Signal красиво нагнул Facebook.
Администрация мессенджера хотела закупить многовариантную таргетированную рекламу в Instagram, чтобы продемонстрировать насколько большой объем персонифицированной информации о пользователях собирает Facebook и его дочерние компании. В рекламе просто отображалась бы собранная о пользователе информация, которая используется рекламными платформами.
Естественно, что Цукерберг воскликнул "Нет! Я на это пойти не могу!", после чего рекламный аккаунт Signal был забанен.
На самом деле это великолепно спланированная провокация со стороны Signal, после начала которой Facebook попал в цугцванг - положение в шахматной партии, когда любой ход ведет к ухудшению ситуации.
Pure pwned!
Администрация мессенджера хотела закупить многовариантную таргетированную рекламу в Instagram, чтобы продемонстрировать насколько большой объем персонифицированной информации о пользователях собирает Facebook и его дочерние компании. В рекламе просто отображалась бы собранная о пользователе информация, которая используется рекламными платформами.
Естественно, что Цукерберг воскликнул "Нет! Я на это пойти не могу!", после чего рекламный аккаунт Signal был забанен.
На самом деле это великолепно спланированная провокация со стороны Signal, после начала которой Facebook попал в цугцванг - положение в шахматной партии, когда любой ход ведет к ухудшению ситуации.
Pure pwned!
Мы никак не можем сформировать свое отношение к инфосек компании Qualys. С одной стороны, ребята весьма скилованые и способны раскапывать древние уязвимости, на которые никто не обращал внимание многие годы, к примеру Baron Samedit.
С другой - они постоянно сами становятся жертвами хакеров. То Sunburst на свой SolarWinds Orion подцепят, то оператор ransomware Cl0p на них набежит и ограбит корованы.
К счастью в этот раз Qualys проявили себя со своей хорошей стороны и раскопали целую 21 уязвимость в опенсорсном почтовом севере Exim, который в настоящее время является самым распространенным в Интернет.
Набор уязвимостей получил название 21Nails, 10 из входящих в него ошибок могут эксплуатироваться удаленно. По итогу с использованием этих дырок хакер может полностью захватить контроль над сервером Exim и, в том числе, получить доступ к проходящему через него почтовому трафику.
А теперь наберите побольше воздуха... приготовились?! Ну?! Уязвимостям из набора 21Nails подвержены ВСЕ версии Exim, выпущенные за последние 17 лет (sic!), вплоть до 4.94.2, в которой они были исправлены намедни.
Qualys заявили, что эксплойты уязвимостей из 21Nails они публиковать не будут, но, с другой стороны, имеющихся технических заметок вполне достаточно квалифицированному хакеру для их собственной разработки.
Поэтому помним про золотые 72 часа и срочно обновляем свои Exim, если таковые имеются в использовании.
С другой - они постоянно сами становятся жертвами хакеров. То Sunburst на свой SolarWinds Orion подцепят, то оператор ransomware Cl0p на них набежит и ограбит корованы.
К счастью в этот раз Qualys проявили себя со своей хорошей стороны и раскопали целую 21 уязвимость в опенсорсном почтовом севере Exim, который в настоящее время является самым распространенным в Интернет.
Набор уязвимостей получил название 21Nails, 10 из входящих в него ошибок могут эксплуатироваться удаленно. По итогу с использованием этих дырок хакер может полностью захватить контроль над сервером Exim и, в том числе, получить доступ к проходящему через него почтовому трафику.
А теперь наберите побольше воздуха... приготовились?! Ну?! Уязвимостям из набора 21Nails подвержены ВСЕ версии Exim, выпущенные за последние 17 лет (sic!), вплоть до 4.94.2, в которой они были исправлены намедни.
Qualys заявили, что эксплойты уязвимостей из 21Nails они публиковать не будут, но, с другой стороны, имеющихся технических заметок вполне достаточно квалифицированному хакеру для их собственной разработки.
Поэтому помним про золотые 72 часа и срочно обновляем свои Exim, если таковые имеются в использовании.
www.exim.org
Exim Internet Mailer
Exim is a message transfer agent (MTA) developed at the University of Cambridge for use on Unix systems connected to the Internet.
Вчера вечером государственный провайдер Бельгии Belnet подвергся массированной DDoS-атаке, в результате которой практически лег.
Самое неприятное для бельгийцев то, что на Belnet завязаны все правительственные учреждения. В результате атаки более 200 государственных сервисов, например налоговый портал или сервис резервирования вакцин от COVID-19, были выведены из строя. Сессии Парламента и других госорганов также были отложены из-за невозможности удаленного подключения.
