Управление полиции Вашингтона, столицы США, стало жертвой ransomware Babuk.

Babuk (aka Babyk) - это появившаяся в начале 2021 году банда веселых вымогателей, которые не любят представителей BLM и ЛГБТ.

В результате успешной атаки, произошедшей, вероятно, 19 апреля, у вашингтонской полиции были похищены 250 Гб служебной информации, в которой, в частности, присутствуют материалы разработок местных банд и имена полицейских информаторов. Вымогатели угрожают опубликовать эти данные, если в течение 3 дней представители полиции не свяжутся с ними.

Особое внимание Babuk уделяют сведениям об участниках протеста 6 января, в ходе которого сторонники Трампа ломились в Капитолий.

Вообще говоря, по стилю эта группа чем-то похожа на задорных любителей чучхе из северокорейских APT Lazarus и Kimsuky.

Напомним, что в конце марта Babuk накрячили американскую компанию PDI Group, являющуюся одним из ведущих американских разработчиков и производителей систем управления оружием и вспомогательного оборудования для американских ВВС, ВМС и Командования спецопераций.

Теперь же они угрожают атаковать ФБР и CISA. Как думаете, получится?

Как мы уже говорили сегодня, Apple выкатили iOS 14.5, в которой запустили функцию App Tracking Transparency, анонсированную семь месяцев назад.

Теперь все приложения на iPhone, даже уже установленные, должны будут запрашивать и получать согласие пользователя на сбор информации о его Интернет-активности.

На протяжении последних месяцев планы Apple по введению App Tracking Transparency, а также новые правила для разработчиков приложений, вызывали лютое жжение ниже поясницы у других гигантов IT-рынка, таких как Google и Facebook. Последние так вообще назвали это злоупотреблением властью, что не удивительно - изменения могут сократить доходы Цукерберга на миллиарды долларов в год.

Но мы-то помним, что приложения Facebook и WhatsApp по неясной причине собирают на порядки больше пользовательской информации, чем, например, богоспасаемые Telegram и Signal.

Поэтому единственно верным действием для пользователей iPhone в сложившейся ситуации будет срочно обновить свои устройства до iOS 14.5.

​​Коллеги из Positive Technologies не унывают от введенных американцами санкций и выкатили новый отчет об активности северокорейской APT Lazarus.

Итак, в сентябре 2020 года двое сотрудников неназванной крупной фармацевтической компании, судя по всему российской, получили в выходные дни на свою почту фишинговые документы, содержащие предложения от потенциальных работодателей из General Dynamics Mission Systems. Оба неосторожных пользователя открыли их на своих домашних компьютерах, в результате чего машины были скомпрометированы.

В начале рабочей недели оба сотрудника подключились удаленно к корпоративному серверу RDG (шлюз удаленных рабочих столов) и в результате этого хакеры проникли в корпоративную сеть. В течение двух дней злоумышленники проводили разведку, после чего фактически взяли ее под контроль, получив доступ к нескольким серверам, в том числе к контроллеру домена.

В последнем они создали нового администратора admin $, что и было замечено сисадминами и вызвало проведение проверки силами Позитивов.

Параллельно хакеры через LinkedIn связались с еще одним сотрудником компании, работающим в другом филиале, от лица HR-специалиста компании General Dynamics UK. Далее они отправили фишинговый PDF на электронную почту, который сотрудник и открыл, скомпрометировав таким образом свой компьютер.

Примечательно, что с первого раза жертва не смогла открыть файл, после чего хакеры отправили ей Internal PDF Viewer для просмотра зараженного файла. Nuff said.

В ходе атак злоумышленники использовали бэкдор CommsCacher и троян Agamemnon. По словам Позитивов, оба вредоноса были описаны ранее McAfee, как используемые в ходе кампании Operation North Star, приписываемой Lazarus. Кроме того, бэкдор CommsCacher указывает на связь с киберкампанией Dream Job (мы писали про нее здесь), в ходе которой Lazarus работали под личиной HR-специалистов крупных западных компаний.

Ну а завершим мы этот пост твитом известного инфосек журналиста Каталина Чимпану, который надеется, что попав под санкции Positive Technologies начнут уже наконец вскрывать кибероперации разведки США. Поддержим румына, Позитивы, жгите.

