М-м-м, а это разве было для кого-то секретом?

ЛОЛ (установка русской клавиатуры в Windows предотвращает заражение вирусами-вымогателями DarkSide и подобными)

https://twitter.com/briankrebs/status/1392163072970829830

Бельгийский исследователь Мэти Ванхоф обнаружил несколько уязвимостей в стандарте Wi-Fi, которые появились еще в 1997 году. Это с трудом укладывается в голове, но некоторые ошибки из набора, получившего название FragAttacks, появились 24 года назад, даже не при Путине!

Три уязвимости из FragAttacks являются конструктивными недостатками Wi-Fi и поэтому им подвержено большинство устройств. Затронуты все протоколы безопасности стандарта, включая последний WPA3. Полную информацию Ванхоф обещает сообщить в соответствующем докладе на конференции USENIX Security '21 в августе этого года.

На специально созданном сайте Ванхоф разместил демо эксплуатации обнаруженных уязвимостей, в котором показал перехват конфиденциальной информации, перехват управления устройствами IoT и даже взлом находящейся в локальной сети машины (правда под управлением Windows 7).

По словам исследователя, информацию об уязвимостях (всего их 12 штук) он сообщил в Wi-Fi Alliance и в течение последних 9 месяцев организация совместно с производителями оборудования работала над их исправлениями. Правда, как обычно, апдейты выпустили далеко не все, поэтому в отдельном разделе Ванхоф рекомендации по снижению влияния уязвимостей.

Более подробная информация - в первоисточнике, там ее достаточно много.

Microsoft выпустили очередной месячный апдейт безопасности.

Устранены в общей сложности 55 уязвимостей, 4 из которых критические. Три исправленные ошибки - 0-day.

Среди исправленных - CVE-2021-31207 в Exchange, которая была обнаружена в апреле в рамках мероприятия Pwn2Own. И хотя оценка критичности уязвимости относительно невысока (6,6 по CVSS), эксплойта пока не опубликовали. Еще две исправленные уязвимости нулевого дня - RCE-дырка CVE-2021-31200, а также CVE-2021-31204, приводящая к повышению привилегий в .NET и Visual Studio.

Также закрыты две критические ошибки, приводящие к удаленному выполнению кода.

Короче, как всегда, стоит обновиться.

Facebook'у прилетело от немецких властей.

Йоханнес Каспар, уполномоченный по защите данных Гамбурга, издал экстренный трехмесячный приказ, запрещающий Facebook обрабатывать личные данные из WhatsApp. Это связано с вступлением в силу новой политики конфиденциальности мессенджера.

Каспар заявил, что существует опасность использования данных WhatsApp для влияния на избирателей в ходе федеральных выборов в Германии в сентябре этого года. Поэтому для дальнейшего разбирательства дело будет передано в Европейский совет по защите данных (EDPB), чтобы запретить новую политику мессенджера уже на уровне всего ЕС.

WhatsApp же заявил, что Каспар ничего не понимает в колбасных обрезках, сиречь в новой политике конфиденциальности, а потому "приказ не имеет законного основания". В связи с этим администрация мессенджера его исполнять не намерена.

Что же, посмотрим на схватку Facebook и WhatsApp с немецким роскомнадзором. Главное, чтобы известные исторические мотивы не привлекли, а то, знаете ли, "Йоханнес Каспар против Цукерберга" звучит so toxic.

Удивительное рядом - оказалось, что операторы ransomware Darkside, ставшие в одночасье самыми известными хакерами в мире в связи со взломом трубопровода Colonial Pipeline, в своих взломах используют F-Secure C3 (данные из отчета FireEye о владельце и операторах Darkside).

F-Secure C3, если в двух словах, - это опенсорсный фреймворк, разработанный финской инфосек компанией F-Secure, с помощью которого red team при проведении различных пентестов и аудитов организуют каналы связи и эксфильтрации информации с управляющими центрами (С2). Используется для обхода IDS, брандмауэров и защиты на эндпойнтах.

