Facebook'у прилетело от немецких властей.

Йоханнес Каспар, уполномоченный по защите данных Гамбурга, издал экстренный трехмесячный приказ, запрещающий Facebook обрабатывать личные данные из WhatsApp. Это связано с вступлением в силу новой политики конфиденциальности мессенджера.

Каспар заявил, что существует опасность использования данных WhatsApp для влияния на избирателей в ходе федеральных выборов в Германии в сентябре этого года. Поэтому для дальнейшего разбирательства дело будет передано в Европейский совет по защите данных (EDPB), чтобы запретить новую политику мессенджера уже на уровне всего ЕС.

WhatsApp же заявил, что Каспар ничего не понимает в колбасных обрезках, сиречь в новой политике конфиденциальности, а потому "приказ не имеет законного основания". В связи с этим администрация мессенджера его исполнять не намерена.

Что же, посмотрим на схватку Facebook и WhatsApp с немецким роскомнадзором. Главное, чтобы известные исторические мотивы не привлекли, а то, знаете ли, "Йоханнес Каспар против Цукерберга" звучит so toxic.

Удивительное рядом - оказалось, что операторы ransomware Darkside, ставшие в одночасье самыми известными хакерами в мире в связи со взломом трубопровода Colonial Pipeline, в своих взломах используют F-Secure C3 (данные из отчета FireEye о владельце и операторах Darkside).

F-Secure C3, если в двух словах, - это опенсорсный фреймворк, разработанный финской инфосек компанией F-Secure, с помощью которого red team при проведении различных пентестов и аудитов организуют каналы связи и эксфильтрации информации с управляющими центрами (С2). Используется для обхода IDS, брандмауэров и защиты на эндпойнтах.

Много споров по этому поводу было и вот теперь оказалось, что Darkside прикрутили F-Secure C3 себе. Эксперты задаются вопросом - что теперь скажут клиенты F-Secure, если пострадают от действий этого ransomware.

А еще смешно, что CRO F-Secure Микко Хиппонен постоянно топил за то, чтобы другой широко используемый хакерами инструмент red team Cobalt Strike называли уже малварью и даже ругался по этому поводу с Twitter.

​​Полное расчехление Альперовича

Президент США Джо Байден подписал исторический указ, которым в рамках мер по усилению информационной безопасности органов власти обозначены будущие программные тренды по модернизации киберзащиты всей страны.

Указ стал ответным шагом новой администрации на критическую массу проблем в области информационной безопасности, с которыми в последнее время столкнулись американцы, вынужденные до сих пор бороться с последствиями инцидента с Colonial Pipeline, горько вспоминающие SolarWinds. Предполагается, что в дальнейшем выработанная федеральным правительством стратегическая линию защиты будет имплементирована в будущие нормативные акты Конгресса США, поскольку до 90% критически важной инфраструктуры страны управляют частные компании. Конгрессмены уже выступили в поддержку новых инициатив.

Указом создается Cybersecurity Safety Review Board, в который будет выполнять наблюдательные и контрольные функции в области расследования киберинцидентов. В совет будут входить представители как государственного, так и частного секторов (будут выбраны министром внутренней безопасности), включая представителей Министерства обороны, Министерства юстиции, CISA, Агентства национальной безопасности и ФБР. Кроме того, представитель Управления по управлению и бюджету будет участвовать в Совете, когда инцидент затрагивает федеральные агентства. Решения совета будут докладываться напрямую президенту США.

Указ вводит более строгие требования к безопасности для подрядчиков программного обеспечения в интересах правительства, которые должен определить Национальный институт стандартов и технологий. Они будут включать создание Спецификаций программного обеспечения для каждого продукта, использование шифрования данных и установление многофакторной аутентификации, основанной на оценке потенциальных угроз. Помимо спецификаций будет применяться маркировка устройств, подключенные к Интернет. Частный сектор по новому указу обязан делиться всей информацией об угрозах и инцидентах, которая может повлиять на функционирование государственных сетей или необходима для обеспечения более эффективной защиты федеральных ведомств.