Некоторые бельгийские политики говорят о совпадении момента атаки с временем начала слушаний в бельгийском Парламенте в отношении уйгурских исправительно-трудовых лагерей в Китае.
А всего-то навсего полтора миллиарда неравнодушных китайских пользователей решили ознакомится с трансляцией слушаний...
Самое неприятное для бельгийцев то, что на Belnet завязаны все правительственные учреждения. В результате атаки более 200 государственных сервисов, например налоговый портал или сервис резервирования вакцин от COVID-19, были выведены из строя. Сессии Парламента и других госорганов также были отложены из-за невозможности удаленного подключения.
Некоторые бельгийские политики говорят о совпадении момента атаки с временем начала слушаний в бельгийском Парламенте в отношении уйгурских исправительно-трудовых лагерей в Китае.
А всего-то навсего полтора миллиарда неравнодушных китайских пользователей решили ознакомится с трансляцией слушаний...
Twitter
Doug Madory
Belnet (AS2611) was under DDoS attack today. Belnet is a govt-funded ISP that serves the Belgian parliament as well as other govt and educational entities. Graphic based on @kentikinc data showing surge in traffic earlier today.
Forwarded from Эксплойт | Live
Google заблокировал издателя игр из-за «подозрительной активности» и не смог его разблокировать
Когда разработчик написал в службу поддержки Google, ему сказали, что ничего не могут сделать.
Один из сотрудников техподдержки рассказал, что пару месяцев назад он заблокировал доступ к своей учётной записи и так и не смог его восстановить.
Изучив ситуацию, разработчик нашёл решение и поделился им с техподдержкой:
1. Нужно было нажать F12 на странице ввода электронной почты
2. Выбрать приложение, кликнуть на файлы cookie и выбрать пункт «Очистить»
В конце диалога издатель игр пошутил, что он, кажется, «стал новым сотрудником техподдержки Google».
Когда разработчик написал в службу поддержки Google, ему сказали, что ничего не могут сделать.
Один из сотрудников техподдержки рассказал, что пару месяцев назад он заблокировал доступ к своей учётной записи и так и не смог его восстановить.
Изучив ситуацию, разработчик нашёл решение и поделился им с техподдержкой:
1. Нужно было нажать F12 на странице ввода электронной почты
2. Выбрать приложение, кликнуть на файлы cookie и выбрать пункт «Очистить»
В конце диалога издатель игр пошутил, что он, кажется, «стал новым сотрудником техподдержки Google».
Лукацкий кагбэ напоминает.
Ну а мы присоединяемся к поздравлениям. Тем более что согласно секретным архивам КГБ сам Евгений Валентинович (tm) родом из этих самых криптодворян.
Ну а мы присоединяемся к поздравлениям. Тем более что согласно секретным архивам КГБ сам Евгений Валентинович (tm) родом из этих самых криптодворян.
Twitter
Alexey Lukatsky
И хотя всех дворян большевики расстреляли или сослали за Урал, был отдельная каста людей, кто мог спокойно называть себя графом! Криптограф! Сегодня 100 лет криптографической службе России! Всех с праздником! И криптографинь, безусловно, тоже с праздником!
Без сомнения лучший инфосек журналист настоящего времени Каталин Чимпану (мы не шутим, посмотрите в какое УГ скатилось ZDNet после ухода румына под крыло к Recorded Future), изволит шутить в своем новом издании TheRecord.
В статье Чимпану рассматривает последний отчет Recorded Future в отношении закупки подразделением Unit 61419 НОАК (народно-освободительная армия Китая, если кто не помнит) небольших партий различных популярных антивирусных продуктов - Kaspersky, Bitdefender, Trend Micro, Sophos, Symantec, Dr.Web и других. Причем китайцы покупали англоязычные, а не локализованные версии ПО.
В то же время Unit 61419 японские СМИ называют крышей для китайской APT Tick aka Bronze Butler, которая считается ответственной за известную атаку на Mitsubishi Electric через дырку в антивирусном ПО Trend Micro в 2019 году.
В связи с этим Recorded Future мягко намекает на то, что китайские армейцы закупили популярные антивирусные решения для того, чтобы а) тестить на них свои вредоносы и б) искать в них самих уязвимости. В принципе, ничего нового.
Так в чем же прикол Чимпану? А в том, что он скопом назвал все перечисленное антивирусное ПО "западным". И если Касперского с Dr.Web и примкнувших к ним Bitdefender мы еще можем со скрипом отнести к европейским продуктам (хотя последнее решение мы скорее склонны рассматривать как "ай-на-нэ-на-нэ" антивирус), то назвать "западной" японскую TrendMicro можно только если ты сидишь в районе Маршалловых островов.
