Forwarded from Эксплойт | Live
Google заблокировал издателя игр из-за «подозрительной активности» и не смог его разблокировать
Когда разработчик написал в службу поддержки Google, ему сказали, что ничего не могут сделать.
Один из сотрудников техподдержки рассказал, что пару месяцев назад он заблокировал доступ к своей учётной записи и так и не смог его восстановить.
Изучив ситуацию, разработчик нашёл решение и поделился им с техподдержкой:
1. Нужно было нажать F12 на странице ввода электронной почты
2. Выбрать приложение, кликнуть на файлы cookie и выбрать пункт «Очистить»
В конце диалога издатель игр пошутил, что он, кажется, «стал новым сотрудником техподдержки Google».
Когда разработчик написал в службу поддержки Google, ему сказали, что ничего не могут сделать.
Один из сотрудников техподдержки рассказал, что пару месяцев назад он заблокировал доступ к своей учётной записи и так и не смог его восстановить.
Изучив ситуацию, разработчик нашёл решение и поделился им с техподдержкой:
1. Нужно было нажать F12 на странице ввода электронной почты
2. Выбрать приложение, кликнуть на файлы cookie и выбрать пункт «Очистить»
В конце диалога издатель игр пошутил, что он, кажется, «стал новым сотрудником техподдержки Google».
Лукацкий кагбэ напоминает.
Ну а мы присоединяемся к поздравлениям. Тем более что согласно секретным архивам КГБ сам Евгений Валентинович (tm) родом из этих самых криптодворян.
Ну а мы присоединяемся к поздравлениям. Тем более что согласно секретным архивам КГБ сам Евгений Валентинович (tm) родом из этих самых криптодворян.
Twitter
Alexey Lukatsky
И хотя всех дворян большевики расстреляли или сослали за Урал, был отдельная каста людей, кто мог спокойно называть себя графом! Криптограф! Сегодня 100 лет криптографической службе России! Всех с праздником! И криптографинь, безусловно, тоже с праздником!
Без сомнения лучший инфосек журналист настоящего времени Каталин Чимпану (мы не шутим, посмотрите в какое УГ скатилось ZDNet после ухода румына под крыло к Recorded Future), изволит шутить в своем новом издании TheRecord.
В статье Чимпану рассматривает последний отчет Recorded Future в отношении закупки подразделением Unit 61419 НОАК (народно-освободительная армия Китая, если кто не помнит) небольших партий различных популярных антивирусных продуктов - Kaspersky, Bitdefender, Trend Micro, Sophos, Symantec, Dr.Web и других. Причем китайцы покупали англоязычные, а не локализованные версии ПО.
В то же время Unit 61419 японские СМИ называют крышей для китайской APT Tick aka Bronze Butler, которая считается ответственной за известную атаку на Mitsubishi Electric через дырку в антивирусном ПО Trend Micro в 2019 году.
В связи с этим Recorded Future мягко намекает на то, что китайские армейцы закупили популярные антивирусные решения для того, чтобы а) тестить на них свои вредоносы и б) искать в них самих уязвимости. В принципе, ничего нового.
Так в чем же прикол Чимпану? А в том, что он скопом назвал все перечисленное антивирусное ПО "западным". И если Касперского с Dr.Web и примкнувших к ним Bitdefender мы еще можем со скрипом отнести к европейским продуктам (хотя последнее решение мы скорее склонны рассматривать как "ай-на-нэ-на-нэ" антивирус), то назвать "западной" японскую TrendMicro можно только если ты сидишь в районе Маршалловых островов.
Просто Каталин - румын, он так видит.
В статье Чимпану рассматривает последний отчет Recorded Future в отношении закупки подразделением Unit 61419 НОАК (народно-освободительная армия Китая, если кто не помнит) небольших партий различных популярных антивирусных продуктов - Kaspersky, Bitdefender, Trend Micro, Sophos, Symantec, Dr.Web и других. Причем китайцы покупали англоязычные, а не локализованные версии ПО.
В то же время Unit 61419 японские СМИ называют крышей для китайской APT Tick aka Bronze Butler, которая считается ответственной за известную атаку на Mitsubishi Electric через дырку в антивирусном ПО Trend Micro в 2019 году.
В связи с этим Recorded Future мягко намекает на то, что китайские армейцы закупили популярные антивирусные решения для того, чтобы а) тестить на них свои вредоносы и б) искать в них самих уязвимости. В принципе, ничего нового.