Помимо прочего будет создан стандартизированный сценарий реагирования на инциденты, а также общегосударственная система обнаружения и реагирования конечных точек и практика ведения журналов для помощи в обнаружении, расследовании и устранении инцидентов.

Байден дал 60 дней для подготовки федеральными агентствами предложений по переходу к новой модели безопасности киберархитектуры, защищенным облачным сервисам и модернизации общегосударственной программы оценки безопасности FedRAMP, а также 180 дней для тотального внедрения многофакторной аутентификации и шифрования передаваемых и хранящихся данных.

Таким образом, Байден условно первее пошифровал правительственные данные и оперативно включил 2FA для доступа к ним. Будет проделано еще много профильной работы в структурах американского правительства и озвучено законотворческих инициатив, но через 180 дней нам будет особенно интересно следить за тем, как хакеры будут ломать новую амбициозную 2FA от Байдена.

Поезд санкционного хайпа начинает свой разбег.

Как мы и говорили, взлом трубопровода Colonial Pipeline оператором ransomware Darkside, имеющим вероятнее всего российское происхождение, что не является секретом для экспертов (специально подчеркнем еще раз для тех, кто думает, что в этом случае имеет место навет со стороны американцев), становится поводом для вала обвинений России со стороны США и их партнеров в неспособности борьбы с киберпреступностью на своей территории.

Если кто-то думает, что мистер Альперович расчехлился вчера просто так, то он ошибается. Сооснователь CrowdStrike, принимавший активное участие в расследовании взлома серверов демократов в 2016 году, как в известном анекдоте, колеблется исключительно вместе с линией партии. К тому же не надо забывать, что Альперович близко дружит с американскими правоохранителями, в частности с ФБР. Поэтому его последнее заявление - это не эмоции, а пробный заброс тезиса.

Вторым глаштаем вчера выступил Доминик Рааб, министр иностранных дел Великобритании, который выступая на конференции CYBERUK заявил, что "Россия несет ответственность за судебное преследование этих хакерских групп и отдельных лиц", имея в виду операторов и владельцев ransomware. "Она не может просто махнуть рукой и сказать, что не имеет к этому никакого отношения", - дополнил он.

Припомнил Рааб и атаки на британские школы и университеты. Хорошо еще, что не вспомнил про атаку ransomware DoppelPaymer на Университетскую больницу Дюссельдорфа, в результате которой погиб пациент. Но еще не вечер, полагаем об этом нам в скором время расскажут немецкие политики.

Ну и про последний указ Байдена мы сегодня уже писали.

А как решает Запад в последнее время все свои непонятки с Россией? Правильно, вводит новые санкции. Поскольку преступность высокотехнологичная, то можно ожидать соответствующих санкционных ограничений в сфере высоких технологий.

Отключат, к примеру, по каналу техподдержки Nokia Networks и Ericsson свои коммутаторы с базовыми станциями и не посмотрите вы больше TikTok. Да что там, и в Telegram не посидите и маме позвонить не сможете. Пока еще Huawei все что надо привезет...

​​Владельцы ransomware Babuk все-таки решили выложить полностью украденные у Управления полиции Вашингтона данные. В числе прочего там содержатся материалы полицейских разработок по организованной преступности, а значит для некоторых вовлеченных в этот процесс людей все может закончится печально.

Кроме того, Babuk подтвердили, что завершают работу с этим конкретным вымогателем, а исходники передадут дружественной хакерской группе, которая будет работать под другим названием.

Мдя...

​​Наверняка все уже видели вчерашнюю новость, что администрация Colonial Pipeline оказывается заплатила таки 5 миллионов долларов владельцам ransomware Darkside в качестве выкупа, однако расшифровка данных пошла не по плану и в результате имеем что имеем.

Но мы не про это - у нас тут обострение информационного фона случилось. Наталья Ивановна Касперская заявила, что не исключена причастность к атаке на Colonial Pipeline спецподразделения ЦРУ, которое замаскировалось под вымогателей дабы напрячь ̶б̶у̶л̶к̶и̶ международную обстановку.

И все это после того, как появилась новость про 5 млн. долларов выкупа, после того как владельцы Darkside сами признали свою причастность к взлому трубопровода.

