Unknown, представитель группы-владельца ransomware REvil, на известном форуме оставил официальное заявление, из которого мы узнаем, что средний выкуп равняется 10 млн. долларов.

А также то, что благодаря работе со СМИ к REvil возросло доверие и одновременно страх со стороны жертв.

А еще вымогатели настроили сервера под DDoS, которые способны свалить ресурсы масштаба asus .com и honeywell .com (об этой тактике Unknown говорил еще в своем октябрьском интервью), и открыли call-центр по прозвону и обработке жертв.

Как мы и ванговали в прошлом году, стоящие за ransomware группировки становятся похожи на большие корпорации с большими возможностями. Но это же создает для них и дополнительные риски OpSec.

А в целом, можно констатировать, что пока что эффективных мер противодействия вымогателям нет и не предвидится.

​​Небольшой дайджест по активности ransomware.

1. В Microsoft заявили о выявлении более 1,5 тыс. серверов Exchange, атакованных ransomware Black Kingdom. Это второй по счету штамм вымогателей, который использует эксплойты входящих в ProxyLogon уязвимостей. По данным телеметрии RiskIQ, жертвы Black Kingdom находятся в США, Канаде, странах ЕС, и даже в России.

2. Владельцы ransomware Сl0p стали применять новую тактику двойного вымогательства по более жесткому давлению на своих жертв с целью их склонения к выплате выкупа. Теперь хакеры делают рассылку клиентам, чьи персональные данные были украдены у жертвы в ходе атаки вымогателя, с угрозами о публикации утекшей информации. Главная цель владельцев ransomware - добиться волны обращений обеспокоенных клиентов к администрации пострадавшей компании.

3. Американский поставщик IT-услуг CompuCom MSP, клиентами которого являются Citibank, Home Depot, Wells Fargo и пр., оценивает ущерб от атаки вымогателя DarkSide в феврале этого года в сумму более 20 млн. долларов. Основная часть расходов приходится на меры по восстановлению возобновлению работы сервисов, а также на «решение некоторых других вопросов, возникших в результате инцидента». Возможно подразумевается выкуп. Компания надеется на то, что половину всех издержек удастся покрыть за счет инструментов киберстрахования.

4. Хорошая новость - владелец ransomware Ziggy помимо выдачи ключей для расшифровки, которую он сделал в феврале, объявил о возврате денежных средств пострадавшим. Судя по всему, причиной такого неординарного поступка послужил резкий рост BTC, благодаря которому хакеры после возврата денег по текущему курсу все равно останутся в хорошей прибыли, а также опасение преследования со стороны правоохранительных органов.

Профессор Дуглас Лейт из Дублинского университета опубликовал результаты исследования трафика, который отправляют смартфоны на базе Android и iOS на сервера Google и Apple соответственно.

Были проанализированы различные этапы работы устройств:
- первый запуск после сброса до заводских настроек;
- вставка и извлечение SIM-карты;
- просмотр пользователей экрана настроек;
- включение/выключение функции геолокации;
- состояние неактивности и пр.

Рассматривались данные, собираемые как самой ОС, так и устанавливаемыми по умолчанию приложениями, например Siri или Google Maps.

Основной вывод - и Android, и iOS передают на родительские сервера телеметрию даже в случае, если пользователь в явном виде отказался от этого.

При этом Android собирает примерно в 20 раз больше данных, чем iOS. В течение первых 10 минут работы изучаемый Pixel отправил на сервера около 1 Мб пользовательских данных, в то время как iPhone - только 42 Кб. Во время бездействия Pixel отправил около 1 Мб за 12 часов, а iPhone - только 52 Кб. В среднем ваш смартфон отправляет собранные данные на сервер каждые 4,5 минуты.

Среди приложений, которые скидывают пользовательскую информацию - Siri, Safari, iCloud, YouTube, Chrome, Google Docs, Google Messaging и др.

Профессор видит две основные проблемы, проистекающие из такого поведения устройств, - во-первых, Google и Apple могут спокойно идентифицировать конечного пользователя, а во-вторых, они могут отслеживать его геолокацию на основе анализа его IP-адресов.

Большой Брат? Так вот же он, у вас в кармане.

Associated Press пишет, что, по данным источников издания, в ходе атаки Sunburst по компрометации ПО компании SolarWinds и последующему взлому ее клиентов хакеры получили доступ к электронной почте высокопоставленных функционеров Министерства национальной безопасности США (DHS), в том числе его руководителя Чеда Вулфа.

Если кто не в курсе, то DHS - это ведомство, которое координирует действия всех спецслужб и правоохранительных органов США по обеспечению национальной безопасности.

