Словаки из ESET опубликовали исследование, посвященное безопасности т.н. stalkerware для Android.
Stalkerware - это мобильное ПО, которое устанавливается на целевое устройство с использованием физического доступа и втихаря мониторит его активность. Используется, как правило, для контроля детей и неверных супругов. В иных случаях установка такого ПО - вполне себе подсудное дело (по крайней мере, в России) и, тем не менее, его пытаются использовать и для других целей. Несмотря даже на то, что многие антивирусные решения помечают сталкерское ПО как нежелательное или вредоносное.
Исследователи проанализировали 86 stalkerware для Android. В 58 из них были обнаружены в общей сложности 158 уязвимостей, которые в случае их эксплуатации позволили бы хакеру получить контроль над устройством, захватить учетную запись сталкера или осуществить удаленное выполнение кода.
К примеру, некоторые приложения передают данные мониторинга на сервер ПО по открытому каналу, другие хранят их на внешнем носителе также в открытом виде и пр. и пр. А одно из приложений использует Metasploit для мониторинга.
Теперь к самому печальному - ESET сообщили о выявленных уязвимостях производителям ПО. Только 6 из них исправили ошибки, 7 пообещали, но не исправили, а 44 просто отморозились. Поскольку три месяца с момента направления данных производителям прошло, то словаки решили раскрыть часть данных в своем полном отчете, который можно посмотреть по ссылке.
Stalkerware - это мобильное ПО, которое устанавливается на целевое устройство с использованием физического доступа и втихаря мониторит его активность. Используется, как правило, для контроля детей и неверных супругов. В иных случаях установка такого ПО - вполне себе подсудное дело (по крайней мере, в России) и, тем не менее, его пытаются использовать и для других целей. Несмотря даже на то, что многие антивирусные решения помечают сталкерское ПО как нежелательное или вредоносное.
Исследователи проанализировали 86 stalkerware для Android. В 58 из них были обнаружены в общей сложности 158 уязвимостей, которые в случае их эксплуатации позволили бы хакеру получить контроль над устройством, захватить учетную запись сталкера или осуществить удаленное выполнение кода.
К примеру, некоторые приложения передают данные мониторинга на сервер ПО по открытому каналу, другие хранят их на внешнем носителе также в открытом виде и пр. и пр. А одно из приложений использует Metasploit для мониторинга.
Теперь к самому печальному - ESET сообщили о выявленных уязвимостях производителям ПО. Только 6 из них исправили ошибки, 7 пообещали, но не исправили, а 44 просто отморозились. Поскольку три месяца с момента направления данных производителям прошло, то словаки решили раскрыть часть данных в своем полном отчете, который можно посмотреть по ссылке.
WeLiveSecurity
Android stalkerware threatens victims further and exposes snoopers themselves
ESET research shows that Android stalkerware apps are riddled with security flaws that may also expose the privacy and security of the stalkers themselves.
Компания Elliptic, специализирующаяся на аналитике блокчейна в целях борьбы с финансовыми преступлениями, посчитала сколько владельцы ransomware Darkside получили выкупа за 9 месяцев своей активности.
Сразу заметим, что эта сумма не полностью уходит владельцу, а делится в определенной пропорции - по данным экспертов доля владельца может варьироваться от 10 до 25%.
Ранее Elliptic идентифицировала кошелек Darkside, на который ушли 75 BTC выкупа от Colonial Pipeline. А затем исследователи проанализировали движение криптовалюты через этот кошелек.
В общей сложности Darkside получили выкуп от 47 жертв, общая сумма - более 90 млн. долларов. Из них 15,5 млн. долларов ушли владельцам вымогателя, а 74,7 млн. долларов получили операторы.
Хорошая прибавка к зарплате. Купят женам сапоги.
Сразу заметим, что эта сумма не полностью уходит владельцу, а делится в определенной пропорции - по данным экспертов доля владельца может варьироваться от 10 до 25%.
Ранее Elliptic идентифицировала кошелек Darkside, на который ушли 75 BTC выкупа от Colonial Pipeline. А затем исследователи проанализировали движение криптовалюты через этот кошелек.