Просто Каталин - румын, он так видит.
В статье Чимпану рассматривает последний отчет Recorded Future в отношении закупки подразделением Unit 61419 НОАК (народно-освободительная армия Китая, если кто не помнит) небольших партий различных популярных антивирусных продуктов - Kaspersky, Bitdefender, Trend Micro, Sophos, Symantec, Dr.Web и других. Причем китайцы покупали англоязычные, а не локализованные версии ПО.
В то же время Unit 61419 японские СМИ называют крышей для китайской APT Tick aka Bronze Butler, которая считается ответственной за известную атаку на Mitsubishi Electric через дырку в антивирусном ПО Trend Micro в 2019 году.
В связи с этим Recorded Future мягко намекает на то, что китайские армейцы закупили популярные антивирусные решения для того, чтобы а) тестить на них свои вредоносы и б) искать в них самих уязвимости. В принципе, ничего нового.
Так в чем же прикол Чимпану? А в том, что он скопом назвал все перечисленное антивирусное ПО "западным". И если Касперского с Dr.Web и примкнувших к ним Bitdefender мы еще можем со скрипом отнести к европейским продуктам (хотя последнее решение мы скорее склонны рассматривать как "ай-на-нэ-на-нэ" антивирус), то назвать "западной" японскую TrendMicro можно только если ты сидишь в районе Маршалловых островов.
Просто Каталин - румын, он так видит.
Recordedfuture
China’s PLA Unit 61419 Purchasing Foreign Antivirus Products, Likely for Exploitation
A branch of the PLA has sought to purchase antivirus software from several major American, European, and Russian security companies.
Месяца не прошло с того момента как Cisco закрыла критическую RCE-уязвимость CVE-2021-1479 в SD-WAN vManage, а на подходе уже свежие.
Позавчера Cisco выпустила обновления, которыми закрыла несколько дырок в SD-WAN vManage, позволявшие не прошедшему аутентификацию злоумышленнику удаленно выполнить код (RCE) или получить доступ к конфиденциальной информации.
А в довесок к этому устранила еще и две ошибки в HyperFlex HX, приводившие к удаленной инъекции команд, опять же без аутентификации.
Что-то кучно пошло. Переживаем за Лукацкого...
Позавчера Cisco выпустила обновления, которыми закрыла несколько дырок в SD-WAN vManage, позволявшие не прошедшему аутентификацию злоумышленнику удаленно выполнить код (RCE) или получить доступ к конфиденциальной информации.
А в довесок к этому устранила еще и две ошибки в HyperFlex HX, приводившие к удаленной инъекции команд, опять же без аутентификации.
Что-то кучно пошло. Переживаем за Лукацкого...
Cisco
Cisco Security Advisory: Cisco SD-WAN vManage Software Vulnerabilities
Multiple vulnerabilities in Cisco SD-WAN vManage Software could allow an unauthenticated, remote attacker to execute arbitrary code or gain access to sensitive information, or allow an authenticated, local attacker to gain escalated privileges or gain unauthorized…
Мы долго ждали, когда же до этого дойдет - и вот, нате!
Австралийская комиссия по преступности (ACIC) заявила, что "у законопослушного гражданина нет законных оснований для владения и использования зашифрованной коммуникационной платформы".
Свое заявление ACIC сделала в рамках документа, направленного в адрес австралийского Парламента в рамках слушаний по поводу законопроекта Surveillance Legislation Amendment (Identify and Disrupt) Bill 2020, который существенно расширяет полномочия австралийских правоохранительных органов в части ограничения цифровых прав и свобод.
ACIC говорит, что "зашифрованные коммуникационные платформы используются исключительно представителями организованной преступности и разработаны специально, чтобы скрыть личности преступников и избежать идентификации со стороны правоохранительных органов".
И хотя в данный момент предложений по привлечению к уголовной ответственности за само пользование шифрованными мессенджерами не прозвучало, первое слово уже сказано. Сегодня в Австралии, далее - везде!
Скрываешь что-то? Значит ты преступник! Потому что законопослушному гражданину нечего скрывать от всевидящего ока заботливого государства.
Скачал Telegram - 3 года крытой! Не ползаешь перед неграми и девиантами на коленях - в газенваген, сука! И кто-то еще говорит, что 1984 это не про современную "демократическую" цивилизацию...
Австралийская комиссия по преступности (ACIC) заявила, что "у законопослушного гражданина нет законных оснований для владения и использования зашифрованной коммуникационной платформы".
Свое заявление ACIC сделала в рамках документа, направленного в адрес австралийского Парламента в рамках слушаний по поводу законопроекта Surveillance Legislation Amendment (Identify and Disrupt) Bill 2020, который существенно расширяет полномочия австралийских правоохранительных органов в части ограничения цифровых прав и свобод.