Так в чем же прикол Чимпану? А в том, что он скопом назвал все перечисленное антивирусное ПО "западным". И если Касперского с Dr.Web и примкнувших к ним Bitdefender мы еще можем со скрипом отнести к европейским продуктам (хотя последнее решение мы скорее склонны рассматривать как "ай-на-нэ-на-нэ" антивирус), то назвать "западной" японскую TrendMicro можно только если ты сидишь в районе Маршалловых островов.
Просто Каталин - румын, он так видит.
Recordedfuture
China’s PLA Unit 61419 Purchasing Foreign Antivirus Products, Likely for Exploitation
A branch of the PLA has sought to purchase antivirus software from several major American, European, and Russian security companies.
Месяца не прошло с того момента как Cisco закрыла критическую RCE-уязвимость CVE-2021-1479 в SD-WAN vManage, а на подходе уже свежие.
Позавчера Cisco выпустила обновления, которыми закрыла несколько дырок в SD-WAN vManage, позволявшие не прошедшему аутентификацию злоумышленнику удаленно выполнить код (RCE) или получить доступ к конфиденциальной информации.
А в довесок к этому устранила еще и две ошибки в HyperFlex HX, приводившие к удаленной инъекции команд, опять же без аутентификации.
Что-то кучно пошло. Переживаем за Лукацкого...
Позавчера Cisco выпустила обновления, которыми закрыла несколько дырок в SD-WAN vManage, позволявшие не прошедшему аутентификацию злоумышленнику удаленно выполнить код (RCE) или получить доступ к конфиденциальной информации.
А в довесок к этому устранила еще и две ошибки в HyperFlex HX, приводившие к удаленной инъекции команд, опять же без аутентификации.
Что-то кучно пошло. Переживаем за Лукацкого...
Cisco
Cisco Security Advisory: Cisco SD-WAN vManage Software Vulnerabilities
Multiple vulnerabilities in Cisco SD-WAN vManage Software could allow an unauthenticated, remote attacker to execute arbitrary code or gain access to sensitive information, or allow an authenticated, local attacker to gain escalated privileges or gain unauthorized…
Мы долго ждали, когда же до этого дойдет - и вот, нате!
Австралийская комиссия по преступности (ACIC) заявила, что "у законопослушного гражданина нет законных оснований для владения и использования зашифрованной коммуникационной платформы".
Свое заявление ACIC сделала в рамках документа, направленного в адрес австралийского Парламента в рамках слушаний по поводу законопроекта Surveillance Legislation Amendment (Identify and Disrupt) Bill 2020, который существенно расширяет полномочия австралийских правоохранительных органов в части ограничения цифровых прав и свобод.
ACIC говорит, что "зашифрованные коммуникационные платформы используются исключительно представителями организованной преступности и разработаны специально, чтобы скрыть личности преступников и избежать идентификации со стороны правоохранительных органов".
И хотя в данный момент предложений по привлечению к уголовной ответственности за само пользование шифрованными мессенджерами не прозвучало, первое слово уже сказано. Сегодня в Австралии, далее - везде!
Скрываешь что-то? Значит ты преступник! Потому что законопослушному гражданину нечего скрывать от всевидящего ока заботливого государства.
Скачал Telegram - 3 года крытой! Не ползаешь перед неграми и девиантами на коленях - в газенваген, сука! И кто-то еще говорит, что 1984 это не про современную "демократическую" цивилизацию...
Австралийская комиссия по преступности (ACIC) заявила, что "у законопослушного гражданина нет законных оснований для владения и использования зашифрованной коммуникационной платформы".
Свое заявление ACIC сделала в рамках документа, направленного в адрес австралийского Парламента в рамках слушаний по поводу законопроекта Surveillance Legislation Amendment (Identify and Disrupt) Bill 2020, который существенно расширяет полномочия австралийских правоохранительных органов в части ограничения цифровых прав и свобод.
ACIC говорит, что "зашифрованные коммуникационные платформы используются исключительно представителями организованной преступности и разработаны специально, чтобы скрыть личности преступников и избежать идентификации со стороны правоохранительных органов".
И хотя в данный момент предложений по привлечению к уголовной ответственности за само пользование шифрованными мессенджерами не прозвучало, первое слово уже сказано. Сегодня в Австралии, далее - везде!
Скрываешь что-то? Значит ты преступник! Потому что законопослушному гражданину нечего скрывать от всевидящего ока заботливого государства.
Скачал Telegram - 3 года крытой! Не ползаешь перед неграми и девиантами на коленях - в газенваген, сука! И кто-то еще говорит, что 1984 это не про современную "демократическую" цивилизацию...