В общей сложности Darkside получили выкуп от 47 жертв, общая сумма - более 90 млн. долларов. Из них 15,5 млн. долларов ушли владельцам вымогателя, а 74,7 млн. долларов получили операторы.
Хорошая прибавка к зарплате. Купят женам сапоги.
www.elliptic.co
DarkSide Ransomware has Netted Over $90 million in Bitcoin
Elliptic uses blockchain analytics to analyse Bitcoin wallets used by DarkSide to receive ransom payments from its victims over the past nine months.
Позитивная обраточка. Никому ничего объяснять не надо?
P.S. Будете еще санкции вводить - ДНК Гейтса отсеквенируем.
P.S. Будете еще санкции вводить - ДНК Гейтса отсеквенируем.
Twitter
Mark Ermolov
Today, we (+@h0t_max and @_Dmit) decided to publish our microcode disassembler tool for Intel Atom Goldmont core: github.com/chip-red-pill/…
Вчера Google рассказали про новые фишки Android 12, который планируется к выходу осенью.
Всякие обновления дизайна нам не интересны, как и несколько улучшенное быстродействие ОС. Ну серьезно, кто-то просчитывает на смартфонах математические модели?
А вот на что мы всегда обращаем внимание - так это на вопросы безопасности и конфиденциальности. И в случае с Android 12 Google были вынуждены пойти на некоторые меры по усилению приватности пользователей, потому что Apple уже сделали это в iOS 14.
Во-первых, Google наконец-то добавили индикаторы работы микрофона и камеры. Кроме того, в панели быстрых настроек появились переключатели, позволяющие отключить доступ к микрофону или камере для всей системы (кроме АНБ, конечно).
Во-вторых, Android будет показывать уведомления, когда приложения используют буфер, кроме случаев, когда это происходит внутри одного приложения.
В-третьих, также с iOS скопирована функция "приблизительной геолокации", чтобы не передавать лишний раз приложениям, например о погоде, точные координаты нахождения устройства.
Конфиденциальность это хорошо. А еще лучше, что у нас есть такая конкуренция между Apple и Google.
Всякие обновления дизайна нам не интересны, как и несколько улучшенное быстродействие ОС. Ну серьезно, кто-то просчитывает на смартфонах математические модели?
А вот на что мы всегда обращаем внимание - так это на вопросы безопасности и конфиденциальности. И в случае с Android 12 Google были вынуждены пойти на некоторые меры по усилению приватности пользователей, потому что Apple уже сделали это в iOS 14.
Во-первых, Google наконец-то добавили индикаторы работы микрофона и камеры. Кроме того, в панели быстрых настроек появились переключатели, позволяющие отключить доступ к микрофону или камере для всей системы (кроме АНБ, конечно).
Во-вторых, Android будет показывать уведомления, когда приложения используют буфер, кроме случаев, когда это происходит внутри одного приложения.
В-третьих, также с iOS скопирована функция "приблизительной геолокации", чтобы не передавать лишний раз приложениям, например о погоде, точные координаты нахождения устройства.
Конфиденциальность это хорошо. А еще лучше, что у нас есть такая конкуренция между Apple и Google.
Android Developers Blog
What’s new in Android 12 Beta
Posted by Dave Burke, VP of Engineering Today at Google I/O we unveiled the first Beta of Android 12, one of our most ambitious ...
Блокчейн трекер Whale Alert сообщает о произошедшем сегодня платеже в размере 500000 ETH от криптовалютной платформы Binance в адрес неизвестного кошелька.
Все бы ничего, но по текущему курсу это эквивалентно более чем 1,7 млрд. долларов. Кто-то просто перевел больше половины годового бюджета Молдавии.
Правда в комментах народ делает предположение, что это возможно внутренний перевод Binance. Но это не точно.
Все бы ничего, но по текущему курсу это эквивалентно более чем 1,7 млрд. долларов. Кто-то просто перевел больше половины годового бюджета Молдавии.
Правда в комментах народ делает предположение, что это возможно внутренний перевод Binance. Но это не точно.