ACIC говорит, что "зашифрованные коммуникационные платформы используются исключительно представителями организованной преступности и разработаны специально, чтобы скрыть личности преступников и избежать идентификации со стороны правоохранительных органов".
И хотя в данный момент предложений по привлечению к уголовной ответственности за само пользование шифрованными мессенджерами не прозвучало, первое слово уже сказано. Сегодня в Австралии, далее - везде!
Скрываешь что-то? Значит ты преступник! Потому что законопослушному гражданину нечего скрывать от всевидящего ока заботливого государства.
Скачал Telegram - 3 года крытой! Не ползаешь перед неграми и девиантами на коленях - в газенваген, сука! И кто-то еще говорит, что 1984 это не про современную "демократическую" цивилизацию...
ZDNet
ACIC believes there's no legitimate reason to use an encrypted communication platform
The Australian Criminal Intelligence Commission has said an encrypted communication platform is not something a law-abiding member of the community would use.
Исследователи из израильской Check Point сообщили, что обнаружили уязвимость CVE-2020-11292 в чипсете Mobile Station Modem (MSM) от Qualcomm.
Qualcomm MSM используется в 40% современных смартфонов, но ошибке подвержены только 3/4 из них, имеющие интерфейс Qualcomm MSM Interface (QMI), обеспечивающий взаимодействие между чипсетом и Android. Ошибка в механизме обработки пакетов в формате TLV может привести к переполнению кучи и, соответственно, к запуску произвольного кода.
Эксплуатация CVE-2020-11292 в конечном счете может позволить хакеру внедрить вредоносный код в MSM, что сделает его невидимым для любых приложений и механизмов безопасности на уровне ОС. В дальнейшем злоумышленник может получить доступ к истории вызовов и SMS-переписки, а также перехватывать голосовой трафик.
Check Point нашла уязвимость в октябре прошлого года, а в декабре Qualcomm распространила среди производителей смартфонов соответствующие обновления безопасности. Проблема в том, что далеко не все производители, особенно выпускающие модели нижнего ценового диапазона, выпускают своевременные апдейты для своей продукции. И это уже не говоря о смартфонах, выпущенных пару-тройку лет назад, у которых закончился период технической поддержки.
Qualcomm MSM используется в 40% современных смартфонов, но ошибке подвержены только 3/4 из них, имеющие интерфейс Qualcomm MSM Interface (QMI), обеспечивающий взаимодействие между чипсетом и Android. Ошибка в механизме обработки пакетов в формате TLV может привести к переполнению кучи и, соответственно, к запуску произвольного кода.
Эксплуатация CVE-2020-11292 в конечном счете может позволить хакеру внедрить вредоносный код в MSM, что сделает его невидимым для любых приложений и механизмов безопасности на уровне ОС. В дальнейшем злоумышленник может получить доступ к истории вызовов и SMS-переписки, а также перехватывать голосовой трафик.
Check Point нашла уязвимость в октябре прошлого года, а в декабре Qualcomm распространила среди производителей смартфонов соответствующие обновления безопасности. Проблема в том, что далеко не все производители, особенно выпускающие модели нижнего ценового диапазона, выпускают своевременные апдейты для своей продукции. И это уже не говоря о смартфонах, выпущенных пару-тройку лет назад, у которых закончился период технической поддержки.
Check Point Research
Security probe of Qualcomm MSM data services - Check Point Research
Research By: Slava Makkaveev Introduction Mobile Station Modem (MSM) is an ongoing series of a 2G/3G/4G/5G-capable system on chips (SoC) designed by Qualcomm starting in the early 1990s. MSM has always been and will be a popular target for security research…
Дорогие друзья!
На прошедших первомайских праздниках случилось важное для нас событие - вас, подписчиков канала, стало больше 15 тысяч.
Мы долго думали как бы это отметить и некоторые из нас решили открыть комментарии в канале. Но некоторые были против.
Поэтому мы решили спросить об этом вас.
На прошедших первомайских праздниках случилось важное для нас событие - вас, подписчиков канала, стало больше 15 тысяч.
Мы долго думали как бы это отметить и некоторые из нас решили открыть комментарии в канале. Но некоторые были против.
Поэтому мы решили спросить об этом вас.
Открыть ли комментарии в канале SecAtor?
Anonymous Poll
49%
Да, конечно.
51%
Нет, о боже, нет, ни за что!
Ну что же, по результатам опроса комментарии пока открывать не будем.
Правда у нас появились сомнения в чистоте голосования, поэтому мы решили повторить его через месяцок, уже под пристальным нашим вниманием.
