своем октябрьском интервью), и открыли call-центр по прозвону и обработке жертв.
Как мы и ванговали в прошлом году, стоящие за ransomware группировки становятся похожи на большие корпорации с большими возможностями. Но это же создает для них и дополнительные риски OpSec.
А в целом, можно констатировать, что пока что эффективных мер противодействия вымогателям нет и не предвидится.
Небольшой дайджест по активности ransomware.
1. В Microsoft заявили о выявлении более 1,5 тыс. серверов Exchange, атакованных ransomware Black Kingdom. Это второй по счету штамм вымогателей, который использует эксплойты входящих в ProxyLogon уязвимостей. По данным телеметрии RiskIQ, жертвы Black Kingdom находятся в США, Канаде, странах ЕС, и даже в России.
2. Владельцы ransomware Сl0p стали применять новую тактику двойного вымогательства по более жесткому давлению на своих жертв с целью их склонения к выплате выкупа. Теперь хакеры делают рассылку клиентам, чьи персональные данные были украдены у жертвы в ходе атаки вымогателя, с угрозами о публикации утекшей информации. Главная цель владельцев ransomware - добиться волны обращений обеспокоенных клиентов к администрации пострадавшей компании.
3. Американский поставщик IT-услуг CompuCom MSP, клиентами которого являются Citibank, Home Depot, Wells Fargo и пр., оценивает ущерб от атаки вымогателя DarkSide в феврале этого года в сумму более 20 млн. долларов. Основная часть расходов приходится на меры по восстановлению возобновлению работы сервисов, а также на «решение некоторых других вопросов, возникших в результате инцидента». Возможно подразумевается выкуп. Компания надеется на то, что половину всех издержек удастся покрыть за счет инструментов киберстрахования.
4. Хорошая новость - владелец ransomware Ziggy помимо выдачи ключей для расшифровки, которую он сделал в феврале, объявил о возврате денежных средств пострадавшим. Судя по всему, причиной такого неординарного поступка послужил резкий рост BTC, благодаря которому хакеры после возврата денег по текущему курсу все равно останутся в хорошей прибыли, а также опасение преследования со стороны правоохранительных органов.
1. В Microsoft заявили о выявлении более 1,5 тыс. серверов Exchange, атакованных ransomware Black Kingdom. Это второй по счету штамм вымогателей, который использует эксплойты входящих в ProxyLogon уязвимостей. По данным телеметрии RiskIQ, жертвы Black Kingdom находятся в США, Канаде, странах ЕС, и даже в России.
2. Владельцы ransomware Сl0p стали применять новую тактику двойного вымогательства по более жесткому давлению на своих жертв с целью их склонения к выплате выкупа. Теперь хакеры делают рассылку клиентам, чьи персональные данные были украдены у жертвы в ходе атаки вымогателя, с угрозами о публикации утекшей информации. Главная цель владельцев ransomware - добиться волны обращений обеспокоенных клиентов к администрации пострадавшей компании.
3. Американский поставщик IT-услуг CompuCom MSP, клиентами которого являются Citibank, Home Depot, Wells Fargo и пр., оценивает ущерб от атаки вымогателя DarkSide в феврале этого года в сумму более 20 млн. долларов. Основная часть расходов приходится на меры по восстановлению возобновлению работы сервисов, а также на «решение некоторых других вопросов, возникших в результате инцидента». Возможно подразумевается выкуп. Компания надеется на то, что половину всех издержек удастся покрыть за счет инструментов киберстрахования.
4. Хорошая новость - владелец ransomware Ziggy помимо выдачи ключей для расшифровки, которую он сделал в феврале, объявил о возврате денежных средств пострадавшим. Судя по всему, причиной такого неординарного поступка послужил резкий рост BTC, благодаря которому хакеры после возврата денег по текущему курсу все равно останутся в хорошей прибыли, а также опасение преследования со стороны правоохранительных органов.