Много споров по этому поводу было и вот теперь оказалось, что Darkside прикрутили F-Secure C3 себе. Эксперты задаются вопросом - что теперь скажут клиенты F-Secure, если пострадают от действий этого ransomware.

А еще смешно, что CRO F-Secure Микко Хиппонен постоянно топил за то, чтобы другой широко используемый хакерами инструмент red team Cobalt Strike называли уже малварью и даже ругался по этому поводу с Twitter.

​​Полное расчехление Альперовича

Президент США Джо Байден подписал исторический указ, которым в рамках мер по усилению информационной безопасности органов власти обозначены будущие программные тренды по модернизации киберзащиты всей страны.

Указ стал ответным шагом новой администрации на критическую массу проблем в области информационной безопасности, с которыми в последнее время столкнулись американцы, вынужденные до сих пор бороться с последствиями инцидента с Colonial Pipeline, горько вспоминающие SolarWinds. Предполагается, что в дальнейшем выработанная федеральным правительством стратегическая линию защиты будет имплементирована в будущие нормативные акты Конгресса США, поскольку до 90% критически важной инфраструктуры страны управляют частные компании. Конгрессмены уже выступили в поддержку новых инициатив.

Указом создается Cybersecurity Safety Review Board, в который будет выполнять наблюдательные и контрольные функции в области расследования киберинцидентов. В совет будут входить представители как государственного, так и частного секторов (будут выбраны министром внутренней безопасности), включая представителей Министерства обороны, Министерства юстиции, CISA, Агентства национальной безопасности и ФБР. Кроме того, представитель Управления по управлению и бюджету будет участвовать в Совете, когда инцидент затрагивает федеральные агентства. Решения совета будут докладываться напрямую президенту США.

Указ вводит более строгие требования к безопасности для подрядчиков программного обеспечения в интересах правительства, которые должен определить Национальный институт стандартов и технологий. Они будут включать создание Спецификаций программного обеспечения для каждого продукта, использование шифрования данных и установление многофакторной аутентификации, основанной на оценке потенциальных угроз. Помимо спецификаций будет применяться маркировка устройств, подключенные к Интернет. Частный сектор по новому указу обязан делиться всей информацией об угрозах и инцидентах, которая может повлиять на функционирование государственных сетей или необходима для обеспечения более эффективной защиты федеральных ведомств.

Помимо прочего будет создан стандартизированный сценарий реагирования на инциденты, а также общегосударственная система обнаружения и реагирования конечных точек и практика ведения журналов для помощи в обнаружении, расследовании и устранении инцидентов.

Байден дал 60 дней для подготовки федеральными агентствами предложений по переходу к новой модели безопасности киберархитектуры, защищенным облачным сервисам и модернизации общегосударственной программы оценки безопасности FedRAMP, а также 180 дней для тотального внедрения многофакторной аутентификации и шифрования передаваемых и хранящихся данных.

Таким образом, Байден условно первее пошифровал правительственные данные и оперативно включил 2FA для доступа к ним. Будет проделано еще много профильной работы в структурах американского правительства и озвучено законотворческих инициатив, но через 180 дней нам будет особенно интересно следить за тем, как хакеры будут ломать новую амбициозную 2FA от Байдена.

Поезд санкционного хайпа начинает свой разбег.

Как мы и говорили, взлом трубопровода Colonial Pipeline оператором ransomware Darkside, имеющим вероятнее всего российское происхождение, что не является секретом для экспертов (специально подчеркнем еще раз для тех, кто думает, что в этом случае имеет место навет со стороны американцев), становится поводом для вала обвинений России со стороны США и их партнеров в неспособности борьбы с киберпреступностью на своей территории.