А чтобы не скучно было - вот вам картинка про знаменитую школу Мидвэйл, выпускниками которой, как известно, является большинство CISO.
Правда у нас появились сомнения в чистоте голосования, поэтому мы решили повторить его через месяцок, уже под пристальным нашим вниманием.
А чтобы не скучно было - вот вам картинка про знаменитую школу Мидвэйл, выпускниками которой, как известно, является большинство CISO.
Лаборатория Касперского вчера опубликовала отчет в отношении кибероперации TunnelSnake.
TunnelSnake проводилась злоумышленниками в период с октября 2019 под май 2020 года, хотя в одном случае актор, судя по всему, закрепился в сети жертвы ранее 2018 года. Целями киберкампании служили организации в Южной Азии, а также два крупных дипломатических учреждения в Юго-Восточной Азии и Африке.
В ходе атак хакеры использовали авторский руткит, который Касперские назвали Moriya. Это пассивный бэкдор, который перехватывает сетевой трафик в режиме ядра с использованием драйвера Windows, что позволяет ему избежать обнаружения этой активности решениями безопасности, и организует скрытый канал связи с управляющим центром. При этом адрес С2 не прописан жестко в коде бэкдора, он в режиме прослушивания ждет специальным образом созданный пакет, в котором будет содержаться IP-адрес и порт С2.
Хотя Касперские (как обычно, хе-хе) не проводят конкретное атрибутирование, они указывают, что ряд TTPs, в том числе использование совместно с Moriya таких вредоносов как China Chopper, BOUNCER, Termite и Earthworm, указывает на принадлежность Operation TunnelSnake китайской APT. Кроме того, в одном из случаев при расширении своего присутствия в атакованной сети актор использовал инструмент, ранее применявшийся APT 1 aka Comment Panda, очень старой хакерской группе, работающей, как считается, на 2 Управление 3 Департамента ГШ НОАК (Unit 61398).
TunnelSnake проводилась злоумышленниками в период с октября 2019 под май 2020 года, хотя в одном случае актор, судя по всему, закрепился в сети жертвы ранее 2018 года. Целями киберкампании служили организации в Южной Азии, а также два крупных дипломатических учреждения в Юго-Восточной Азии и Африке.
В ходе атак хакеры использовали авторский руткит, который Касперские назвали Moriya. Это пассивный бэкдор, который перехватывает сетевой трафик в режиме ядра с использованием драйвера Windows, что позволяет ему избежать обнаружения этой активности решениями безопасности, и организует скрытый канал связи с управляющим центром. При этом адрес С2 не прописан жестко в коде бэкдора, он в режиме прослушивания ждет специальным образом созданный пакет, в котором будет содержаться IP-адрес и порт С2.
Хотя Касперские (как обычно, хе-хе) не проводят конкретное атрибутирование, они указывают, что ряд TTPs, в том числе использование совместно с Moriya таких вредоносов как China Chopper, BOUNCER, Termite и Earthworm, указывает на принадлежность Operation TunnelSnake китайской APT. Кроме того, в одном из случаев при расширении своего присутствия в атакованной сети актор использовал инструмент, ранее применявшийся APT 1 aka Comment Panda, очень старой хакерской группе, работающей, как считается, на 2 Управление 3 Департамента ГШ НОАК (Unit 61398).
Securelist
Operation TunnelSnake
A newly discovered rootkit 'Moriya' is used by an unknown actor to deploy passive backdoors on public facing servers, facilitating the creation of a covert C&C communication channel.
Sophos рассказывает о расследовании атаки оператора ransomware Ryuk на Европейский институт биомолекулярных исследований, занимающийся, в частности, проектами по изучению COVID-19.
В результате атаки Институт потерял исследовательские данные, собранные в течение недели до инцидента.
В ходе расследования выяснилось, что первичной точкой компрометации сети стал сеанс RDP с использованием учетных данных одного из студентов Института. Оказалось, что студент-заочник решил скачать себе домой взломанную версию некоего ПО для визуализации данных, которое использовалось им в рабочее время в институте. Понятное дело, что для продолжения работы дома никто ему лицензию не дал, а у самого денег не хватило.
Ну а дальше, все как положено - скачанная с найденного в сети сайта взломанная версия, в ней малварь, с помощью которых были украдены учетные данные горе-студента. А потом уже вход с их помощью в институтскую сеть через RDP и после 10-дневного присутствия заражение ее Ryuk.
Все-таки выдать лицензию студенту оказалось бы дешевле.
В результате атаки Институт потерял исследовательские данные, собранные в течение недели до инцидента.