Однако, здравствуйте.

​​По поводу массовой распродажи акций китайских IT-компаний и американских медиа-сетей ведущими американскими банками, о которой мы писали вчера, - можно расходиться, кина не будет, это просто биржевые игрища.

Symantec сообщили о двух новых уязвимостях в ядре Linux, которые позволяли обойти защиту от использования знаменитой Spectre. Естественно, что обе дырки уже исправлены.

Напомним, что Spectre вместе с Meltdown в 2018 году стали первыми открытыми ошибками, позволяющими осуществить спекулятивные атаки по стороннему каналу. Посредством спекулятивных атак по стороннему каналу злоумышленник может получить доступ к данным, которые процессор обрабатывает с помощью спекулятивного (или упреждающего) исполнения команд. В результате хакер может заиметь криптоключи, пароли и прочие конфиденциальные данные, которые находятся в памяти процессора.

CVE-2020-27170 и CVE-2020-27171 были найдены Петром Крысюком, исследователем команды Symantec Threat Hunter. Обе уязвимости связаны с поддержкой ядром Linux технологии eBPF (extended Berkeley Packet Filters), движка для парсинга сетевых пакетов и их фильтрации. Обе позволяют получить доступ к содержимому памяти ядра по стороннему каналу.

Эксплуатируя ошибки непривилегированный пользователь может получить доступ к данным в памяти, принадлежащим другим пользователям.

Соответствующие исправления были опубликованы 17 марта и включены в свежие дистрибутивы Linux.

​​Кто бросил валенок на пульт?!

VMware выпустила обновление безопасности, которым закрыла уязвимость CVE-2021-21975 в vRealize Operations, инструменте мониторинга и оптимизации VDI.

Оценка критичности ошибки по CVSS - 8,6, то есть она критичная. Позволяет не прошедшему аутентификацию хакеру реализовать кражу учетных данных администратора.

Что в этом интересного? А то, что уязвимость была найдена Егором Димитренко, исследователем Positive Technologies. Во-первых, в уходящем месяце Позитивы не в первый раз попадают к нам в новостную ленту - недавно они нашли недокументированные инструкции в процессорах Intel.

А во-вторых, это не первая закрытая уязвимость в продуктах VMware, найденная Димитренко - в феврале уже была закрыта CVE-2021-21976 за его авторством. Тогда же была закрыта еще пара дырок, найденных в VMware исследователями Positive Technologies.

С одной стороны хорошо, когда наши ресерчеры находят большие и красивые дырки, с другой стороны - Позитивы ценник на пентест поднимут, к гадалке не ходи.

Правильно. А то дизлайки унижают представителей социальной группы "видеоблогеры".

YouTube начнёт тестировать отключение счётчика дизлайков у некоторых пользователей

В ближайшие несколько недель сервис выберет несколько пользователей для тестирования, которые не смогут видеть количество дизлайков.

Сервис не сообщил, как именно будет проходить отбор, но если интерфейс человека обновится, отказаться от тестирования будет невозможно.

Пользователи всё равно смогут поставить дизлайк, но они не смогут видеть их количество.

Эта функция будет работать по просьбе создателей видео: некоторых из них пользователи специально «атакуют» дизлайками.

Сами авторы, к слову, по-прежнему смогут видеть количество дизлайков на видео в своём личном кабинете.

Вчера Лаборатория Касперского выпустила отчет о новом хитроумном вредоносе Ecipekac, который использовала китайская APT 10 aka Stone Panda.

APT 10 aka Stone Panda - это старая китайская хакерская группа, которая, как считается, работает под контролем МГБ КНР. Имеют достаточно богатую историю атак, среди которых можно выделить:
- Operation Soft Cell, направленную на долгосрочный взлом телекоммуникационных операторов и продолжавшуюся на протяжении как минимум пяти лет. Атаки были направлены на получение доступа к CDR (те кто в курсе, что такое CDR - медленно фалломорфируют);
- приписываемая APT 10 атака в январе 2019 года на Airbus, в ходе которой утекли конфиденциальные данные авиапроизводителя.

В конце 2018 года Директор ФБР выдвинул обвинения в отношении двух граждан КНР, Чжу Хуа и Чжана Шилонга, которых американцы подозревали в участии в составе APT 10 в атаках на более чем 45 организаций по всему миру в период с 2006 по 2018 годы. Среди жертв он назвал даже НАСА и Министерство энергетики США. Следом за американцами подтянулся Евросоюз, также объявивший санкции.