Вообще говоря, у нас есть ощущение, что каждый раз, когда Наталья Ивановна совершает очередной ошеломляющий камингаут, пиарщики тру Касперского седеют, лысеют и бухают. Скоро колоться будут.

Надо им в качестве мести в Лабораторию Ашманова переименоваться и начать нести всякую дичь.

​​XSS запретил всю продажу и рекламу ransomware.

Как мы и говорили, связь с бандами ransomware становится токсичной. Прорекламировав очередного вымогателя теперь можно нарваться не только на перехват доменного имени, например, но и на визит вежливости от скромных ребят из, скажем, Equation или Lamberts (если кто забыл - это внутренние хакерские группы АНБ и ЦРУ).

Но принципиально это ничего не изменит, переместятся товарищи в даркнет полностью. Хотя объекты атаки фильтровать, наверняка, станут тщательнее.

В это же время очередной жертвой вымогателей стала Национальная служба здравоохранения Ирландии (HSE), в результате чего часть сервисов была отключена. Хорошо еще, что неотложная медицинская помощь в порядке, но амбулаторное лечение в некоторых больницах, к примеру, пришлось отменить.

И хотя название вымогателя пока не объявлялось, к гадалке не ходи, виноватой (и, скорее всего, объективно) окажется русскоязычная банда ransomware. Образ страны, совершенно неспособной разобраться с киберпреступностью на своей территории, будет прирастать к России все прочнее.

А между тем на свободу выходит Forb, один из зачинщиков такого положения вещей.

Google Cloud заключила контракт со Starlink

Согласно известной информации, SpaceX установит наземные терминалы системы Starlink в центрах обработки данных Google.

Причём, установлены они будут как в США, так и по всему миру.

Эти терминалы должны обеспечить подключение к спутникам, а так же бесперебойный доступ в Интернет с помощью имеющейся у Google инфраструктуры.

По словам обеих компаний, эта услуга будет доступна как государственным, так и частным компаниям.

К слову, в прошлом Microsoft также заключила со SpaceX подобное соглашение, подключив к спутникам сервисы Azure.

​​The Record с подачи своего штатного корреспондента, бывшего хакера Дмитрия Смилянца, пишут, что у владельцев Darkside увели всю публичную инфраструктуру, а также часть денег в криптовалюте, которая была переведена на неизвестный кошелек.

Оказывается, что таки можно бороться с вымогателями. Надо только захотеть.

​​Актуальные вопросы информационной безопасности больших инфраструктурных объектов

На фоне ушатывания владельцев ransomware Darkside американцами с ноги прямо в щщи забеспокоились их коллеги по вымогательскому бизнесу.

Unknown, представитель группировки REvil, заявил, что вымогатели вводят новые ограничения на допустимые для атаки цели:
- запрещается атаковать объекты социальной сферы (здравоохранение, учебные заведения);
- запрещается атаковать государственные организации.

И это, пардон, те самые REvil, которые в интервью Смилянцу в марте важно заявляли, что их операторы имеют доступ к системе запуска баллистических ракет, к крейсеру ВМС США, к атомной электростанции и к оружейному заводу. А также "мы в силах начать войну, но это нам не выгодно".

Положительно, хакеры не переносят возможной угрозы физического насилия. Особенно со стороны замотивированных и не обращающих внимание на моральные стороны вопроса представителей государственных спецслужб (что западных, что российских).

P.S. Заметим, что Colonial Pipeline, из-за которого, собственно, вся буча и началась, не является ни объектом социальной сферы, ни государственным учреждением. Так что REvil тут пальнули мимо. Хотя, с другой стороны, возможно они так отреагировали на выступление британского министра иностранных дел Рааба.

Французские инфосек исследователи из консалтинговой компании Sogeti выпустили отчет по результатам своих экзерсисов в отношении скандального ransomware Babuk, владельцы которого на днях выкинули в сеть украденные у Управления полиции Вашингтона данные (не сторговались с копами).

Кроме явных интересных находок, например ошибок в настройках их сайта для утечек (которые, правда, ничего толком не дали), французы попытались в OSINT. И, само собой, кроме "тысячи чертей" ничего не вышло.