В ходе расследования выяснилось, что первичной точкой компрометации сети стал сеанс RDP с использованием учетных данных одного из студентов Института. Оказалось, что студент-заочник решил скачать себе домой взломанную версию некоего ПО для визуализации данных, которое использовалось им в рабочее время в институте. Понятное дело, что для продолжения работы дома никто ему лицензию не дал, а у самого денег не хватило.
Ну а дальше, все как положено - скачанная с найденного в сети сайта взломанная версия, в ней малварь, с помощью которых были украдены учетные данные горе-студента. А потом уже вход с их помощью в институтскую сеть через RDP и после 10-дневного присутствия заражение ее Ryuk.
Все-таки выдать лицензию студенту оказалось бы дешевле.
Sophos News
MTR in Real Time: Pirates pave way for Ryuk ransomware
Sophos’ Rapid Response team was recently brought in to contain and neutralize an attack involving Ryuk ransomware. The target was a life sciences research institute that has close partnerships with…
Дорогие друзья!
Как говорится, недолго мучилась старушка в бандитских опытных руках. В смысле, недолго мы отдыхали от отдыха в течение этой короткой рабочей (а для особо везучих - нерабочей) недели.
Впереди великий праздник - День Победы! Мы поздравляем всех и желаем мирного неба над головой! Пусть войны происходят только в киберпространстве (и то, не касаясь критической инфраструктуры).
Ура!
Как говорится, недолго мучилась старушка в бандитских опытных руках. В смысле, недолго мы отдыхали от отдыха в течение этой короткой рабочей (а для особо везучих - нерабочей) недели.
Впереди великий праздник - День Победы! Мы поздравляем всех и желаем мирного неба над головой! Пусть войны происходят только в киберпространстве (и то, не касаясь критической инфраструктуры).
Ура!
—Партнерский пост—
Надеемся, вы хорошо отдохнули и набрались сил для того, чтобы сосредоточиться на болевых точках инфосека в бизнесе.
Поскольку, как все помнят, мы еще с прошлого раза принадлежим компании Group-IB, то, что как не новый ГрИБной вебинар «Утечки данных: универсальный метод предотвращения», мы можем порекомендовать? Да практически ничего! Как «пробивают» клиентов на андеграундных форумах за счет «крота» в компании, кому грозят санкции регуляторов за уязвимости в инфраструктуре, как проникают в сеть, крадут корпоративную переписку и как потом стыдно, когда из прессы все становится видно.
Другой известной проблемой для бизнеса являются атаки ransomware. Программами-вымогателями Group-IB занимается вплотную. На вебинаре «Защита финансовых организаций: универсальный метод борьбы с новыми угрозами» можно узнать как готовиться к таким атакам, а главное — платить или не платить.
То, что на этих вебинарах не будут переливать из пустое в порожнее, мы уверены. Но если вы все еще сомневаетесь, то вот вам один факт. Недавно Group-IB взяла 5 звезд Singapore Business Review за свою систему Threat Intelligence & Attribution. Для быстрого получения данных в отношении реальных акторов они засунули туда не только аналитику по даркнету, профилирование злоумышленников, IOC, TTPs, сэмплы малвари, но и сопоставили это все c матрицами MITRE ATT&CK.
Рекомендуем. Пользуйтесь.
Надеемся, вы хорошо отдохнули и набрались сил для того, чтобы сосредоточиться на болевых точках инфосека в бизнесе.
Поскольку, как все помнят, мы еще с прошлого раза принадлежим компании Group-IB, то, что как не новый ГрИБной вебинар «Утечки данных: универсальный метод предотвращения», мы можем порекомендовать? Да практически ничего! Как «пробивают» клиентов на андеграундных форумах за счет «крота» в компании, кому грозят санкции регуляторов за уязвимости в инфраструктуре, как проникают в сеть, крадут корпоративную переписку и как потом стыдно, когда из прессы все становится видно.
Другой известной проблемой для бизнеса являются атаки ransomware. Программами-вымогателями Group-IB занимается вплотную. На вебинаре «Защита финансовых организаций: универсальный метод борьбы с новыми угрозами» можно узнать как готовиться к таким атакам, а главное — платить или не платить.
То, что на этих вебинарах не будут переливать из пустое в порожнее, мы уверены. Но если вы все еще сомневаетесь, то вот вам один факт. Недавно Group-IB взяла 5 звезд Singapore Business Review за свою систему Threat Intelligence & Attribution. Для быстрого получения данных в отношении реальных акторов они засунули туда не только аналитику по даркнету, профилирование злоумышленников, IOC, TTPs, сэмплы малвари, но и сопоставили это все c матрицами MITRE ATT&CK.