Twitter
Whale Alert
🚨🚨🚨🚨🚨🚨🚨🚨🚨🚨 500,000 #ETH (1,708,710,515 USD) transferred from #Binance to unknown wallet whale-alert.io/transaction/et…
Исследователи из китайской Tencent Security Keen Lab на протяжении последних лет успешно потрошат электронную начинку автомобилей различных производителей. На их счету - BMW, Toyota и Lexus, а также Tesla.
На сей раз не ушел от цепких китайских рук Mercedes-Benz. Исследователи выпустили отчет (собственно, сам отчет - в конце материала по ссылке), в котором описали процесс взлома медиасистемы MBUX - Mercedes-Benz User Experience. С 2018 года MBUX применяется во всей линейке автомобилей немецкого концерна.
Китайские эксперты обнаружили 5 уязвимостей в MBUX, 4 из которых могут привести к удаленному выполнению кода (RCE). Три уязвимости было найдено в головном устройстве, а две - в т.н. модуле TCU, который отвечает за LTE связь.
Используя комбинацию эксплойтов этих ошибок исследователи осуществили удаленный доступ к MBUX, после чего получили рутовые права и смогли внедрить постоянный бэкдор. Они взяли под контроль головное устройство автомобиля, смогли разблокировать противоугонную систему, а также получили доступ к CAN-шине и выполнили некоторые действия по управлению вторичными функциями автомобиля.
К примеру, они смогли управлять освещением салона, открывать солнцезащитный козырек, изменять изображение на всех экранах машины. К основным функциям управления автомобилем пробиться не удалось
Кто-то может сказать, что в таком случае атака не представляет опасности для водителя и пассажиров, но мы не согласимся. Когда у вас на скорости 120 км/ч на загородной ночной трассе солнцезащитные козырьки начнут косплеить флюгер, освещение салона станет хаотично меняться, а на экранах и в колонках с максимальной громкостью включится какой-нибудь Cannibal Corpse, то вы уйдете в кювет на раз-два.
Остается добавить, что основной причиной возможности проведения атаки послужило использование в MBUX устаревшего ядра Linux. Само собой, что вся информация об уязвимостях была сообщена в Mercedes-Benz и к данному моменту они автопроизводителем исправлены. Ну, конечно, только у тех автовладельцев, которые своевременно обновляют свою MBUX.
На сей раз не ушел от цепких китайских рук Mercedes-Benz. Исследователи выпустили отчет (собственно, сам отчет - в конце материала по ссылке), в котором описали процесс взлома медиасистемы MBUX - Mercedes-Benz User Experience. С 2018 года MBUX применяется во всей линейке автомобилей немецкого концерна.
Китайские эксперты обнаружили 5 уязвимостей в MBUX, 4 из которых могут привести к удаленному выполнению кода (RCE). Три уязвимости было найдено в головном устройстве, а две - в т.н. модуле TCU, который отвечает за LTE связь.
Используя комбинацию эксплойтов этих ошибок исследователи осуществили удаленный доступ к MBUX, после чего получили рутовые права и смогли внедрить постоянный бэкдор. Они взяли под контроль головное устройство автомобиля, смогли разблокировать противоугонную систему, а также получили доступ к CAN-шине и выполнили некоторые действия по управлению вторичными функциями автомобиля.
К примеру, они смогли управлять освещением салона, открывать солнцезащитный козырек, изменять изображение на всех экранах машины. К основным функциям управления автомобилем пробиться не удалось
Кто-то может сказать, что в таком случае атака не представляет опасности для водителя и пассажиров, но мы не согласимся. Когда у вас на скорости 120 км/ч на загородной ночной трассе солнцезащитные козырьки начнут косплеить флюгер, освещение салона станет хаотично меняться, а на экранах и в колонках с максимальной громкостью включится какой-нибудь Cannibal Corpse, то вы уйдете в кювет на раз-два.
Остается добавить, что основной причиной возможности проведения атаки послужило использование в MBUX устаревшего ядра Linux. Само собой, что вся информация об уязвимостях была сообщена в Mercedes-Benz и к данному моменту они автопроизводителем исправлены. Ну, конечно, только у тех автовладельцев, которые своевременно обновляют свою MBUX.