Прямо сейчас в офисе ЛК

​​👆оно и понятно: буквально вчера ФАС оштрафовала компанию Apple на 12 миллионов долларов по заявлению Лаборатории Касперского.

По решению регулятора Apple лишилась права безосновательно отклонять в App Store приложения сторонних разработчиков и отныне обязана не допускать преимущественных условий для приложений собственной разработки, а также обеспечить конкурентные условия для разработчиков приложений "родительского контроля".

​​Мы как-то пропустили эту новость, но вот - в выходные на одном из форумов появилась в продаже база банка ВТБ, содержащая данные его клиентов, включая ФИО, адрес, телефон , электронную почту, а также тип выданной карты.

Теперь вы знаете, кого надо благодарить за нескончаемые звонки от "службы безопасности банка" - конечно же ВТБшный инфосек.

Надеемся их SOC уже в курсе, но если еще нет, то скиньте им ссылку.

Pondurance совместно с Trend Micro сообщают о новинке ransomware под условным наименованием Hello (WickrMe), использующей широко известный эксплойт под CVE-2019-0604 в отношении серверов Microsoft SharePoint. Похоже, что SharePoint теперь присоединились к списку сетевых устройств, используемых для проникновения в корпоративные сети, который включает шлюзы Citrix, балансировщики нагрузки F5 BIG-IP, почтовые серверы Microsoft Exchange, а также сети VPN Pulse Secure, Fortinet и Palo Alto Network.

Первые активности банды Hello (WickrMe) фиксировались еще в конце 2020 года. Тогда группа и получила свой нейминг из-за применения анонимных аккаунтов Wickr для обмена мгновенными сообщениями, чтобы контактов с жертвами и обсуждения выкупа.

Ошибка, о которой Microsoft предупреждала еще год назад, позволяет злоумышленникам получить контроль над сервером SharePoint через веб-оболочку, установить бэкдор (Cobalt Strike) для запуска автоматизированных сценариев PowerShell, которые в конечном итоге реализуют полезную нагрузку - ransomware Hello. При этом эксплойты для этой ошибки стали активно использоваться АРТ27 для проведения атак еще в мае 2019, после чего и попали в сеть.

Несмотря на то, что, по данным Bad Packets, в последнее время каких-либо попыток сканирования серверов SharePoint практически не фиксируются, вполне ожидаемы атаки Hello (WickrMe) путем эксплуатации уже реализованных к настоящему времени бэкдоров на серверах SharePoint. Если вы еще не пропатчили ошибки SharePoint - значит у вас есть время, чтобы озаботиться установкой исправлений . Ну а, мы ждём когда операторы Hello (WickrMe) воспользуются «брокера начального доступа» для реализации новых векторов атак.

​​Вчера мы писали, что владельцы ransomware Babuk угрожают выкинуть в паблик 250 Гб украденной у Управления полиции Вашингтона информации если представители последнего не выйдут с вымогателями на связь.

Видимо, полицейские так и не решились на контакт с хакерами, поэтому они выкинули как последнее китайское предупреждение пять файлов, содержащих личные данные офицеров полиции, включающие их домашние адреса и телефоны.

Следующим, по всей видимости, будут сведения о полицейских информаторах внутри организованной преступности, о чем вымогатели предупреждали ранее. По нашему мнению - дело крайне нехорошее даже для владельцев ransomware, поскольку может угрожать жизни людей.

Евгений Валентинович (tm) разбушевался.

Сначала он нагнул компанию Apple на 12 млн. долларов через ФАС, а теперь решил пройтись по национальным американским шпионам.

Вчера Касперские опубликовали отчет про тренды в активности APT за первый квартал 2021 года. Рекомендуем всем ознакомится, интересные вещи пишут.

Но особенно интересным нам показалось новое упоминание одной из самых таинственных APT - группы Lamberts aka Longhorn, являющейся штатным подразделением американского Центрального разведывательного управления.

По информации Лаборатории Касперского, в феврале 2019 года они, в числе других антивирусных компаний, получили набор образцов вредоносов, большинство из которых были связаны с известными APT.