ZDNet
ACIC believes there's no legitimate reason to use an encrypted communication platform
The Australian Criminal Intelligence Commission has said an encrypted communication platform is not something a law-abiding member of the community would use.
Исследователи из израильской Check Point сообщили, что обнаружили уязвимость CVE-2020-11292 в чипсете Mobile Station Modem (MSM) от Qualcomm.
Qualcomm MSM используется в 40% современных смартфонов, но ошибке подвержены только 3/4 из них, имеющие интерфейс Qualcomm MSM Interface (QMI), обеспечивающий взаимодействие между чипсетом и Android. Ошибка в механизме обработки пакетов в формате TLV может привести к переполнению кучи и, соответственно, к запуску произвольного кода.
Эксплуатация CVE-2020-11292 в конечном счете может позволить хакеру внедрить вредоносный код в MSM, что сделает его невидимым для любых приложений и механизмов безопасности на уровне ОС. В дальнейшем злоумышленник может получить доступ к истории вызовов и SMS-переписки, а также перехватывать голосовой трафик.
Check Point нашла уязвимость в октябре прошлого года, а в декабре Qualcomm распространила среди производителей смартфонов соответствующие обновления безопасности. Проблема в том, что далеко не все производители, особенно выпускающие модели нижнего ценового диапазона, выпускают своевременные апдейты для своей продукции. И это уже не говоря о смартфонах, выпущенных пару-тройку лет назад, у которых закончился период технической поддержки.
Qualcomm MSM используется в 40% современных смартфонов, но ошибке подвержены только 3/4 из них, имеющие интерфейс Qualcomm MSM Interface (QMI), обеспечивающий взаимодействие между чипсетом и Android. Ошибка в механизме обработки пакетов в формате TLV может привести к переполнению кучи и, соответственно, к запуску произвольного кода.
Эксплуатация CVE-2020-11292 в конечном счете может позволить хакеру внедрить вредоносный код в MSM, что сделает его невидимым для любых приложений и механизмов безопасности на уровне ОС. В дальнейшем злоумышленник может получить доступ к истории вызовов и SMS-переписки, а также перехватывать голосовой трафик.
Check Point нашла уязвимость в октябре прошлого года, а в декабре Qualcomm распространила среди производителей смартфонов соответствующие обновления безопасности. Проблема в том, что далеко не все производители, особенно выпускающие модели нижнего ценового диапазона, выпускают своевременные апдейты для своей продукции. И это уже не говоря о смартфонах, выпущенных пару-тройку лет назад, у которых закончился период технической поддержки.
Check Point Research
Security probe of Qualcomm MSM data services - Check Point Research
Research By: Slava Makkaveev Introduction Mobile Station Modem (MSM) is an ongoing series of a 2G/3G/4G/5G-capable system on chips (SoC) designed by Qualcomm starting in the early 1990s. MSM has always been and will be a popular target for security research…
Дорогие друзья!
На прошедших первомайских праздниках случилось важное для нас событие - вас, подписчиков канала, стало больше 15 тысяч.
Мы долго думали как бы это отметить и некоторые из нас решили открыть комментарии в канале. Но некоторые были против.
Поэтому мы решили спросить об этом вас.
На прошедших первомайских праздниках случилось важное для нас событие - вас, подписчиков канала, стало больше 15 тысяч.
Мы долго думали как бы это отметить и некоторые из нас решили открыть комментарии в канале. Но некоторые были против.
Поэтому мы решили спросить об этом вас.
Открыть ли комментарии в канале SecAtor?
Anonymous Poll
49%
Да, конечно.
51%
Нет, о боже, нет, ни за что!
Ну что же, по результатам опроса комментарии пока открывать не будем.
Правда у нас появились сомнения в чистоте голосования, поэтому мы решили повторить его через месяцок, уже под пристальным нашим вниманием.
А чтобы не скучно было - вот вам картинка про знаменитую школу Мидвэйл, выпускниками которой, как известно, является большинство CISO.
Правда у нас появились сомнения в чистоте голосования, поэтому мы решили повторить его через месяцок, уже под пристальным нашим вниманием.
А чтобы не скучно было - вот вам картинка про знаменитую школу Мидвэйл, выпускниками которой, как известно, является большинство CISO.
Лаборатория Касперского вчера опубликовала отчет в отношении кибероперации TunnelSnake.