Если кто-то думает, что мистер Альперович расчехлился вчера просто так, то он ошибается. Сооснователь CrowdStrike, принимавший активное участие в расследовании взлома серверов демократов в 2016 году, как в известном анекдоте, колеблется исключительно вместе с линией партии. К тому же не надо забывать, что Альперович близко дружит с американскими правоохранителями, в частности с ФБР. Поэтому его последнее заявление - это не эмоции, а пробный заброс тезиса.

Вторым глаштаем вчера выступил Доминик Рааб, министр иностранных дел Великобритании, который выступая на конференции CYBERUK заявил, что "Россия несет ответственность за судебное преследование этих хакерских групп и отдельных лиц", имея в виду операторов и владельцев ransomware. "Она не может просто махнуть рукой и сказать, что не имеет к этому никакого отношения", - дополнил он.

Припомнил Рааб и атаки на британские школы и университеты. Хорошо еще, что не вспомнил про атаку ransomware DoppelPaymer на Университетскую больницу Дюссельдорфа, в результате которой погиб пациент. Но еще не вечер, полагаем об этом нам в скором время расскажут немецкие политики.

Ну и про последний указ Байдена мы сегодня уже писали.

А как решает Запад в последнее время все свои непонятки с Россией? Правильно, вводит новые санкции. Поскольку преступность высокотехнологичная, то можно ожидать соответствующих санкционных ограничений в сфере высоких технологий.

Отключат, к примеру, по каналу техподдержки Nokia Networks и Ericsson свои коммутаторы с базовыми станциями и не посмотрите вы больше TikTok. Да что там, и в Telegram не посидите и маме позвонить не сможете. Пока еще Huawei все что надо привезет...

​​Владельцы ransomware Babuk все-таки решили выложить полностью украденные у Управления полиции Вашингтона данные. В числе прочего там содержатся материалы полицейских разработок по организованной преступности, а значит для некоторых вовлеченных в этот процесс людей все может закончится печально.

Кроме того, Babuk подтвердили, что завершают работу с этим конкретным вымогателем, а исходники передадут дружественной хакерской группе, которая будет работать под другим названием.

Мдя...

​​Наверняка все уже видели вчерашнюю новость, что администрация Colonial Pipeline оказывается заплатила таки 5 миллионов долларов владельцам ransomware Darkside в качестве выкупа, однако расшифровка данных пошла не по плану и в результате имеем что имеем.

Но мы не про это - у нас тут обострение информационного фона случилось. Наталья Ивановна Касперская заявила, что не исключена причастность к атаке на Colonial Pipeline спецподразделения ЦРУ, которое замаскировалось под вымогателей дабы напрячь ̶б̶у̶л̶к̶и̶ международную обстановку.

И все это после того, как появилась новость про 5 млн. долларов выкупа, после того как владельцы Darkside сами признали свою причастность к взлому трубопровода.

Вообще говоря, у нас есть ощущение, что каждый раз, когда Наталья Ивановна совершает очередной ошеломляющий камингаут, пиарщики тру Касперского седеют, лысеют и бухают. Скоро колоться будут.

Надо им в качестве мести в Лабораторию Ашманова переименоваться и начать нести всякую дичь.

​​XSS запретил всю продажу и рекламу ransomware.

Как мы и говорили, связь с бандами ransomware становится токсичной. Прорекламировав очередного вымогателя теперь можно нарваться не только на перехват доменного имени, например, но и на визит вежливости от скромных ребят из, скажем, Equation или Lamberts (если кто забыл - это внутренние хакерские группы АНБ и ЦРУ).

Но принципиально это ничего не изменит, переместятся товарищи в даркнет полностью. Хотя объекты атаки фильтровать, наверняка, станут тщательнее.

В это же время очередной жертвой вымогателей стала Национальная служба здравоохранения Ирландии (HSE), в результате чего часть сервисов была отключена. Хорошо еще, что неотложная медицинская помощь в порядке, но амбулаторное лечение в некоторых больницах, к примеру, пришлось отменить.

