Неприятная новость из медицинской отрасли.

Шведская компания Elekta, поставщик медицинского оборудования, используемого в онкологии и радиологии, на неделе сообщила, что 20 апреля стала жертвой кибератаки на облачное хранилище данных, в результате которой пострадали клиенты компании из США.

Подробности не сообщаются, но судя по всему это была атака оператора ransomware.

И хотя шведы, как многие в таких случаях, говорят о минимальном ущербе, по информации журнала HIPAA, по крайней мере один медицинский центр Yale New Haven Health из Коннектикута был вынужден более чем на неделю отключить свое радиологическое оборудование, которое использовалось для лучевой терапии онкобольным пациентам. Они были переведены для продолжения лечения в другие медицинские учреждения.

Имел ли какие-то последствия для больных перерыв в лучевой терапии - не сообщается. Но от самого факта подобного происшествия мы испытываем идиосинкразию.

Какого рожна оборудование для лучевой терапии критически зависит от работоспособности облачного хранилища? Почему имея такую уязвимую архитектуру компания Elekta не уделила, очевидно, должного внимания вопросам информационной безопасности? И когда уже переведутся слепошарые вымогатели, которые не в состоянии понять потенциальные последствия от своей атаки?

На этом фоне целевая группа экспертов по ransomware Института безопасности и технологий (IST) разработала многостраничный документ по противодействию атакам ransomware, в котором дала список из 48 конкретных мероприятий. В их числе:
- санкции против стран, на территории которых находятся владельцы ransomware (мы об этом еще осенью предупреждали, отключат SWIFT - передавайте привет Evil Corp);
- создание в США специализированных рабочих групп по борьбе с ransomware и наделение их особыми международными полномочиями;
- обязательство организаций сообщать о фактах атаки ransomware и всем, что с ними связано;
- значительное усиление контроля над рынком криптовалют, которые являются основным расчетным средством между вымогателями и жертвой и пр.

Поможет ли - неясно. Но очевидно, что значимость ransomware выходит на новый уровень, а меры по борьбе с хакерами могут зацепить нас всех.

​​Стоящая за ransomware Babuk команда заявила о закрытии проекта. Исходники будут размещены в паблике, а хакеры собираются заняться новым проектом Open source RaaS (Ransomware-as-a-Service).

Связано ли это как-то с их последней атакой на Управление полиции Вашингтона - неясно.

​​Не успели мы порадоваться по поводу того, что Лаборатория Касперского дерзко раскрыла принадлежащий ЦРУ вредонос, как последовало вот это разъяснение от одного из ресерчеров ЛК.

Нет, если подходить скрупулезно, то вынуждены согласиться, что Касперские никогда напрямую не атрибутировали Lamberts как подразделение ЦРУ. И все же чувствуем некоторое разочарование.

Что ж ты, фраер, сдал назад (с)

​​В конце января в VPN-решениях компании SonicWall была обнаружена 0-day уязвимость, через которую, в числе прочих, взломали и саму SonicWall.

Теперь же FireEye сообщает, что указанная уязвимость, которая получила CVE-2021-20016, использовалась хакерской группой, обозначаемой как UNC2447, для проведения атак ransomware.

По данным FireEye, UNC2447 была впервые замечена в ноябре 2020 года, когда она использовала новый дроппер WarPrism. Похоже, что это типичный оператор ransomware, работающий с владельцами различных штаммов вымогателей.

В январе и феврале 2021 года исследователи обнаружили, что ряд их клиентов был атакован новым ransomware FiveHands ( переделка известного DeathRansom), который развертывался в скомпрометированной сети с помощью вредоноса SombRAT. Точкой компрометации сетей служило ПО от SonicWall. В ходе расследования одной из атак удалось обнаружить образцы WarPrism, а также профили имплантов Cobalt Strike, аналогичные использовавшимся UNC2447. Таким образом, FireEye связала все эти атаки с хакерской группой.

Самое интересное, что UNC2447 использовали уязвимость в VPN от SonicWall еще до выпуска разработчиком исправлений, то есть они не могли получить данные о CVE-2021-20016 путем реинжиниринга соответствующего патча.