TunnelSnake проводилась злоумышленниками в период с октября 2019 под май 2020 года, хотя в одном случае актор, судя по всему, закрепился в сети жертвы ранее 2018 года. Целями киберкампании служили организации в Южной Азии, а также два крупных дипломатических учреждения в Юго-Восточной Азии и Африке.
В ходе атак хакеры использовали авторский руткит, который Касперские назвали Moriya. Это пассивный бэкдор, который перехватывает сетевой трафик в режиме ядра с использованием драйвера Windows, что позволяет ему избежать обнаружения этой активности решениями безопасности, и организует скрытый канал связи с управляющим центром. При этом адрес С2 не прописан жестко в коде бэкдора, он в режиме прослушивания ждет специальным образом созданный пакет, в котором будет содержаться IP-адрес и порт С2.
Хотя Касперские (как обычно, хе-хе) не проводят конкретное атрибутирование, они указывают, что ряд TTPs, в том числе использование совместно с Moriya таких вредоносов как China Chopper, BOUNCER, Termite и Earthworm, указывает на принадлежность Operation TunnelSnake китайской APT. Кроме того, в одном из случаев при расширении своего присутствия в атакованной сети актор использовал инструмент, ранее применявшийся APT 1 aka Comment Panda, очень старой хакерской группе, работающей, как считается, на 2 Управление 3 Департамента ГШ НОАК (Unit 61398).
TunnelSnake проводилась злоумышленниками в период с октября 2019 под май 2020 года, хотя в одном случае актор, судя по всему, закрепился в сети жертвы ранее 2018 года. Целями киберкампании служили организации в Южной Азии, а также два крупных дипломатических учреждения в Юго-Восточной Азии и Африке.
В ходе атак хакеры использовали авторский руткит, который Касперские назвали Moriya. Это пассивный бэкдор, который перехватывает сетевой трафик в режиме ядра с использованием драйвера Windows, что позволяет ему избежать обнаружения этой активности решениями безопасности, и организует скрытый канал связи с управляющим центром. При этом адрес С2 не прописан жестко в коде бэкдора, он в режиме прослушивания ждет специальным образом созданный пакет, в котором будет содержаться IP-адрес и порт С2.
Хотя Касперские (как обычно, хе-хе) не проводят конкретное атрибутирование, они указывают, что ряд TTPs, в том числе использование совместно с Moriya таких вредоносов как China Chopper, BOUNCER, Termite и Earthworm, указывает на принадлежность Operation TunnelSnake китайской APT. Кроме того, в одном из случаев при расширении своего присутствия в атакованной сети актор использовал инструмент, ранее применявшийся APT 1 aka Comment Panda, очень старой хакерской группе, работающей, как считается, на 2 Управление 3 Департамента ГШ НОАК (Unit 61398).
Securelist
Operation TunnelSnake
A newly discovered rootkit 'Moriya' is used by an unknown actor to deploy passive backdoors on public facing servers, facilitating the creation of a covert C&C communication channel.
Sophos рассказывает о расследовании атаки оператора ransomware Ryuk на Европейский институт биомолекулярных исследований, занимающийся, в частности, проектами по изучению COVID-19.
В результате атаки Институт потерял исследовательские данные, собранные в течение недели до инцидента.
В ходе расследования выяснилось, что первичной точкой компрометации сети стал сеанс RDP с использованием учетных данных одного из студентов Института. Оказалось, что студент-заочник решил скачать себе домой взломанную версию некоего ПО для визуализации данных, которое использовалось им в рабочее время в институте. Понятное дело, что для продолжения работы дома никто ему лицензию не дал, а у самого денег не хватило.
Ну а дальше, все как положено - скачанная с найденного в сети сайта взломанная версия, в ней малварь, с помощью которых были украдены учетные данные горе-студента. А потом уже вход с их помощью в институтскую сеть через RDP и после 10-дневного присутствия заражение ее Ryuk.
Все-таки выдать лицензию студенту оказалось бы дешевле.
В результате атаки Институт потерял исследовательские данные, собранные в течение недели до инцидента.
В ходе расследования выяснилось, что первичной точкой компрометации сети стал сеанс RDP с использованием учетных данных одного из студентов Института. Оказалось, что студент-заочник решил скачать себе домой взломанную версию некоего ПО для визуализации данных, которое использовалось им в рабочее время в институте. Понятное дело, что для продолжения работы дома никто ему лицензию не дал, а у самого денег не хватило.