BleepingComputer
Ransomware admin is refunding victims their ransom payments
After recently announcing the end of the operation, the administrator of Ziggy ransomware is now stating that they will also give the money back.
Профессор Дуглас Лейт из Дублинского университета опубликовал результаты исследования трафика, который отправляют смартфоны на базе Android и iOS на сервера Google и Apple соответственно.
Были проанализированы различные этапы работы устройств:
- первый запуск после сброса до заводских настроек;
- вставка и извлечение SIM-карты;
- просмотр пользователей экрана настроек;
- включение/выключение функции геолокации;
- состояние неактивности и пр.
Рассматривались данные, собираемые как самой ОС, так и устанавливаемыми по умолчанию приложениями, например Siri или Google Maps.
Основной вывод - и Android, и iOS передают на родительские сервера телеметрию даже в случае, если пользователь в явном виде отказался от этого.
При этом Android собирает примерно в 20 раз больше данных, чем iOS. В течение первых 10 минут работы изучаемый Pixel отправил на сервера около 1 Мб пользовательских данных, в то время как iPhone - только 42 Кб. Во время бездействия Pixel отправил около 1 Мб за 12 часов, а iPhone - только 52 Кб. В среднем ваш смартфон отправляет собранные данные на сервер каждые 4,5 минуты.
Среди приложений, которые скидывают пользовательскую информацию - Siri, Safari, iCloud, YouTube, Chrome, Google Docs, Google Messaging и др.
Профессор видит две основные проблемы, проистекающие из такого поведения устройств, - во-первых, Google и Apple могут спокойно идентифицировать конечного пользователя, а во-вторых, они могут отслеживать его геолокацию на основе анализа его IP-адресов.
Большой Брат? Так вот же он, у вас в кармане.
Были проанализированы различные этапы работы устройств:
- первый запуск после сброса до заводских настроек;
- вставка и извлечение SIM-карты;
- просмотр пользователей экрана настроек;
- включение/выключение функции геолокации;
- состояние неактивности и пр.
Рассматривались данные, собираемые как самой ОС, так и устанавливаемыми по умолчанию приложениями, например Siri или Google Maps.
Основной вывод - и Android, и iOS передают на родительские сервера телеметрию даже в случае, если пользователь в явном виде отказался от этого.
При этом Android собирает примерно в 20 раз больше данных, чем iOS. В течение первых 10 минут работы изучаемый Pixel отправил на сервера около 1 Мб пользовательских данных, в то время как iPhone - только 42 Кб. Во время бездействия Pixel отправил около 1 Мб за 12 часов, а iPhone - только 52 Кб. В среднем ваш смартфон отправляет собранные данные на сервер каждые 4,5 минуты.
Среди приложений, которые скидывают пользовательскую информацию - Siri, Safari, iCloud, YouTube, Chrome, Google Docs, Google Messaging и др.
Профессор видит две основные проблемы, проистекающие из такого поведения устройств, - во-первых, Google и Apple могут спокойно идентифицировать конечного пользователя, а во-вторых, они могут отслеживать его геолокацию на основе анализа его IP-адресов.
Большой Брат? Так вот же он, у вас в кармане.
Associated Press пишет, что, по данным источников издания, в ходе атаки Sunburst по компрометации ПО компании SolarWinds и последующему взлому ее клиентов хакеры получили доступ к электронной почте высокопоставленных функционеров Министерства национальной безопасности США (DHS), в том числе его руководителя Чеда Вулфа.
Если кто не в курсе, то DHS - это ведомство, которое координирует действия всех спецслужб и правоохранительных органов США по обеспечению национальной безопасности.
Однако, здравствуйте.
Если кто не в курсе, то DHS - это ведомство, которое координирует действия всех спецслужб и правоохранительных органов США по обеспечению национальной безопасности.
Однако, здравствуйте.