Некоторые из образцов, которые не получили атрибутирования с конкретными хакерскими группами, привлекли внимание исследователей красотой кода. Вредоносы были скомпилированы в 2014 году и примерно тогда же использовались в атаках.

Хотя конкретных пересечений с известными образцами малвари Касперские не получили, стиль и методы кодирования позволили отнести их к авторству Lamberts. Поэтому исследователи назвали найденный модульный вредонос Purple Lambert, по функционалу он представляет собой RAT (более подробную информацию Касперские обещают в подписочной версии отчета, постараемся добыть и посмотреть).

Обнаруженные образцы Purple Lambert в дикой природе замечены не были.

APT Lamberts - скилованые ЦРУшные хакеры, существование которых было подтверждено Wikileaks в ходе слива информации Vault 7. Информации об их атаках крайне мало, данные давали только Касперские, китайцы из Qihoo 360 и, как не странно, американская Symantec.

Надо бы про них обзор написать.

​​Веселая неделя выдалась у американской репрессивной машины. Не успели еще полицейские Вашингтона разобраться с утечками, организуемыми владельцами ransomware Babuk, как другие вымогатели начали сливать инфу правоохранителей США в сеть.

Как пишет The Record, банда, стоящая за ransomware DoppelPaymer (считается, что это российская Evil Corp), 10 апреля взломала сеть офиса прокурора штата Иллинойс. 21 апреля вымогатели взяли на себя ответственность за атаку и в качестве доказательства слили несколько украденных файлов в паблик.

Поскольку дальнейшие переговоры с офисом прокурора зашли в тупик, то хакеры выкинули на своем сайте утечек большое количество слитой в процессе атаки конфиденциальной информации, включая материалы судебных дел, в том числе не публиковавшиеся в рамках слушаний документы. Кроме того, там содержатся данные в отношении американских заключенных, их дел и жалоб.

Напомним, что ранее DoppelPaymer успешно ломали Foxconn, Pemex, KIA Motors America и многие другие компании, а также сеть Университетской больницы в Дюссельдорфе (UKD), в результате чего погиб не получивший своевременной неотложной помощи пациент.

Кстати, неожиданно для себя обнаружили, что часть сообщества называет этот штамм ransomware DoppelPaymer, а часть - DopplePaymer. Причем оба варианта написания присутствуют и на сайте утечек этого вымогателя. Хотя, как мы понимаем, название было образовано от немецкого Doppelganger, "темный двойник".

Румынская инфосек компания Bitdefender опубликовала отчет об операциях кибершпионажа, которые проводила китайская APT Naikon с июня 2019 по март 2021 года.

В качестве целей выступали военные учреждения стран Юго-Восточной Азии. Основными задачами хакеров было закрепление в скомпрометированной сети, дальнейший сбор конфиденциальной информации и ее отправка на управляющие центры. Для этого злоумышленники использовали два авторских бэкдора - RainyDay и Nabulae, оба обладают функционалом полноценных RAT.

APT Naikon aka Lotus Panda - это довольно старая хакерская группа, которая, как считается, работает на Второй департамент технической разведки НОАК (Unit 78020). Основное направление атак - страны Юго-Восточной Азии, включая Филиппины, Малайзию, Индонезию, Сингапур и Таиланд. В 2015 году китайцы в рамках кибероперации CameraShy

Naikon имеет множественные пересечения с китайской APT Cycldek, она же Hellsing и Goblin Panda, которые позволяют делать выводы о том, что с большой долей вероятности это разные подразделения одной и той же хакерской группы. Так и в этот раз - некоторые выявленные исследователями Bitdefender TTPs, применявшиеся Naikon, схожи с техниками, которые Cycldek использовала в начале апреля для развертывания своего FoundCore RAT при атаке на вьетнамские военные и правительственные организации.

Неприятная новость из медицинской отрасли.

Шведская компания Elekta, поставщик медицинского оборудования, используемого в онкологии и радиологии, на неделе сообщила, что 20 апреля стала жертвой кибератаки на облачное хранилище данных, в результате которой пострадали клиенты компании из США.

Подробности не сообщаются, но судя по всему это была атака оператора ransomware.