Примечательно, что за несколько дней до появления первых сведений об этой уязвимости в январе этого года с журналистами BleepingComputer связался анонимный хакер и сообщил, что у него есть информация о 0-day уязвимости известного производителя брэндмауэров, про которую этот производитель молчит и не информирует своих клиентов, подвергающихся атакам с использованием этой и других ошибок. Судя по всему речь шла именно о SonicWall.

Если дела действительно обстоят таким образом, то это означает, что SonicWall косвенно несет ответственность за понесенный компаниями ущерб в ходе атак ransomware FiveHands. Потому что не сообщила известную ей информацию о наличии дырки в своих продуктах.

Оператор ransomware REvil успешно атаковал суд бразильского штата Рио-Гранди-ду-Сул (TJRS). Штат, надо сказать, немаленький - население под 12 млн. жителей.

Атака произошла 28 апреля, когда сотрудники суда обнаружили, что все их документы зашифрованы, а на рабочих столах их компьютеров появились заметки о выкупе. Вскоре после этого техническая поддержка предупредила работников о том, что надо воздержаться от входа в сервисы TJRS.

Как сообщают журналисты BleepingComputer, вымогатели потребовали выкуп в размере 5 млн. долларов. При этом, по их словам, "IT-персонал суда пережил приступ истерического стресса".

Чтобы не переживать такие приступы, очевидно, надо должным образом следить за состоянием информационной безопасности вверенных IT-систем.

А мы вспомним, что в ноябре прошлого года оператор ransomware RansomExx бомбанул ресурсы Верховного суда Бразилии, в результате чего две с половиной недели электронные сервисы суда не функционировали.

​​Дорогие друзья!

Поздравляем всех с наступающими (по крайней мере в России) первомайскими праздниками! Желаем как следуют отдохнуть!

Но мы от вас на 10 дней не пропадаем, ждите на следующей неделе новых постов. Тем более новости подъехали, что китайцы КБ Рубин атакуют, в Твиттере что-то страшное вангуют через 5 дней, так что будет о чем писать.

See U!

А пока мы отдыхали Apple выпустили срочные обновления для macOS, iOS и iPadOS, а также watchOS. И это несмотря на то, что большие апдейты в виде macOS 11.3 Big Sur и iOS 14.5 вышли только неделю назад.

Обновления исправляют уязвимости CVE-2021-30665 и CVE-2021-30663 в браузерном движке Webkit (если мы не ошибаемся, количество обнаруженных в этом движке с начала года 0-day дырок приближается к десятку), которые позволяют осуществить хакеру удаленное выполнение кода (RCE) на атакованном устройстве при посещении пользователем вредоносного сайта.

Первая уязвимость была обнаружена исследователями из китайской Qihoo 360, вторая - анонимным ресерчером.

Apple отмечает, что обе уязвимости моги использоваться в дикой природе. А значит нет повода забить и не обновлять свои яблочные устройства прямо сейчас. Тем более когда речь идет об RCE.

Гендир Positive Technologies дал интервью РБК по поводу введенных против компании американских санкций. И мы вновь разочарованы.

"В качестве ответной реакции на введение санкций компания "будет становиться еще более прозрачной и открытой", а также разговаривать с официальными лицами в США" - вот что заявляет нам господин Максимов.

О чем Позитивы собираются разговаривать с "официальными лицами в США"?! Убеждать их в том, что они не ENFER (кодовое обозначение российской инфосек компании, работающей с российскими госорганами, из отчета Atlantic Council)? Так Зеттер уже сделала соответствующий слив со ссылкой на "анонимные источники из спецслужб".

Можно, конечно, попросить еще больше санкций. Потому что все остальное вряд ли будут слушать.

Совершенно беззубое поведение российских инфосек вендоров просто поражает. Сначала Касперские, которым США просто растоптали весь бизнес в Северной Америке, боятся, что все подумают о том, что они атрибутируют хакерскую группу Lamberts как принадлежащую ЦРУ. Теперь Позитивы после объявления необоснованных (ну вот по честному, так же) санкций планируют "становиться еще более прозрачной и открытой компанией". Не говоря уже о Сачкове, который в погоне за признанием Group-IB сингапурской компанией разве что пластическую операцию по сужению глаз еще не сделал.