Но китайцам "все по херу, что Боб Марли, что Есенин", они и после обвинений от США и ЕС продолжили заниматься проведением киберопераций, одну из которых и нашли Касперские в 2019 году. Продолжавшаяся до декабря 2020 года кибершпионская кампания была направлена на промышленные объекты, в том числе японские.

Для первичной компрометации атакуемой сети хакеры использовали уязвимости в Pulse VPN (мы все помним про уязвимости в Pulse VPN) или применяли украденные ранее учетные данные.

В ходе проникновения злоумышленники использовали оригинальные вредоносы - многослойный загрузчик Ecipekac, а также полезную нагрузку в виде безфайловых трояна удаленного доступа P8RAT и бэкдора SodaMaster. Ecipekac в своей работе использует достаточно редкую технику обхода цифровой подписи, которая впервые была представлена на BlackHat 2016.

Проанализировав TTPs Касперские смогли весьма аргументировано атрибутировать стоящую за кибероперацией хакерскую группу как APT 10 по множеству совпадений в техниках, коде вредоносов и в используемой инфраструктуре. К примеру, в SodaMaster был жестко зашит URL, ранее использовавшийся APT 10 в атаках на турецкие финансовый и телекоммуникационный секторы.

Касперские обещают и дальше следить за проделками китайских хакеров из APT 10 aka Stone Panda, ну а мы будем следить за Касперскими (хе-хе).

Исследователи из калифорнийской Proofpoint выявили фишинговую кампанию, приписываемую иранской APT TA453 aka Charming Kitten и направленную на медицинских специалистов из США и Израиля, специализирующихся на генетических, неврологических и онкологических исследованиях. Proofpoint назвали ее BadBlood.

Хакеры использовали адрес электронной почты на Gmail от имени известного израильского физика Даниэля Зайфмана. В качестве приманки использовались письма на тематику ядерного потенциала Израиля (не очень понятно, почему это должно было заинтересовать медиков). Внутри была вредоносная ссылка на фишинговый домен, с помощью которого злоумышленники собирали учетные данные Microsoft.

По словам исследователей в качестве потенциальных жертв выступали по крайней мере 25 топовых специалистов из американских и израильских медицинских исследовательских организаций.

Сразу скажем, что атрибуция у Proofpoint так себе - никакой конкретики (в отличие, к примеру, от отчета Касперских, про который мы рассказали в прошлом посте). Да и упоминание иранского КСИР, как курирующего Charming Kitten ведомства, дана с оговоркой, что прямых тому свидетельств у исследователей нет.

Российский Центробанк все настойчивее пытается внедрить Единую биометрическую систему (сокращенно - ЁБС). Одним из требований ЦБ является обеспечение со стороны банков возможности у клиентов-физлиц получать банковские услуги с помощью мобильного приложения без личного присутствия после идентификации.

Как мы понимаем, ЦБ хочет полностью заменить личное присутствие клиента в отделении банка на мобильный функционал. И поможет в этом ̶н̶а̶у̶к̶а̶ ̶к̶и̶б̶е̶р̶н̶е̶т̶и̶к̶а̶ магия биометрии.

Не говоря в сотый раз про то, каким образом в России подходят к решению вопросов безопасности пользовательских данных (подсказка - подходят плохо), и не вспоминая известные утечки информации из банков, в том числе самых крупных, можно посмотреть как дела обстоят у более продвинутых в этом плане соседей.

Как сообщает The Register, двое граждан Китая, который чуть ли не первым в мире стал внедрять процесс проверки личности с помощью распознавания лиц, были задержаны за мошенничество с помощью обмана сервиса проверки личности Государственной налоговой администрации.

Изначально получив фотографии в высоком разрешении подозреваемые создали на их основе видео с помощью "широко доступного" приложения. Затем они взломали (или купили взломанный, тут неясно) смартфон, который позволял использовать заранее загруженные видеоролики как изображение с камеры устройства.

Система распознавания лиц все это скушала и подтвердила личность мошенников, как людей, изображенных в видео. Далее преступники создали множество фальшивых счетов, которые должны были быть оплачены.

Кроме того, подозреваемые взломали приложение для выдачи бизнес-лицензий и добавили собственные лица как законных пользователей. Занимались они всем этим безобразием с 2018 года.

Комментарии излишни.

Google Threat Analysis Group пишут, что обнаружили сайт, который, вероятно, был создан хакерами из КНДР для продолжения выявленной в январе 2021 года кампании, направленной на компрометацию инфосек экспертов.

Напомним, что начиная с середины 2020 года хакеры из APT Lazarus создали сеть аккаунтов фейковых исследователей в области информационной безопасности, а также фейковый блог, с позиций которых стали пытаться атаковать своих жертв. В январе кибероперацию выявили и все зачистили.