И хотя название вымогателя пока не объявлялось, к гадалке не ходи, виноватой (и, скорее всего, объективно) окажется русскоязычная банда ransomware. Образ страны, совершенно неспособной разобраться с киберпреступностью на своей территории, будет прирастать к России все прочнее.

А между тем на свободу выходит Forb, один из зачинщиков такого положения вещей.

Google Cloud заключила контракт со Starlink

Согласно известной информации, SpaceX установит наземные терминалы системы Starlink в центрах обработки данных Google.

Причём, установлены они будут как в США, так и по всему миру.

Эти терминалы должны обеспечить подключение к спутникам, а так же бесперебойный доступ в Интернет с помощью имеющейся у Google инфраструктуры.

По словам обеих компаний, эта услуга будет доступна как государственным, так и частным компаниям.

К слову, в прошлом Microsoft также заключила со SpaceX подобное соглашение, подключив к спутникам сервисы Azure.

​​The Record с подачи своего штатного корреспондента, бывшего хакера Дмитрия Смилянца, пишут, что у владельцев Darkside увели всю публичную инфраструктуру, а также часть денег в криптовалюте, которая была переведена на неизвестный кошелек.

Оказывается, что таки можно бороться с вымогателями. Надо только захотеть.

​​Актуальные вопросы информационной безопасности больших инфраструктурных объектов

На фоне ушатывания владельцев ransomware Darkside американцами с ноги прямо в щщи забеспокоились их коллеги по вымогательскому бизнесу.

Unknown, представитель группировки REvil, заявил, что вымогатели вводят новые ограничения на допустимые для атаки цели:
- запрещается атаковать объекты социальной сферы (здравоохранение, учебные заведения);
- запрещается атаковать государственные организации.

И это, пардон, те самые REvil, которые в интервью Смилянцу в марте важно заявляли, что их операторы имеют доступ к системе запуска баллистических ракет, к крейсеру ВМС США, к атомной электростанции и к оружейному заводу. А также "мы в силах начать войну, но это нам не выгодно".

Положительно, хакеры не переносят возможной угрозы физического насилия. Особенно со стороны замотивированных и не обращающих внимание на моральные стороны вопроса представителей государственных спецслужб (что западных, что российских).

P.S. Заметим, что Colonial Pipeline, из-за которого, собственно, вся буча и началась, не является ни объектом социальной сферы, ни государственным учреждением. Так что REvil тут пальнули мимо. Хотя, с другой стороны, возможно они так отреагировали на выступление британского министра иностранных дел Рааба.

Французские инфосек исследователи из консалтинговой компании Sogeti выпустили отчет по результатам своих экзерсисов в отношении скандального ransomware Babuk, владельцы которого на днях выкинули в сеть украденные у Управления полиции Вашингтона данные (не сторговались с копами).

Кроме явных интересных находок, например ошибок в настройках их сайта для утечек (которые, правда, ничего толком не дали), французы попытались в OSINT. И, само собой, кроме "тысячи чертей" ничего не вышло.

Исходя из того, что на Raidforums представитель банды использует ник biba99, исследователи нашли аналогичный Telegram-ID пользователя "Бейбарыс Султан". А потом нашли кучу Бейбарыс Султанов в сети, что характерно - среди казахов. Один из таких Инстаграм-аккаунтов, владелец которого служит в казахской военной полиции, неизвестно чем привлек их внимание, в результате чего они решили, что это может быть тот самый biba99 из Babuk. Хотя там невооруженным взглядом видно, что он даже на Бейбарыс Султана из Телеграма не похож, не говоря уж про Бибу с Raidforums. В общем плохо французы разбираются в казахских аспектах физиогномики.

Дополнительным "подтверждением" того, что вымогатели это мусульмане родом из Казахстана, послужил факт их нелюбви к ЛГБТ и BLM (о чем мы ранее неоднократно паисали). В общем, в OSINT исследователи из Sogeti не умеют. Так что если вы увидите в новостях, что владельцы Babuk - казахи, не верьте.