При этом противоположная сторона подобных вещей не делает от слова совсем. FireEye никогда не открещивалась от своего ЦРУшного (через In-Q-Tel) происхождения. Альперович со своей CrowdStrike ничуть не стеснялся атрибутировать атаки на сервера американской Демпартии в 2016 году как дело рук российской разведки, хотя никаких четких TTPs не было.

Господа, мы всех вас ценим и любим, вот честно. И всегда будем поддерживать в подобных ситуациях. Но отрастите себе уже тестикулы, господа.

​​Как мы писали, прямо перед праздниками появилась информация о том, что китайская APT атаковала ЦКБ Рубин. Но мы тогда уже были настроены постоять в знаменитых предпервомайских пробках, а потому не стали рассматривать этот материал сразу. Исправляемся.

30 апреля американская инфосек компания Cybereason выпустила отчет, в котором описала результаты отслеживания циркулирующего в дикой природе вредоноса RoyalRoad aka 8.t Dropper.

8.t Dropper, доставляемый в документе RTF, используется китайскими APT для дальнейшего подтягивания полезной нагрузки в виде различного рода троянов удаленного доступа (RAT). Впервые он был замечен в 2018 году и использовался китайской группой 1937CN, ответственной, в свою очередь, за взломы вьетнамских аэропортов в 2016 году. Они тогда перехватили управление информационными табло и системами оповещения аэропортов и рассказывали на английском языке какие вьетнамцы редиски из-за территориального спора в Южно-Китайском море.

Но вернемся в настоящее. Cybereason обнаружили свежий образец 8.t Dropper. Судя по всему, в качестве источника данных послужил Virus Total, в который неосмотрительные сисадмины льют все подряд. В качестве фишинговой приманки использовалось письмо генеральному директору ЦКБ Рубин Игорю Вильниту от имени АО "Концерн "МПО - Гидроприбор". Сама приманка составлена грамотно, правда адрес отправителя находится на mail .ru (хотя это как раз неудивительно, там большинство входящих в Гидроприбор компаний официальную электронную почту на Mail ru держат).

В качестве документа RTF, содержащего дропер, прилагаются "Основные результаты эскизного проектирования АНПА" (расшифровывается как автономный необитаемый подводный аппарат). И вот изображения аппарата (прилепим его в конце поста) из этого документа мы в сети не нашли, точнее нашли, но только размещенное после публикации отчета Cybereason.

С большой долей вероятности хакеры заранее распотрошили Концерн Гидроприбор, либо какое-то еще учреждение, чтобы добыть правдоподобно выглядящую фишинговую приманку. Тут бы ФСБ возбудиться, особенно ЦИБу, но они там Twitter тормозят, упираясь в пол ногами, им не до китайских хакеров.

В качестве полезной нагрузки 8.t Dropper доставлял недокументированный ранее авторский бэкдор PortDoor, который представляет собой полноценный кибершпионский RAT. Из интересного - шифрование собранных данных в AES перед отправкой на С2.

Атрибуция, проведенная исследователями, указывает на китайские APT - используемая в приманке кодировка ранее была замечена у APT Tonto и APT TA428. Первая группа, как считается, работает под крышей Технического разведывательного Департамента НОАК (Unit 65017) в китайском городе Шэньян и в 2018 году уже была замечена в фишинговых атаках на Концерн Автоматика, входящий в Ростех.

ЦКБ Рубин - это расположенное в Санкт-Петербурге инженерное бюро, которое является головным в части проектирования российских подводных лодок.

Как мы уже не раз говорили в отношении наших соседей из Китая - дружба дружбой, а табачок врозь. Никогда не стоит забывать об этом нашим коллегам из государственных учреждений, обеспечивающих информационную безопасность.

Invanti, разработчик Pulse Secure VPN, выпустили таки обновление безопасности, которое закрывает критическую уязвимость CVE-2021-22893 (оценка критичности по CVSS - 10 из 10).