Администрация швейцарского мессенджера Threema выиграла дело в высшем суд страны против Министерства юстиции и полиции Швейцарии (FDJP). Таким образом, Федеральный суд Швейцарии подтвердил решение суда низшей инстанции.
Если бы FDJP победило, то Threema была бы признана "поставщиком телекоммуникационных услуг" и была бы обязана идентифицировать всех пользователей и вести соответствующие логи их активности. Но, к счастью, швейцарские судьи не приняли сторону полиции. Можно спокойно продолжать пользоваться Threema дальше.
Небольшая, но важная победа в вопросах конфиденциальности пользователей. Особенно на фоне заявления Австралийской комиссии по преступности (ACIC), что "у законопослушного гражданина нет законных оснований для владения и использования зашифрованной коммуникационной платформы".
Если бы FDJP победило, то Threema была бы признана "поставщиком телекоммуникационных услуг" и была бы обязана идентифицировать всех пользователей и вести соответствующие логи их активности. Но, к счастью, швейцарские судьи не приняли сторону полиции. Можно спокойно продолжать пользоваться Threema дальше.
Небольшая, но важная победа в вопросах конфиденциальности пользователей. Особенно на фоне заявления Австралийской комиссии по преступности (ACIC), что "у законопослушного гражданина нет законных оснований для владения и использования зашифрованной коммуникационной платформы".
watson.ch
Threema gewinnt vor Bundesgericht «gegen Überwachungsbehörden»
Der abhörsichere Schweizer Messenger muss keine zusätzlichen Nutzerdaten für den Geheimdienst und staatliche Ermittler erheben.
Новые стандарты информационной безопасности. Теперь от Израиля.
Как сообщает TheRecord, авиация Израиля разбомбила два объекта на территории сектора Газа, которые использовались ХАМАС для проведения киберопераций.
Об этом израильские ВВС официально заявили в Twitter. Первый объект являлся ЦОДом, а второй - "квартирой-убежищем, которая использовалась террористами для наступательных киберопераций против израильских целей".
Особый цинизм действиям разнузданной израильской военщины придает фраза "Атакованная квартира была размещена рядом с детским садом, что еще раз доказывает, что ХАМАС намеренно подвергает опасности мирных жителей размещая свою военную инфраструктуру в гражданских районах".
Теперь как, можно по NSO Group, которая весь мир ломает, не стесняясь Калибрами заряжать? И может ли Иран с полным осознанием свое правоты разбомбить Подразделение 8200 Управления военной разведки Армии обороны Израиля в качестве ответа на совершенную в мае 2020 года евреями кибератаку на информационные ресурсы иранского портового города Бендер-Аббас, которую бывший глава военной разведки Израиля генерал Амос Ядлин назвал "четким посланием Ирану в ответ на кибератаки на водные ресурсы Израиля" (в чем Иран, кстати, никогда не признавался).
P.S. Оказывается, это не первая физическая атака в качестве ответа на кибероперации. Первую тоже осуществил Израиль в 2019 году, когда взорвал здание, в котором размещалось киберподразделение ХАМАС.
Как сообщает TheRecord, авиация Израиля разбомбила два объекта на территории сектора Газа, которые использовались ХАМАС для проведения киберопераций.
Об этом израильские ВВС официально заявили в Twitter. Первый объект являлся ЦОДом, а второй - "квартирой-убежищем, которая использовалась террористами для наступательных киберопераций против израильских целей".
Особый цинизм действиям разнузданной израильской военщины придает фраза "Атакованная квартира была размещена рядом с детским садом, что еще раз доказывает, что ХАМАС намеренно подвергает опасности мирных жителей размещая свою военную инфраструктуру в гражданских районах".
Теперь как, можно по NSO Group, которая весь мир ломает, не стесняясь Калибрами заряжать? И может ли Иран с полным осознанием свое правоты разбомбить Подразделение 8200 Управления военной разведки Армии обороны Израиля в качестве ответа на совершенную в мае 2020 года евреями кибератаку на информационные ресурсы иранского портового города Бендер-Аббас, которую бывший глава военной разведки Израиля генерал Амос Ядлин назвал "четким посланием Ирану в ответ на кибератаки на водные ресурсы Израиля" (в чем Иран, кстати, никогда не признавался).