Ну а дальше, все как положено - скачанная с найденного в сети сайта взломанная версия, в ней малварь, с помощью которых были украдены учетные данные горе-студента. А потом уже вход с их помощью в институтскую сеть через RDP и после 10-дневного присутствия заражение ее Ryuk.
Все-таки выдать лицензию студенту оказалось бы дешевле.
Sophos News
MTR in Real Time: Pirates pave way for Ryuk ransomware
Sophos’ Rapid Response team was recently brought in to contain and neutralize an attack involving Ryuk ransomware. The target was a life sciences research institute that has close partnerships with…
Дорогие друзья!
Как говорится, недолго мучилась старушка в бандитских опытных руках. В смысле, недолго мы отдыхали от отдыха в течение этой короткой рабочей (а для особо везучих - нерабочей) недели.
Впереди великий праздник - День Победы! Мы поздравляем всех и желаем мирного неба над головой! Пусть войны происходят только в киберпространстве (и то, не касаясь критической инфраструктуры).
Ура!
Как говорится, недолго мучилась старушка в бандитских опытных руках. В смысле, недолго мы отдыхали от отдыха в течение этой короткой рабочей (а для особо везучих - нерабочей) недели.
Впереди великий праздник - День Победы! Мы поздравляем всех и желаем мирного неба над головой! Пусть войны происходят только в киберпространстве (и то, не касаясь критической инфраструктуры).
Ура!
—Партнерский пост—
Надеемся, вы хорошо отдохнули и набрались сил для того, чтобы сосредоточиться на болевых точках инфосека в бизнесе.
Поскольку, как все помнят, мы еще с прошлого раза принадлежим компании Group-IB, то, что как не новый ГрИБной вебинар «Утечки данных: универсальный метод предотвращения», мы можем порекомендовать? Да практически ничего! Как «пробивают» клиентов на андеграундных форумах за счет «крота» в компании, кому грозят санкции регуляторов за уязвимости в инфраструктуре, как проникают в сеть, крадут корпоративную переписку и как потом стыдно, когда из прессы все становится видно.
Другой известной проблемой для бизнеса являются атаки ransomware. Программами-вымогателями Group-IB занимается вплотную. На вебинаре «Защита финансовых организаций: универсальный метод борьбы с новыми угрозами» можно узнать как готовиться к таким атакам, а главное — платить или не платить.
То, что на этих вебинарах не будут переливать из пустое в порожнее, мы уверены. Но если вы все еще сомневаетесь, то вот вам один факт. Недавно Group-IB взяла 5 звезд Singapore Business Review за свою систему Threat Intelligence & Attribution. Для быстрого получения данных в отношении реальных акторов они засунули туда не только аналитику по даркнету, профилирование злоумышленников, IOC, TTPs, сэмплы малвари, но и сопоставили это все c матрицами MITRE ATT&CK.
Рекомендуем. Пользуйтесь.
Надеемся, вы хорошо отдохнули и набрались сил для того, чтобы сосредоточиться на болевых точках инфосека в бизнесе.
Поскольку, как все помнят, мы еще с прошлого раза принадлежим компании Group-IB, то, что как не новый ГрИБной вебинар «Утечки данных: универсальный метод предотвращения», мы можем порекомендовать? Да практически ничего! Как «пробивают» клиентов на андеграундных форумах за счет «крота» в компании, кому грозят санкции регуляторов за уязвимости в инфраструктуре, как проникают в сеть, крадут корпоративную переписку и как потом стыдно, когда из прессы все становится видно.
Другой известной проблемой для бизнеса являются атаки ransomware. Программами-вымогателями Group-IB занимается вплотную. На вебинаре «Защита финансовых организаций: универсальный метод борьбы с новыми угрозами» можно узнать как готовиться к таким атакам, а главное — платить или не платить.
То, что на этих вебинарах не будут переливать из пустое в порожнее, мы уверены. Но если вы все еще сомневаетесь, то вот вам один факт. Недавно Group-IB взяла 5 звезд Singapore Business Review за свою систему Threat Intelligence & Attribution. Для быстрого получения данных в отношении реальных акторов они засунули туда не только аналитику по даркнету, профилирование злоумышленников, IOC, TTPs, сэмплы малвари, но и сопоставили это все c матрицами MITRE ATT&CK.
Рекомендуем. Пользуйтесь.