Ошибка позволяла пользователю, не прошедшему аутентификацию, осуществить удаленное выполнение кода (RCE) - страшный сон любого инфобезопасника.

0-day уязвимость, эксплуатируемая в дикой природе, была обнаружена в апреле американскими исследователями из FireEye. Тогда было заявлено, что эта дырка, в сочетании с ранее известными CVE-2019-11510, CVE-2020-8243 и CVE-2020-8260, использовалась двумя акторами для атак на оборонные, промышленные и финансовые организации в США и Европе. Один из них с большой долей вероятности был атрибутирован как китайская APT 5 aka Keyhole Panda, ранее уже использовавшая ошибки в VPN сервисах Fortinet и Pulse Secure для проведения своих атак.

Если вы используете Pulse Secure VPN - самое время обновиться.

​​Signal красиво нагнул Facebook.

Администрация мессенджера хотела закупить многовариантную таргетированную рекламу в Instagram, чтобы продемонстрировать насколько большой объем персонифицированной информации о пользователях собирает Facebook и его дочерние компании. В рекламе просто отображалась бы собранная о пользователе информация, которая используется рекламными платформами.

Естественно, что Цукерберг воскликнул "Нет! Я на это пойти не могу!", после чего рекламный аккаунт Signal был забанен.

На самом деле это великолепно спланированная провокация со стороны Signal, после начала которой Facebook попал в цугцванг - положение в шахматной партии, когда любой ход ведет к ухудшению ситуации.

Pure pwned!

​​Мы никак не можем сформировать свое отношение к инфосек компании Qualys. С одной стороны, ребята весьма скилованые и способны раскапывать древние уязвимости, на которые никто не обращал внимание многие годы, к примеру Baron Samedit.

С другой - они постоянно сами становятся жертвами хакеров. То Sunburst на свой SolarWinds Orion подцепят, то оператор ransomware Cl0p на них набежит и ограбит корованы.

К счастью в этот раз Qualys проявили себя со своей хорошей стороны и раскопали целую 21 уязвимость в опенсорсном почтовом севере Exim, который в настоящее время является самым распространенным в Интернет.

Набор уязвимостей получил название 21Nails, 10 из входящих в него ошибок могут эксплуатироваться удаленно. По итогу с использованием этих дырок хакер может полностью захватить контроль над сервером Exim и, в том числе, получить доступ к проходящему через него почтовому трафику.

А теперь наберите побольше воздуха... приготовились?! Ну?! Уязвимостям из набора 21Nails подвержены ВСЕ версии Exim, выпущенные за последние 17 лет (sic!), вплоть до 4.94.2, в которой они были исправлены намедни.

Qualys заявили, что эксплойты уязвимостей из 21Nails они публиковать не будут, но, с другой стороны, имеющихся технических заметок вполне достаточно квалифицированному хакеру для их собственной разработки.

Поэтому помним про золотые 72 часа и срочно обновляем свои Exim, если таковые имеются в использовании.

Вчера вечером государственный провайдер Бельгии Belnet подвергся массированной DDoS-атаке, в результате которой практически лег.

Самое неприятное для бельгийцев то, что на Belnet завязаны все правительственные учреждения. В результате атаки более 200 государственных сервисов, например налоговый портал или сервис резервирования вакцин от COVID-19, были выведены из строя. Сессии Парламента и других госорганов также были отложены из-за невозможности удаленного подключения.

Некоторые бельгийские политики говорят о совпадении момента атаки с временем начала слушаний в бельгийском Парламенте в отношении уйгурских исправительно-трудовых лагерей в Китае.

А всего-то навсего полтора миллиарда неравнодушных китайских пользователей решили ознакомится с трансляцией слушаний...

Google заблокировал издателя игр из-за «подозрительной активности» и не смог его разблокировать

Когда разработчик написал в службу поддержки Google, ему сказали, что ничего не могут сделать.

Один из сотрудников техподдержки рассказал, что пару месяцев назад он заблокировал доступ к своей учётной записи и так и не смог его восстановить.