P.S. Оказывается, это не первая физическая атака в качестве ответа на кибероперации. Первую тоже осуществил Израиль в 2019 году, когда взорвал здание, в котором размещалось киберподразделение ХАМАС.
therecord.media
Israel bombed two Hamas cyber targets
Amid the recent flareup in the Israel-Palestine conflict, the Israeli military said it bombed two objectives in the Gaza Strip that housed centers for Hamas cyber operations.
Очередная жертва ransomware - люксембургская компания Ardagh Group, имеющая годовой доход под 8 млрд. евро и являющаяся одним из мировых лидеров по производству стеклянной и металлической упаковки.
В своем заявлении Ardagh Group сообщают, что недавно с их сетью произошел киберинцидент, в результате которого были отключены некоторые IT-системы и сервисы. И хотя непосредственно производство затронуто не было, некоторые операции цепочки поставок были нарушены, что привело к задержкам в поставках продукции клиентам (то есть, по итогу таки производство было таки затронуто).
Выступления PR-служб пострадавших от ransomware организаций напоминают речи сенатора сибирского округа по вопросам пожаротушения и природоохраны Анатолия Шапакина (в исполнении Гарика Харламова) - "Все под контролем! Все в абсолютной безопасности! Никакой паники нет!". По факту же наблюдается совершенно противоположная картина - информационной безопасности нет, техподдержка и инфосек в момент атаки не знают что делать и рвут на себе волосы, конфиденциальные данные утекают, а производственные цепочки перестают работать.
И, пожалуй, нам надо прекращать писать об успешных атаках вымогателей на компании с revenue меньше 10 млрд. долларов - это уже банальность.
В своем заявлении Ardagh Group сообщают, что недавно с их сетью произошел киберинцидент, в результате которого были отключены некоторые IT-системы и сервисы. И хотя непосредственно производство затронуто не было, некоторые операции цепочки поставок были нарушены, что привело к задержкам в поставках продукции клиентам (то есть, по итогу таки производство было таки затронуто).
Выступления PR-служб пострадавших от ransomware организаций напоминают речи сенатора сибирского округа по вопросам пожаротушения и природоохраны Анатолия Шапакина (в исполнении Гарика Харламова) - "Все под контролем! Все в абсолютной безопасности! Никакой паники нет!". По факту же наблюдается совершенно противоположная картина - информационной безопасности нет, техподдержка и инфосек в момент атаки не знают что делать и рвут на себе волосы, конфиденциальные данные утекают, а производственные цепочки перестают работать.
И, пожалуй, нам надо прекращать писать об успешных атаках вымогателей на компании с revenue меньше 10 млрд. долларов - это уже банальность.
Ardaghgroup
Cyber Security Incident
Ardagh Group S.A. announces that it recently experienced a cyber security incident
Dragos опубликовали промежуточные результаты расследования произошедшего в феврале киберинцидента, в ходе которого хакер получил доступ к системе управления водоочистительного объекта города Олдсмар, что в американском штате Флорида.
Злоумышленник подобрал пароль к TeamViewer, который стоял на машине, управляющей системой водоочистки, и повысил концентрацию едкого натра, поступающего в воду, более чем в 100 раз. К счастью, оператор, следивший за системой водоочистки, обнаружил удаленную активность на рабочем столе взломанного компьютера и предотвратил вмешательство.
Исследователи обнаружили, что на сайте фирмы-подрядчика водоочистных сооружений из Флориды размещен вредоносный код, вроде бы типичная "атака на водопой" (спойлер - на самом деле нет). Судя по всему, целями были предприятия водоснабжения. Но что еще интереснее - в день взлома с компьютера водоочистного объекта Олдсмар был заход на зараженный сайт.
Хакер использовал дырку в одном из плагинов WordPress для размещения кода, который собирал fingerprints посетителей сайт, включая данные об ОС и процессоре, браузере и используемых раскладках, видеокарте, настройках операционки, наличия периферийных устройств и др.
Сайт был заражен в течение 58 дней вплоть до 16 февраля 2021 года.