В марте Google обнаружили сайт securielite .com, принадлежащий якобы турецкой инфосек компании Securielite, содержащий тот же публичный PGP ключ, который северокорейцы использовали в прошлой атаке. Кроме того, они нашли несколько связанных с ним аккаунтов в Twitter и LinkedIn, например "HR Director компании Trend Macro" 😂

Исследователи говорят, что не обнаружили какого-либо вредоносного кода на сайт Securielite, в силу чего полагают, что вскрыли операцию Lazarus еще на стадии развертывания инфраструктуры.

Все аккаунты, в том числе топ-менеджера Trend Macro, на всякий случай превентивно забанили.

​​Note: текст в курсиве является первоапрельским розыгрышем.

Ну что же, все тайное рано или поздно становится явным.

Некоторые из наших подписчиков уже догадались, кто стоит за каналом SecAtor. Теперь можно сказать это официально.

Наш канал с самого начала был проектом компании Group-IB.

На сегодняшний день Group-IB - это одна из ведущих инфосек компаний не только в России, но и в мире. Наверное, все в отрасли инфосек знают про Threat Detection System (TDS), а новая система Threat Intelligence & Attribution является одной из самых продвинутых в области расследования и атрибуции кибератак как со стороны коммерческих хакерских групп, так и за авторством прогосударственных APT.

Предлагаем всем интересующимся принять участие в практических онлайн-курсах, которые проводит Group-IB:

- Threat Hunter, на котором можно познакомиться с самыми актуальными техниками, применяемыми охотниками за угрозами;

- Incident Responder, трехдневный интенсив по реагированию на инциденты;

- Malware Analyst, курс по теории и практике анализа вредоносного кода.

Наиболее успешные выпускники онлайн-курсов будут рассмотрены как кандидаты на трудоустройство в штат Group-IB.

Ну а если вы еще раздумываете, то сообщаем, что по промокоду SecAtorClass21 вас ждет 15% скидка на указанные курсы.

Что бывает, когда вопросами обеспечения непрерывности бизнеса рулят блондинки и мужчины, которые заправляют джинсы в сапоги?

ZDNet опубликовали сегодня статью по результатам интервью нового руководителя британского Национального центра кибербезопасности (NCSC) Линди Кэмерон.

Так вот Линди (брюнетка, заметим) среди посылов о том, что советы директоров компаний должны обращать должное внимание не только на план аудита на следующий год, но и на вопросы информационной безопасности, сообщила, что общалась с пострадавшими от атак ransomware организациями, у которых таки были планы по восстановлению бизнеса в случае атаки вымогателя.

Но только они не были распечатаны.

Итак, первое апреля подошло к концу, а заодно и наша шутка.

Часы бьют двенадцать раз, Золушка превращается в овощ, а наш канал снова становится независимым и анонимным.

Как вы наверняка догадались пост про нашу аффилированность c компанией Group-IB был первоапрельским розыгрышем. Но не весь!

Информация про онлайн-курсы ГрИБов, а также указанный нами промокод на скидку, - это всерьез. Так что учитесь и просвещайтесь.

А мы пока пойдем к себе в подвал, чтобы, близоруко щурясь в экраны ЭЛТ-мониторов, накопать новых интересностей из мира инфосек.

Исследователь Микко Кенттала рассказал технические подробности выявленной им в прошлом году zero-click (то есть не требовавшей от объекта атаки каких-либо действий) уязвимости CVE-2020-9922 в macOS Mail . Он нашел ее в мае прошлого года, о чем сообщил Apple в рамках их программы Bug Bounty, а в июле в версии Catalina 10.15.6 дырка была закрыта.

Но Apple решили пожмотиться и по сию пору не могут оценить размер вознаграждения, которое полагается исследователю. По этой причине Кенттала и решил обнародовать техническую информацию об уязвимости.

Ошибка содержится в механизме автоматической распаковки приложением Mail вложений, которые были автоматически сжаты другим пользователем Mail. Части несжатых данных не очищаются из временного каталога, благодаря чему хакер может получить несанкционированный доступ к записи в $ HOME/Library/Mail.

Это, в свою очередь, повлечет возможность изменения конфигурации приложения Mail и, к примеру, настройки автоматической переадресации входящих сообщений или распространения эксплойта по адресной книге жертвы. Исследователь допускает также, что дальнейшая разработка этой уязвимости могла бы привести к возможности удаленного выполнения кода (RCE).

Микко Кенттала - молодец, Apple - скряги.