Изучив ситуацию, разработчик нашёл решение и поделился им с техподдержкой:

1. Нужно было нажать F12 на странице ввода электронной почты

2. Выбрать приложение, кликнуть на файлы cookie и выбрать пункт «Очистить»

В конце диалога издатель игр пошутил, что он, кажется, «стал новым сотрудником техподдержки Google».

Лукацкий кагбэ напоминает.

Ну а мы присоединяемся к поздравлениям. Тем более что согласно секретным архивам КГБ сам Евгений Валентинович (tm) родом из этих самых криптодворян.

​​Ну и вдогонку сегодняшней басне "Facebook и конфиденциальность пользовательских данных"

Без сомнения лучший инфосек журналист настоящего времени Каталин Чимпану (мы не шутим, посмотрите в какое УГ скатилось ZDNet после ухода румына под крыло к Recorded Future), изволит шутить в своем новом издании TheRecord.

В статье Чимпану рассматривает последний отчет Recorded Future в отношении закупки подразделением Unit 61419 НОАК (народно-освободительная армия Китая, если кто не помнит) небольших партий различных популярных антивирусных продуктов - Kaspersky, Bitdefender, Trend Micro, Sophos, Symantec, Dr.Web и других. Причем китайцы покупали англоязычные, а не локализованные версии ПО.

В то же время Unit 61419 японские СМИ называют крышей для китайской APT Tick aka Bronze Butler, которая считается ответственной за известную атаку на Mitsubishi Electric через дырку в антивирусном ПО Trend Micro в 2019 году.

В связи с этим Recorded Future мягко намекает на то, что китайские армейцы закупили популярные антивирусные решения для того, чтобы а) тестить на них свои вредоносы и б) искать в них самих уязвимости. В принципе, ничего нового.

Так в чем же прикол Чимпану? А в том, что он скопом назвал все перечисленное антивирусное ПО "западным". И если Касперского с Dr.Web и примкнувших к ним Bitdefender мы еще можем со скрипом отнести к европейским продуктам (хотя последнее решение мы скорее склонны рассматривать как "ай-на-нэ-на-нэ" антивирус), то назвать "западной" японскую TrendMicro можно только если ты сидишь в районе Маршалловых островов.

Просто Каталин - румын, он так видит.

​​Месяца не прошло с того момента как Cisco закрыла критическую RCE-уязвимость CVE-2021-1479 в SD-WAN vManage, а на подходе уже свежие.

Позавчера Cisco выпустила обновления, которыми закрыла несколько дырок в SD-WAN vManage, позволявшие не прошедшему аутентификацию злоумышленнику удаленно выполнить код (RCE) или получить доступ к конфиденциальной информации.

А в довесок к этому устранила еще и две ошибки в HyperFlex HX, приводившие к удаленной инъекции команд, опять же без аутентификации.

Что-то кучно пошло. Переживаем за Лукацкого...

Мы долго ждали, когда же до этого дойдет - и вот, нате!

Австралийская комиссия по преступности (ACIC) заявила, что "у законопослушного гражданина нет законных оснований для владения и использования зашифрованной коммуникационной платформы".

Свое заявление ACIC сделала в рамках документа, направленного в адрес австралийского Парламента в рамках слушаний по поводу законопроекта Surveillance Legislation Amendment (Identify and Disrupt) Bill 2020, который существенно расширяет полномочия австралийских правоохранительных органов в части ограничения цифровых прав и свобод.

ACIC говорит, что "зашифрованные коммуникационные платформы используются исключительно представителями организованной преступности и разработаны специально, чтобы скрыть личности преступников и избежать идентификации со стороны правоохранительных органов".

И хотя в данный момент предложений по привлечению к уголовной ответственности за само пользование шифрованными мессенджерами не прозвучало, первое слово уже сказано. Сегодня в Австралии, далее - везде!

Скрываешь что-то? Значит ты преступник! Потому что законопослушному гражданину нечего скрывать от всевидящего ока заботливого государства.

Скачал Telegram - 3 года крытой! Не ползаешь перед неграми и девиантами на коленях - в газенваген, сука! И кто-то еще говорит, что 1984 это не про современную "демократическую" цивилизацию...