Исходя из того, что на Raidforums представитель банды использует ник biba99, исследователи нашли аналогичный Telegram-ID пользователя "Бейбарыс Султан". А потом нашли кучу Бейбарыс Султанов в сети, что характерно - среди казахов. Один из таких Инстаграм-аккаунтов, владелец которого служит в казахской военной полиции, неизвестно чем привлек их внимание, в результате чего они решили, что это может быть тот самый biba99 из Babuk. Хотя там невооруженным взглядом видно, что он даже на Бейбарыс Султана из Телеграма не похож, не говоря уж про Бибу с Raidforums. В общем плохо французы разбираются в казахских аспектах физиогномики.

Дополнительным "подтверждением" того, что вымогатели это мусульмане родом из Казахстана, послужил факт их нелюбви к ЛГБТ и BLM (о чем мы ранее неоднократно паисали). В общем, в OSINT исследователи из Sogeti не умеют. Так что если вы увидите в новостях, что владельцы Babuk - казахи, не верьте.

А вот что действительно любопытно, так это то, что в Babuk французы не обнаружили функции, предотвращающей заражение русскоязычных пользователей, которая часто встречается среди ransomware.

​​На прошлой неделе Microsoft выпустили очередной месячный апдейт безопасности, которым, среди прочего, закрыли критическую уязвимость CVE-2021-31166, которую оценили в 9,8 по шкале критичности CVSS.

Ошибка находится в стеке HTTP Microsoft IIS и при эксплуатации может привести к повреждению памяти и, как следствие, к удаленному выполнению кода в ядре ОС.

Microsoft заявили, что эта уязвимость может привести к созданию сетевого червя, который будет распространяться по серверам IIS.

А вчера исследователь Алекс Суше представил Proof of Concept для CVE-2021-31166, а значит до рабочего эксплойта в руках хакеров осталось всего ничего.

Поэтому если у вы используете Microsoft IIS - обновитесь, нечего червей плодить.

​​В оборот группы вымогателей Avaddon попал страховой гигант AXA. Филиалы страхового гиганта, расположенные в Таиланде, Малайзии, Гонконге и на Филиппинах, подверглись кибератаке.

ОБ инциденте заявили сами хакеры на своем сайте, сообщив о хищении более 3 ТБ конфиденциальных сведений азиатских подразделений компании, а также обрушив на ее сайты массированный DDoS. О своей тактике склонения к диалогу жертв группировка официально предупреждала еще в январе 2021 года.

Скомпрометированные Avaddon данные включают медицинские отчеты клиентов (раскрывающие диагноз сексуального здоровья), копии удостоверений личности, выписки с банковского счета, платежные записи, контракты и многое другое.

Внимание злоумышленников AXA привлекла своим громким объявлением об отказе возмещения ущерба от неправомерных действий с использованием ransomware по полисам киберстрахования во Франции.

Avaddon предоставил 10-дневный срок для урегулирования вопроса по выплате выкупа, в противном случае банда намерена начать публиковать похищенные клиентские данные.

Тем временем, в AXA очень серьезно отнеслись к случившемуся и подключили к расследованию специальную рабочую группу с привлечением внешних экспертов, проинформировали надзорные инстанции и партнеров. AXA пока не называли сумму выкупа, которую требует Avaddon.

Примечательно, что на этой неделе Федеральное бюро расследований (ФБР) и Австралийский центр кибербезопасности (ACSC) предупреждали о потенциальной активности программ-вымогателей Avaddon. Надо было прислушаться, как минимум застраховать риски.

Полагаем, что компания после инцидента будет проявлять большую солидарность к жертвам банд вымогателей, а если нет - то, вероятно, их научат это делать Робины Гуды современности.

Правительство Японии решило отреагировать на возрастающий уровень киберугроз, в том числе в качестве реакции на взлом Colonial Pipeline, и объявило что введет новые правила для 44 частных и государственных секторов.

В их число входят - телекоммуникации, электроэнергетика, финансы, железные дороги, госуслуги, здравоохранение и пр.