Рекомендуем. Пользуйтесь.
Group-Ib
G-Bundle Leaks: универсальный метод предотвращения, реагирования и расследования утечек данных | Group-IB Webinar
<p>Когда компании полагаются на стандартные инструменты защиты, это часто заканчивается появлением данных этих организаций на подпольных форумах или в СМИ. За этим следуют проверки и санкции регуляторов, отток недовольных клиентов и серьезные репутационные…
Владельцы ransomware DarkSide, которых обвинили в причастности к громкому взлому американского трубопровода Colonial Pipeline (мы по этому поводу завтра дадим отдельный большой пост), выпустили своеобразный пресс-релиз, в котором заявили буквально следующее.
"Рафик не виновный, он вне политики, не связан с госструктурами и делает бабло как может. Проблем для населения Рафик создавать не хотел. Во всем виноваты недалекие партнеры-операторы, с которыми будет проведена соответствующая поучительная беседа.
А еще некоторые говорят что Рафик топит за Иран, но это не так."
(конечно не так, там русскоязычные все - и владелец, и операторы).
"Рафик не виновный, он вне политики, не связан с госструктурами и делает бабло как может. Проблем для населения Рафик создавать не хотел. Во всем виноваты недалекие партнеры-операторы, с которыми будет проведена соответствующая поучительная беседа.
А еще некоторые говорят что Рафик топит за Иран, но это не так."
(конечно не так, там русскоязычные все - и владелец, и операторы).
Как обещали, пишем про взлом Colonial Pipeline.
7 мая оператор крупнейшего в США топливопровода Colonial Pipeline стал жертвой атаки ransomware, в силу чего был вынужден временно приостановить работу трубопровода. В субботу утром об инциденте был проинформирован Белый Дом и лично Байден. А уже в воскресенье американское правительство объявило чрезвычайное положение в связи с приостановкой работы Colonial Pipeline - под угрозой оказались поставки почти половины топлива на Восточном побережье США.
Фьючерсы на бензин в моменте выросли на 4%, эксперты ожидают дальнейшего их роста, как и резкого роста цен на газ - в 2017 году из-за отключения Colonial Pipeline после утечки такое уже случалось.
Ответственным за атаку на топливопровод почти сразу же назвали оператора ransomware Darkside. И уже вчера, как мы писали, владельцы Darkside фактически подтвердили то, что Colonial Pipeline был атакован с помощью их вымогателя.
Darkside появились в августе 2020 года и сосредоточились на шифровании крупных корпоративных сетей. Хакеры неоднократно подчеркивали, что группа не шифрует сети больниц, школ, университетов, некоммерческих и государственных организаций. В октябре они пожертвовали по 10 тыс. долларов двум благотворительным организациям. В ноябре Darkside объявили о привлечении партнеров по схеме Ransomware-as-a-Service (RaaS).
И хотя в Топе ransomware Darkside занимает лишь 9 место по количеству жертв, некоторые из их взломов вышли весьма громкими. Например, в феврале их оператор бахнул две крупные электроэнергетические компании Бразилии - Eletronuclear и Copel. Причем Eletronuclear специализируется на строительстве и эксплуатации атомных электростанций.
Тревожный звоночек, да? Но Бразилия - не США, их никому не жалко, да и технологические сегменты сети Eletronuclear не были затронуты, поэтому все забили. Не припомним, делали ли Darkside по этому поводу какие-нибудь заявления? AFAWK, нет.
Если судить по луковому DLS (сайт утечек) Darkside, у них только публичных жертв за апрель насчитывается 13 штук. Реальное количество, с учетом латентности, полагаем, больше.
На всякий случай, в очередной раз распишем схему RaaS. Владелец ransomware, который является разработчиком и одновременно держит соответствующую инфраструктуру - DLS, кошельки для выплат, переговорщиков и пр., предоставляет свой вымогатель привлеченным в качестве оператора хакерским группам/отдельным хакерам, чтобы последние внедрили его в ранее взломанную сеть. Далее, после кражи и шифрования данных, а также зачастую удаления бэкапов, идут переговоры о выкупе и, если они завершаются успешно, полученные деньги делятся в определенном соотношении.
Поэтому в случае с атакой ransomware, работающего по схеме RaaS, неразумно называть виновным государство, которому принадлежит владелец вымогателя, - оператор может быть откуда угодно.
Правда, только не в случае с Darkside - по каким-то причинам владельцы набирают операторов исключительно из числа русскоговорящих. Поэтому можно с уверенностью утверждать, что Colonial Pipeline бахнули хакеры с постсоветсткого пространства, скорее всего из России или Украины.