AP NEWS
AP sources: SolarWinds hack got emails of top DHS officials
Suspected Russian hackers gained access to email accounts belonging to the Trump administration's head of the Department of Homeland Security and members of the department's cybersecurity staff whose jobs included hunting threats from foreign countries, The…
Forwarded from SecurityLab.ru (Pipiggi)
Сотрудники итальянской полиции выследили беглого преступника благодаря кулинарным видеороликам, которые он загрузил на YouTube. Предполагаемый член крупной итальянской организованной преступной группировки Ндрангета 53-летний Марк Ферен Клод Бьяр (Marc Feren Claude Biart) тщательно скрывал свое лицо на видеоролике, однако его выдали татуировки на теле.
https://www.securitylab.ru/news/517890.php
https://www.securitylab.ru/news/517890.php
SecurityLab.ru
Бывший мафиози пойман после публикации кулинарного шоу на YouTube
Желание итальянского гангстера продемонстрировать свои кулинарные навыки привело его в тюрьму после семи лет в бегах.
По поводу массовой распродажи акций китайских IT-компаний и американских медиа-сетей ведущими американскими банками, о которой мы писали вчера, - можно расходиться, кина не будет, это просто биржевые игрища.
NY Times
Banks Face Billions in Losses as a Bet on ViacomCBS and Other Stocks Goes Awry
Archegos Capital Management, led by Bill Hwang, couldn’t meet financial demands, creating turmoil on Wall Street and raising questions about the fund’s ties to lenders.
Symantec сообщили о двух новых уязвимостях в ядре Linux, которые позволяли обойти защиту от использования знаменитой Spectre. Естественно, что обе дырки уже исправлены.
Напомним, что Spectre вместе с Meltdown в 2018 году стали первыми открытыми ошибками, позволяющими осуществить спекулятивные атаки по стороннему каналу. Посредством спекулятивных атак по стороннему каналу злоумышленник может получить доступ к данным, которые процессор обрабатывает с помощью спекулятивного (или упреждающего) исполнения команд. В результате хакер может заиметь криптоключи, пароли и прочие конфиденциальные данные, которые находятся в памяти процессора.
CVE-2020-27170 и CVE-2020-27171 были найдены Петром Крысюком, исследователем команды Symantec Threat Hunter. Обе уязвимости связаны с поддержкой ядром Linux технологии eBPF (extended Berkeley Packet Filters), движка для парсинга сетевых пакетов и их фильтрации. Обе позволяют получить доступ к содержимому памяти ядра по стороннему каналу.
Эксплуатируя ошибки непривилегированный пользователь может получить доступ к данным в памяти, принадлежащим другим пользователям.
Соответствующие исправления были опубликованы 17 марта и включены в свежие дистрибутивы Linux.
Напомним, что Spectre вместе с Meltdown в 2018 году стали первыми открытыми ошибками, позволяющими осуществить спекулятивные атаки по стороннему каналу. Посредством спекулятивных атак по стороннему каналу злоумышленник может получить доступ к данным, которые процессор обрабатывает с помощью спекулятивного (или упреждающего) исполнения команд. В результате хакер может заиметь криптоключи, пароли и прочие конфиденциальные данные, которые находятся в памяти процессора.
CVE-2020-27170 и CVE-2020-27171 были найдены Петром Крысюком, исследователем команды Symantec Threat Hunter. Обе уязвимости связаны с поддержкой ядром Linux технологии eBPF (extended Berkeley Packet Filters), движка для парсинга сетевых пакетов и их фильтрации. Обе позволяют получить доступ к содержимому памяти ядра по стороннему каналу.
Эксплуатируя ошибки непривилегированный пользователь может получить доступ к данным в памяти, принадлежащим другим пользователям.
Соответствующие исправления были опубликованы 17 марта и включены в свежие дистрибутивы Linux.
Security
Newly-Discovered Vulnerabilities Could Allow for Bypass of Spectre Mitigations in Linux
Bugs could allow a malicious user to access data belonging to other users.