Group-Ib
G-Bundle Leaks: универсальный метод предотвращения, реагирования и расследования утечек данных | Group-IB Webinar
<p>Когда компании полагаются на стандартные инструменты защиты, это часто заканчивается появлением данных этих организаций на подпольных форумах или в СМИ. За этим следуют проверки и санкции регуляторов, отток недовольных клиентов и серьезные репутационные…
Владельцы ransomware DarkSide, которых обвинили в причастности к громкому взлому американского трубопровода Colonial Pipeline (мы по этому поводу завтра дадим отдельный большой пост), выпустили своеобразный пресс-релиз, в котором заявили буквально следующее.
"Рафик не виновный, он вне политики, не связан с госструктурами и делает бабло как может. Проблем для населения Рафик создавать не хотел. Во всем виноваты недалекие партнеры-операторы, с которыми будет проведена соответствующая поучительная беседа.
А еще некоторые говорят что Рафик топит за Иран, но это не так."
(конечно не так, там русскоязычные все - и владелец, и операторы).
"Рафик не виновный, он вне политики, не связан с госструктурами и делает бабло как может. Проблем для населения Рафик создавать не хотел. Во всем виноваты недалекие партнеры-операторы, с которыми будет проведена соответствующая поучительная беседа.
А еще некоторые говорят что Рафик топит за Иран, но это не так."
(конечно не так, там русскоязычные все - и владелец, и операторы).
Как обещали, пишем про взлом Colonial Pipeline.
7 мая оператор крупнейшего в США топливопровода Colonial Pipeline стал жертвой атаки ransomware, в силу чего был вынужден временно приостановить работу трубопровода. В субботу утром об инциденте был проинформирован Белый Дом и лично Байден. А уже в воскресенье американское правительство объявило чрезвычайное положение в связи с приостановкой работы Colonial Pipeline - под угрозой оказались поставки почти половины топлива на Восточном побережье США.
Фьючерсы на бензин в моменте выросли на 4%, эксперты ожидают дальнейшего их роста, как и резкого роста цен на газ - в 2017 году из-за отключения Colonial Pipeline после утечки такое уже случалось.
Ответственным за атаку на топливопровод почти сразу же назвали оператора ransomware Darkside. И уже вчера, как мы писали, владельцы Darkside фактически подтвердили то, что Colonial Pipeline был атакован с помощью их вымогателя.
Darkside появились в августе 2020 года и сосредоточились на шифровании крупных корпоративных сетей. Хакеры неоднократно подчеркивали, что группа не шифрует сети больниц, школ, университетов, некоммерческих и государственных организаций. В октябре они пожертвовали по 10 тыс. долларов двум благотворительным организациям. В ноябре Darkside объявили о привлечении партнеров по схеме Ransomware-as-a-Service (RaaS).
И хотя в Топе ransomware Darkside занимает лишь 9 место по количеству жертв, некоторые из их взломов вышли весьма громкими. Например, в феврале их оператор бахнул две крупные электроэнергетические компании Бразилии - Eletronuclear и Copel. Причем Eletronuclear специализируется на строительстве и эксплуатации атомных электростанций.
Тревожный звоночек, да? Но Бразилия - не США, их никому не жалко, да и технологические сегменты сети Eletronuclear не были затронуты, поэтому все забили. Не припомним, делали ли Darkside по этому поводу какие-нибудь заявления? AFAWK, нет.
Если судить по луковому DLS (сайт утечек) Darkside, у них только публичных жертв за апрель насчитывается 13 штук. Реальное количество, с учетом латентности, полагаем, больше.
На всякий случай, в очередной раз распишем схему RaaS. Владелец ransomware, который является разработчиком и одновременно держит соответствующую инфраструктуру - DLS, кошельки для выплат, переговорщиков и пр., предоставляет свой вымогатель привлеченным в качестве оператора хакерским группам/отдельным хакерам, чтобы последние внедрили его в ранее взломанную сеть. Далее, после кражи и шифрования данных, а также зачастую удаления бэкапов, идут переговоры о выкупе и, если они завершаются успешно, полученные деньги делятся в определенном соотношении.
Поэтому в случае с атакой ransomware, работающего по схеме RaaS, неразумно называть виновным государство, которому принадлежит владелец вымогателя, - оператор может быть откуда угодно.
Правда, только не в случае с Darkside - по каким-то причинам владельцы набирают операторов исключительно из числа русскоговорящих. Поэтому можно с уверенностью утверждать, что Colonial Pipeline бахнули хакеры с постсоветсткого пространства, скорее всего из России или Украины.
Байден уже заявил, что нет никаких доказательств причастности российских властей к атаке на топливопровод (и это на самом деле так и есть). Но в то же время подчеркнул, что владельцы ransomware скорее всего находятся в России и в связи с этим "они несут определенную ответственность за то, чтобы разобраться с этим".