Основное нововведение - отныне японское правительство сможет устанавливать требования для коммерческих компаний в части использования иностранного оборудования и сервисов (например, облачных решений). И, если госорганам что-то не понравится, напрямую запрещать их применение.

Все происходящее вполне в духе стремительного развития Кластернета. Но, с другой стороны, желание японцев максимально сократить количество неподконтрольных им железок и услуг в критически важных областях народного хозяйства, с учетом последних тенденций развития киберугроз, вполне себе понятно.

Что же касается самой "деспотичной диктатуры в Европе" (это мы про Россию, если кто не понял, а не про Бацьку), то тут, в отличие от демократичных японцев, наши телеком операторы, например, на счет раз вышвыривают из тендеров российские инфосек компании ради их иностранных конкурентов. И если кто-то подумал про конкретную организацию, то вы ошибаетесь, - мы знаем подобных случаев минимум 4.

Кровавая гэбня и тоталитаризм, куле.

​​Администратор XSS снял с депозита владельцев ransomware Darkside больше 22 BTC (около 1 млн. долларов).

Это произошло из-за жалобы сотрудничавшего с вымогателями оператора, который взломал сеть неназванной компании и разместил в ней Darkside, после чего жертва выплатила его владельцам выкуп. Однако те не смогли перевести оператору 80% от полученной в криптовалюте суммы согласно договоренности из-за того, что средства с их кошелька были выведены (вероятнее всего американцами).

Трест, который лопнул.

Вышел новый выпуск еженедельных новостей от SecurityLab.

Из того, что бросилось в глаза нам - главный маркетолог Позитивов Заполянский пообещал на PHD представить новую концепцию информационной безопасности, в честь чего мероприятие назвали "Начало". Правда ничего не объяснил толком, напустил тумана и позвал всех на PHD.

Главное - чтобы пространство не сворачивали.

Словаки из ESET опубликовали исследование, посвященное безопасности т.н. stalkerware для Android.

Stalkerware - это мобильное ПО, которое устанавливается на целевое устройство с использованием физического доступа и втихаря мониторит его активность. Используется, как правило, для контроля детей и неверных супругов. В иных случаях установка такого ПО - вполне себе подсудное дело (по крайней мере, в России) и, тем не менее, его пытаются использовать и для других целей. Несмотря даже на то, что многие антивирусные решения помечают сталкерское ПО как нежелательное или вредоносное.

Исследователи проанализировали 86 stalkerware для Android. В 58 из них были обнаружены в общей сложности 158 уязвимостей, которые в случае их эксплуатации позволили бы хакеру получить контроль над устройством, захватить учетную запись сталкера или осуществить удаленное выполнение кода.

К примеру, некоторые приложения передают данные мониторинга на сервер ПО по открытому каналу, другие хранят их на внешнем носителе также в открытом виде и пр. и пр. А одно из приложений использует Metasploit для мониторинга.

Теперь к самому печальному - ESET сообщили о выявленных уязвимостях производителям ПО. Только 6 из них исправили ошибки, 7 пообещали, но не исправили, а 44 просто отморозились. Поскольку три месяца с момента направления данных производителям прошло, то словаки решили раскрыть часть данных в своем полном отчете, который можно посмотреть по ссылке.

Компания Elliptic, специализирующаяся на аналитике блокчейна в целях борьбы с финансовыми преступлениями, посчитала сколько владельцы ransomware Darkside получили выкупа за 9 месяцев своей активности.

Сразу заметим, что эта сумма не полностью уходит владельцу, а делится в определенной пропорции - по данным экспертов доля владельца может варьироваться от 10 до 25%.

Ранее Elliptic идентифицировала кошелек Darkside, на который ушли 75 BTC выкупа от Colonial Pipeline. А затем исследователи проанализировали движение криптовалюты через этот кошелек.

В общей сложности Darkside получили выкуп от 47 жертв, общая сумма - более 90 млн. долларов. Из них 15,5 млн. долларов ушли владельцам вымогателя, а 74,7 млн. долларов получили операторы.

Хорошая прибавка к зарплате. Купят женам сапоги.