И хотя шведы, как многие в таких случаях, говорят о минимальном ущербе, по информации журнала HIPAA, по крайней мере один медицинский центр Yale New Haven Health из Коннектикута был вынужден более чем на неделю отключить свое радиологическое оборудование, которое использовалось для лучевой терапии онкобольным пациентам. Они были переведены для продолжения лечения в другие медицинские учреждения.

Имел ли какие-то последствия для больных перерыв в лучевой терапии - не сообщается. Но от самого факта подобного происшествия мы испытываем идиосинкразию.

Какого рожна оборудование для лучевой терапии критически зависит от работоспособности облачного хранилища? Почему имея такую уязвимую архитектуру компания Elekta не уделила, очевидно, должного внимания вопросам информационной безопасности? И когда уже переведутся слепошарые вымогатели, которые не в состоянии понять потенциальные последствия от своей атаки?

На этом фоне целевая группа экспертов по ransomware Института безопасности и технологий (IST) разработала многостраничный документ по противодействию атакам ransomware, в котором дала список из 48 конкретных мероприятий. В их числе:
- санкции против стран, на территории которых находятся владельцы ransomware (мы об этом еще осенью предупреждали, отключат SWIFT - передавайте привет Evil Corp);
- создание в США специализированных рабочих групп по борьбе с ransomware и наделение их особыми международными полномочиями;
- обязательство организаций сообщать о фактах атаки ransomware и всем, что с ними связано;
- значительное усиление контроля над рынком криптовалют, которые являются основным расчетным средством между вымогателями и жертвой и пр.

Поможет ли - неясно. Но очевидно, что значимость ransomware выходит на новый уровень, а меры по борьбе с хакерами могут зацепить нас всех.

​​Стоящая за ransomware Babuk команда заявила о закрытии проекта. Исходники будут размещены в паблике, а хакеры собираются заняться новым проектом Open source RaaS (Ransomware-as-a-Service).

Связано ли это как-то с их последней атакой на Управление полиции Вашингтона - неясно.

​​Не успели мы порадоваться по поводу того, что Лаборатория Касперского дерзко раскрыла принадлежащий ЦРУ вредонос, как последовало вот это разъяснение от одного из ресерчеров ЛК.

Нет, если подходить скрупулезно, то вынуждены согласиться, что Касперские никогда напрямую не атрибутировали Lamberts как подразделение ЦРУ. И все же чувствуем некоторое разочарование.

Что ж ты, фраер, сдал назад (с)

​​В конце января в VPN-решениях компании SonicWall была обнаружена 0-day уязвимость, через которую, в числе прочих, взломали и саму SonicWall.

Теперь же FireEye сообщает, что указанная уязвимость, которая получила CVE-2021-20016, использовалась хакерской группой, обозначаемой как UNC2447, для проведения атак ransomware.

По данным FireEye, UNC2447 была впервые замечена в ноябре 2020 года, когда она использовала новый дроппер WarPrism. Похоже, что это типичный оператор ransomware, работающий с владельцами различных штаммов вымогателей.

В январе и феврале 2021 года исследователи обнаружили, что ряд их клиентов был атакован новым ransomware FiveHands ( переделка известного DeathRansom), который развертывался в скомпрометированной сети с помощью вредоноса SombRAT. Точкой компрометации сетей служило ПО от SonicWall. В ходе расследования одной из атак удалось обнаружить образцы WarPrism, а также профили имплантов Cobalt Strike, аналогичные использовавшимся UNC2447. Таким образом, FireEye связала все эти атаки с хакерской группой.

Самое интересное, что UNC2447 использовали уязвимость в VPN от SonicWall еще до выпуска разработчиком исправлений, то есть они не могли получить данные о CVE-2021-20016 путем реинжиниринга соответствующего патча.

Примечательно, что за несколько дней до появления первых сведений об этой уязвимости в январе этого года с журналистами BleepingComputer связался анонимный хакер и сообщил, что у него есть информация о 0-day уязвимости известного производителя брэндмауэров, про которую этот производитель молчит и не информирует своих клиентов, подвергающихся атакам с использованием этой и других ошибок. Судя по всему речь шла именно о SonicWall.

Если дела действительно обстоят таким образом, то это означает, что SonicWall косвенно несет ответственность за понесенный компаниями ущерб в ходе атак ransomware FiveHands. Потому что не сообщила известную ей информацию о наличии дырки в своих продуктах.