Немудрено, что Darkside поспешили сделать заявление, пытаясь свалить всю вину на недалекого оператора, взломавшего не ту сеть, и обещая, что подобного больше не повторится. Потому что США под угрозой санкций могут вынудить российских правоохранителей заняться, наконец, расследованием киберпреступлений, а этого им ох, как не хочется.
Но еще больше нам не хочется санкций, объявленных в ответ на действия хакеров, зарабатывающих миллионы долларов. А есть такое ощущение, что до этого недалеко.
7 мая оператор крупнейшего в США топливопровода Colonial Pipeline стал жертвой атаки ransomware, в силу чего был вынужден временно приостановить работу трубопровода. В субботу утром об инциденте был проинформирован Белый Дом и лично Байден. А уже в воскресенье американское правительство объявило чрезвычайное положение в связи с приостановкой работы Colonial Pipeline - под угрозой оказались поставки почти половины топлива на Восточном побережье США.
Фьючерсы на бензин в моменте выросли на 4%, эксперты ожидают дальнейшего их роста, как и резкого роста цен на газ - в 2017 году из-за отключения Colonial Pipeline после утечки такое уже случалось.
Ответственным за атаку на топливопровод почти сразу же назвали оператора ransomware Darkside. И уже вчера, как мы писали, владельцы Darkside фактически подтвердили то, что Colonial Pipeline был атакован с помощью их вымогателя.
Darkside появились в августе 2020 года и сосредоточились на шифровании крупных корпоративных сетей. Хакеры неоднократно подчеркивали, что группа не шифрует сети больниц, школ, университетов, некоммерческих и государственных организаций. В октябре они пожертвовали по 10 тыс. долларов двум благотворительным организациям. В ноябре Darkside объявили о привлечении партнеров по схеме Ransomware-as-a-Service (RaaS).
И хотя в Топе ransomware Darkside занимает лишь 9 место по количеству жертв, некоторые из их взломов вышли весьма громкими. Например, в феврале их оператор бахнул две крупные электроэнергетические компании Бразилии - Eletronuclear и Copel. Причем Eletronuclear специализируется на строительстве и эксплуатации атомных электростанций.
Тревожный звоночек, да? Но Бразилия - не США, их никому не жалко, да и технологические сегменты сети Eletronuclear не были затронуты, поэтому все забили. Не припомним, делали ли Darkside по этому поводу какие-нибудь заявления? AFAWK, нет.
Если судить по луковому DLS (сайт утечек) Darkside, у них только публичных жертв за апрель насчитывается 13 штук. Реальное количество, с учетом латентности, полагаем, больше.
На всякий случай, в очередной раз распишем схему RaaS. Владелец ransomware, который является разработчиком и одновременно держит соответствующую инфраструктуру - DLS, кошельки для выплат, переговорщиков и пр., предоставляет свой вымогатель привлеченным в качестве оператора хакерским группам/отдельным хакерам, чтобы последние внедрили его в ранее взломанную сеть. Далее, после кражи и шифрования данных, а также зачастую удаления бэкапов, идут переговоры о выкупе и, если они завершаются успешно, полученные деньги делятся в определенном соотношении.
Поэтому в случае с атакой ransomware, работающего по схеме RaaS, неразумно называть виновным государство, которому принадлежит владелец вымогателя, - оператор может быть откуда угодно.
Правда, только не в случае с Darkside - по каким-то причинам владельцы набирают операторов исключительно из числа русскоговорящих. Поэтому можно с уверенностью утверждать, что Colonial Pipeline бахнули хакеры с постсоветсткого пространства, скорее всего из России или Украины.
Байден уже заявил, что нет никаких доказательств причастности российских властей к атаке на топливопровод (и это на самом деле так и есть). Но в то же время подчеркнул, что владельцы ransomware скорее всего находятся в России и в связи с этим "они несут определенную ответственность за то, чтобы разобраться с этим".
Немудрено, что Darkside поспешили сделать заявление, пытаясь свалить всю вину на недалекого оператора, взломавшего не ту сеть, и обещая, что подобного больше не повторится. Потому что США под угрозой санкций могут вынудить российских правоохранителей заняться, наконец, расследованием киберпреступлений, а этого им ох, как не хочется.
Но еще больше нам не хочется санкций, объявленных в ответ на действия хакеров, зарабатывающих миллионы долларов. А есть такое ощущение, что до этого недалеко.