А вот что действительно любопытно, так это то, что в Babuk французы не обнаружили функции, предотвращающей заражение русскоязычных пользователей, которая часто встречается среди ransomware.

​​На прошлой неделе Microsoft выпустили очередной месячный апдейт безопасности, которым, среди прочего, закрыли критическую уязвимость CVE-2021-31166, которую оценили в 9,8 по шкале критичности CVSS.

Ошибка находится в стеке HTTP Microsoft IIS и при эксплуатации может привести к повреждению памяти и, как следствие, к удаленному выполнению кода в ядре ОС.

Microsoft заявили, что эта уязвимость может привести к созданию сетевого червя, который будет распространяться по серверам IIS.

А вчера исследователь Алекс Суше представил Proof of Concept для CVE-2021-31166, а значит до рабочего эксплойта в руках хакеров осталось всего ничего.

Поэтому если у вы используете Microsoft IIS - обновитесь, нечего червей плодить.

​​В оборот группы вымогателей Avaddon попал страховой гигант AXA. Филиалы страхового гиганта, расположенные в Таиланде, Малайзии, Гонконге и на Филиппинах, подверглись кибератаке.

ОБ инциденте заявили сами хакеры на своем сайте, сообщив о хищении более 3 ТБ конфиденциальных сведений азиатских подразделений компании, а также обрушив на ее сайты массированный DDoS. О своей тактике склонения к диалогу жертв группировка официально предупреждала еще в январе 2021 года.

Скомпрометированные Avaddon данные включают медицинские отчеты клиентов (раскрывающие диагноз сексуального здоровья), копии удостоверений личности, выписки с банковского счета, платежные записи, контракты и многое другое.

Внимание злоумышленников AXA привлекла своим громким объявлением об отказе возмещения ущерба от неправомерных действий с использованием ransomware по полисам киберстрахования во Франции.

Avaddon предоставил 10-дневный срок для урегулирования вопроса по выплате выкупа, в противном случае банда намерена начать публиковать похищенные клиентские данные.

Тем временем, в AXA очень серьезно отнеслись к случившемуся и подключили к расследованию специальную рабочую группу с привлечением внешних экспертов, проинформировали надзорные инстанции и партнеров. AXA пока не называли сумму выкупа, которую требует Avaddon.

Примечательно, что на этой неделе Федеральное бюро расследований (ФБР) и Австралийский центр кибербезопасности (ACSC) предупреждали о потенциальной активности программ-вымогателей Avaddon. Надо было прислушаться, как минимум застраховать риски.

Полагаем, что компания после инцидента будет проявлять большую солидарность к жертвам банд вымогателей, а если нет - то, вероятно, их научат это делать Робины Гуды современности.

Правительство Японии решило отреагировать на возрастающий уровень киберугроз, в том числе в качестве реакции на взлом Colonial Pipeline, и объявило что введет новые правила для 44 частных и государственных секторов.

В их число входят - телекоммуникации, электроэнергетика, финансы, железные дороги, госуслуги, здравоохранение и пр.

Основное нововведение - отныне японское правительство сможет устанавливать требования для коммерческих компаний в части использования иностранного оборудования и сервисов (например, облачных решений). И, если госорганам что-то не понравится, напрямую запрещать их применение.

Все происходящее вполне в духе стремительного развития Кластернета. Но, с другой стороны, желание японцев максимально сократить количество неподконтрольных им железок и услуг в критически важных областях народного хозяйства, с учетом последних тенденций развития киберугроз, вполне себе понятно.

Что же касается самой "деспотичной диктатуры в Европе" (это мы про Россию, если кто не понял, а не про Бацьку), то тут, в отличие от демократичных японцев, наши телеком операторы, например, на счет раз вышвыривают из тендеров российские инфосек компании ради их иностранных конкурентов. И если кто-то подумал про конкретную организацию, то вы ошибаетесь, - мы знаем подобных случаев минимум 4.

Кровавая гэбня и тоталитаризм, куле.