Оператор ransomware REvil успешно атаковал суд бразильского штата Рио-Гранди-ду-Сул (TJRS). Штат, надо сказать, немаленький - население под 12 млн. жителей.

Атака произошла 28 апреля, когда сотрудники суда обнаружили, что все их документы зашифрованы, а на рабочих столах их компьютеров появились заметки о выкупе. Вскоре после этого техническая поддержка предупредила работников о том, что надо воздержаться от входа в сервисы TJRS.

Как сообщают журналисты BleepingComputer, вымогатели потребовали выкуп в размере 5 млн. долларов. При этом, по их словам, "IT-персонал суда пережил приступ истерического стресса".

Чтобы не переживать такие приступы, очевидно, надо должным образом следить за состоянием информационной безопасности вверенных IT-систем.

А мы вспомним, что в ноябре прошлого года оператор ransomware RansomExx бомбанул ресурсы Верховного суда Бразилии, в результате чего две с половиной недели электронные сервисы суда не функционировали.

​​Дорогие друзья!

Поздравляем всех с наступающими (по крайней мере в России) первомайскими праздниками! Желаем как следуют отдохнуть!

Но мы от вас на 10 дней не пропадаем, ждите на следующей неделе новых постов. Тем более новости подъехали, что китайцы КБ Рубин атакуют, в Твиттере что-то страшное вангуют через 5 дней, так что будет о чем писать.

See U!

А пока мы отдыхали Apple выпустили срочные обновления для macOS, iOS и iPadOS, а также watchOS. И это несмотря на то, что большие апдейты в виде macOS 11.3 Big Sur и iOS 14.5 вышли только неделю назад.

Обновления исправляют уязвимости CVE-2021-30665 и CVE-2021-30663 в браузерном движке Webkit (если мы не ошибаемся, количество обнаруженных в этом движке с начала года 0-day дырок приближается к десятку), которые позволяют осуществить хакеру удаленное выполнение кода (RCE) на атакованном устройстве при посещении пользователем вредоносного сайта.

Первая уязвимость была обнаружена исследователями из китайской Qihoo 360, вторая - анонимным ресерчером.

Apple отмечает, что обе уязвимости моги использоваться в дикой природе. А значит нет повода забить и не обновлять свои яблочные устройства прямо сейчас. Тем более когда речь идет об RCE.

Гендир Positive Technologies дал интервью РБК по поводу введенных против компании американских санкций. И мы вновь разочарованы.

"В качестве ответной реакции на введение санкций компания "будет становиться еще более прозрачной и открытой", а также разговаривать с официальными лицами в США" - вот что заявляет нам господин Максимов.

О чем Позитивы собираются разговаривать с "официальными лицами в США"?! Убеждать их в том, что они не ENFER (кодовое обозначение российской инфосек компании, работающей с российскими госорганами, из отчета Atlantic Council)? Так Зеттер уже сделала соответствующий слив со ссылкой на "анонимные источники из спецслужб".

Можно, конечно, попросить еще больше санкций. Потому что все остальное вряд ли будут слушать.

Совершенно беззубое поведение российских инфосек вендоров просто поражает. Сначала Касперские, которым США просто растоптали весь бизнес в Северной Америке, боятся, что все подумают о том, что они атрибутируют хакерскую группу Lamberts как принадлежащую ЦРУ. Теперь Позитивы после объявления необоснованных (ну вот по честному, так же) санкций планируют "становиться еще более прозрачной и открытой компанией". Не говоря уже о Сачкове, который в погоне за признанием Group-IB сингапурской компанией разве что пластическую операцию по сужению глаз еще не сделал.

При этом противоположная сторона подобных вещей не делает от слова совсем. FireEye никогда не открещивалась от своего ЦРУшного (через In-Q-Tel) происхождения. Альперович со своей CrowdStrike ничуть не стеснялся атрибутировать атаки на сервера американской Демпартии в 2016 году как дело рук российской разведки, хотя никаких четких TTPs не было.

Господа, мы всех вас ценим и любим, вот честно. И всегда будем поддерживать в подобных ситуациях. Но отрастите себе уже тестикулы, господа.