Черный день сегодня, конечно.
Никаких комментариев поводу Казани писать не будем, мы не специалисты.
Наши соболезнования.
Никаких комментариев поводу Казани писать не будем, мы не специалисты.
Наши соболезнования.
Apple все никак не может починить свою функцию App Tracking Transparency по отслеживанию активности приложений по сбору пользовательской информации , которая была введена в конце апреля в iOS 14.5.
Даже после выпуска срочного апдейта iOS 14.5.1 функция заработала не у всех - иногда ее включение в настройках так и остается неактивным.
Журналисты ZDNet предлагают промежуточное решение, которое может помочь сделать App Tracking Transparency активной. Ничего сложного - логаут из AppStore, перезагрузка девайса, логин в AppStore. Говорят, что некоторым помогает.
Остальным предлагается ждать iOS 14.5.2.
Даже после выпуска срочного апдейта iOS 14.5.1 функция заработала не у всех - иногда ее включение в настройках так и остается неактивным.
Журналисты ZDNet предлагают промежуточное решение, которое может помочь сделать App Tracking Transparency активной. Ничего сложного - логаут из AppStore, перезагрузка девайса, логин в AppStore. Говорят, что некоторым помогает.
Остальным предлагается ждать iOS 14.5.2.
ZDNet
iPhone app tracking feature greyed out? Try this fix
Are you still having problems enabling the new app tracking transparency feature even after upgrading to iOS 14.5.1? You're not alone.
А пока все увлеченно обсуждают различные подробности преступного пути группы, стоящей за ransomware Darkside, как-то подзабылись другие хакеры-владельцы вымогателя Babuk, которые стали звездами новостной ленты 2 недели назад.
Напомним, тогда они не только успешно атаковали сеть полицеского управления Вашингтона, но и начали выкладывать личные данные офицеров полиции, поскольку представители власти не спешили выйти на контакт. Также они угрожали опубликовать имена полицейских информаторов внутри организованной преступности.
Несколько же дней спустя Babuk вдруг неожиданно объявили о том, что прекращают свою деятельность и сосредоточатся на разработке open source RaaS.
Однако ветер переменился и вымогатели также передумали вешать своего шифровальщика на гвоздь.
На прошедших праздниках Babuk добавили на свой сайт утечек данные о новой жертве - японской Yamabiko Corporation, у которой они украли 0,5 Тб конфиденциальных данных.
Yamabiko - производитель электроинструментов, сельхозтехники, а также другого оборудования. Годовой доход - более 1 млрд. долларов. Сама жертва пока официальных комментариев не дает.
Сегодня же Babuk опять вспомнили про вашингтонскую полицию. Видимо, какой-то переговорный процесс между полицейскими и хакерами все это время шел, но не привел к общему знаменателю.
"Переговоры зашли в тупик, предложенная сумма нас не устраивает, поэтому мы выкладываем данные еще 20 офицеров полиции, пароль на архив будет завтра".
Эта серия явно не последняя, посмотрим действительно ли решатся вымогатели выкинуть данные, которые могут угрожать здоровью и жизни людей.
Напомним, тогда они не только успешно атаковали сеть полицеского управления Вашингтона, но и начали выкладывать личные данные офицеров полиции, поскольку представители власти не спешили выйти на контакт. Также они угрожали опубликовать имена полицейских информаторов внутри организованной преступности.
Несколько же дней спустя Babuk вдруг неожиданно объявили о том, что прекращают свою деятельность и сосредоточатся на разработке open source RaaS.
Однако ветер переменился и вымогатели также передумали вешать своего шифровальщика на гвоздь.
На прошедших праздниках Babuk добавили на свой сайт утечек данные о новой жертве - японской Yamabiko Corporation, у которой они украли 0,5 Тб конфиденциальных данных.
Yamabiko - производитель электроинструментов, сельхозтехники, а также другого оборудования. Годовой доход - более 1 млрд. долларов. Сама жертва пока официальных комментариев не дает.
Сегодня же Babuk опять вспомнили про вашингтонскую полицию. Видимо, какой-то переговорный процесс между полицейскими и хакерами все это время шел, но не привел к общему знаменателю.
"Переговоры зашли в тупик, предложенная сумма нас не устраивает, поэтому мы выкладываем данные еще 20 офицеров полиции, пароль на архив будет завтра".
Эта серия явно не последняя, посмотрим действительно ли решатся вымогатели выкинуть данные, которые могут угрожать здоровью и жизни людей.