Байден уже заявил, что нет никаких доказательств причастности российских властей к атаке на топливопровод (и это на самом деле так и есть). Но в то же время подчеркнул, что владельцы ransomware скорее всего находятся в России и в связи с этим "они несут определенную ответственность за то, чтобы разобраться с этим".
Немудрено, что Darkside поспешили сделать заявление, пытаясь свалить всю вину на недалекого оператора, взломавшего не ту сеть, и обещая, что подобного больше не повторится. Потому что США под угрозой санкций могут вынудить российских правоохранителей заняться, наконец, расследованием киберпреступлений, а этого им ох, как не хочется.
Но еще больше нам не хочется санкций, объявленных в ответ на действия хакеров, зарабатывающих миллионы долларов. А есть такое ощущение, что до этого недалеко.
7 мая оператор крупнейшего в США топливопровода Colonial Pipeline стал жертвой атаки ransomware, в силу чего был вынужден временно приостановить работу трубопровода. В субботу утром об инциденте был проинформирован Белый Дом и лично Байден. А уже в воскресенье американское правительство объявило чрезвычайное положение в связи с приостановкой работы Colonial Pipeline - под угрозой оказались поставки почти половины топлива на Восточном побережье США.
Фьючерсы на бензин в моменте выросли на 4%, эксперты ожидают дальнейшего их роста, как и резкого роста цен на газ - в 2017 году из-за отключения Colonial Pipeline после утечки такое уже случалось.
Ответственным за атаку на топливопровод почти сразу же назвали оператора ransomware Darkside. И уже вчера, как мы писали, владельцы Darkside фактически подтвердили то, что Colonial Pipeline был атакован с помощью их вымогателя.
Darkside появились в августе 2020 года и сосредоточились на шифровании крупных корпоративных сетей. Хакеры неоднократно подчеркивали, что группа не шифрует сети больниц, школ, университетов, некоммерческих и государственных организаций. В октябре они пожертвовали по 10 тыс. долларов двум благотворительным организациям. В ноябре Darkside объявили о привлечении партнеров по схеме Ransomware-as-a-Service (RaaS).
И хотя в Топе ransomware Darkside занимает лишь 9 место по количеству жертв, некоторые из их взломов вышли весьма громкими. Например, в феврале их оператор бахнул две крупные электроэнергетические компании Бразилии - Eletronuclear и Copel. Причем Eletronuclear специализируется на строительстве и эксплуатации атомных электростанций.
Тревожный звоночек, да? Но Бразилия - не США, их никому не жалко, да и технологические сегменты сети Eletronuclear не были затронуты, поэтому все забили. Не припомним, делали ли Darkside по этому поводу какие-нибудь заявления? AFAWK, нет.
Если судить по луковому DLS (сайт утечек) Darkside, у них только публичных жертв за апрель насчитывается 13 штук. Реальное количество, с учетом латентности, полагаем, больше.
На всякий случай, в очередной раз распишем схему RaaS. Владелец ransomware, который является разработчиком и одновременно держит соответствующую инфраструктуру - DLS, кошельки для выплат, переговорщиков и пр., предоставляет свой вымогатель привлеченным в качестве оператора хакерским группам/отдельным хакерам, чтобы последние внедрили его в ранее взломанную сеть. Далее, после кражи и шифрования данных, а также зачастую удаления бэкапов, идут переговоры о выкупе и, если они завершаются успешно, полученные деньги делятся в определенном соотношении.
Поэтому в случае с атакой ransomware, работающего по схеме RaaS, неразумно называть виновным государство, которому принадлежит владелец вымогателя, - оператор может быть откуда угодно.
Правда, только не в случае с Darkside - по каким-то причинам владельцы набирают операторов исключительно из числа русскоговорящих. Поэтому можно с уверенностью утверждать, что Colonial Pipeline бахнули хакеры с постсоветсткого пространства, скорее всего из России или Украины.
Байден уже заявил, что нет никаких доказательств причастности российских властей к атаке на топливопровод (и это на самом деле так и есть). Но в то же время подчеркнул, что владельцы ransomware скорее всего находятся в России и в связи с этим "они несут определенную ответственность за то, чтобы разобраться с этим".
Немудрено, что Darkside поспешили сделать заявление, пытаясь свалить всю вину на недалекого оператора, взломавшего не ту сеть, и обещая, что подобного больше не повторится. Потому что США под угрозой санкций могут вынудить российских правоохранителей заняться, наконец, расследованием киберпреступлений, а этого им ох, как не хочется.
Но еще больше нам не хочется санкций, объявленных в ответ на действия хакеров, зарабатывающих миллионы долларов. А есть такое ощущение, что до этого недалеко.