Аналогичный вредоносный код Dragos нашли еще на одном сайте - подпольном Интернет-магазине DarkTeam Store. Исследователи обнаружили, что и сайт компании-подрядчика из Флориды и DarkTeam Store были взломаны в один и тот же день 20 декабря 2020 года.
Dragos полагают, что вредоносный код предназначен для сбора браузерных отпечатков в целях их дальнейшего использования в ботнете Tofsee, чтобы более успешно имитировать реальных пользователей. Связан ли взлом сайта компании-подрядчика с взломом водоочистительной системы в Олдсмаре - не понятно. Еще большей загадкой является то, почему владелец ботнета выбрал для сбора информации именно этот сайт.
Гайдай какой-то!
Злоумышленник подобрал пароль к TeamViewer, который стоял на машине, управляющей системой водоочистки, и повысил концентрацию едкого натра, поступающего в воду, более чем в 100 раз. К счастью, оператор, следивший за системой водоочистки, обнаружил удаленную активность на рабочем столе взломанного компьютера и предотвратил вмешательство.
Исследователи обнаружили, что на сайте фирмы-подрядчика водоочистных сооружений из Флориды размещен вредоносный код, вроде бы типичная "атака на водопой" (спойлер - на самом деле нет). Судя по всему, целями были предприятия водоснабжения. Но что еще интереснее - в день взлома с компьютера водоочистного объекта Олдсмар был заход на зараженный сайт.
Хакер использовал дырку в одном из плагинов WordPress для размещения кода, который собирал fingerprints посетителей сайт, включая данные об ОС и процессоре, браузере и используемых раскладках, видеокарте, настройках операционки, наличия периферийных устройств и др.
Сайт был заражен в течение 58 дней вплоть до 16 февраля 2021 года.
Аналогичный вредоносный код Dragos нашли еще на одном сайте - подпольном Интернет-магазине DarkTeam Store. Исследователи обнаружили, что и сайт компании-подрядчика из Флориды и DarkTeam Store были взломаны в один и тот же день 20 декабря 2020 года.
Dragos полагают, что вредоносный код предназначен для сбора браузерных отпечатков в целях их дальнейшего использования в ботнете Tofsee, чтобы более успешно имитировать реальных пользователей. Связан ли взлом сайта компании-подрядчика с взломом водоочистительной системы в Олдсмаре - не понятно. Еще большей загадкой является то, почему владелец ботнета выбрал для сбора информации именно этот сайт.
Гайдай какой-то!
Все еще верите в свою конфиденциальность?
Забудьте, ведь согласно исследованию Check Point 23 приложения на базе Android могут лишить своей приватности более 100 миллионов пользователей.
Во многом такая ситуация обусловлена ненадлежащим вниманием разработчиков к обеспечению безопасности данных своих клиентов.
В некоторых случаях разработчики не используют защиту паролем своих серверных баз данных, оставляют токены и ключи доступа в исходном коде приложения или применяют некорректные настройки для сторонних облачных сервисов (облачное хранилище, push-уведомления и пр.).
Команда Check Point в результате изучения 23 случайных приложений смогла расчехлить 13 из них и получить доступ к их внутренним базам, содержащим адреса электронной почты, пароли, личные чаты, координаты местоположения, идентификаторы пользователей, записи экрана, учетные данные социальных сетей и личные изображения. При этом исследователи утверждают, что в ходе работы они не встретили никакого противодействия со стороны средств защиты.
Кроме того, Check Point удалось получить ключи доступа и скомпрометировать функцию push-уведомлений ряда приложений, которую потенциальный злоумышленник мог использовать для проведения эффективных фишинговых атак на пользователей приложения.
Учитывая, что Check Point озвучили не всех аутсайдеров исследования (Logo Maker , Astro Guru , T'Leva , Screen Recorder и iFax) можно предположить, что реальный масштаб бедствия не раскрывается, ведь в списке могут оказаться куда более популярные среди пользователей платформы.
На самом деле негативная тенденция сохраняется еще с 2010-х годов, показатели уязвимости инфраструктуры мобильных приложений не меняется уже последние три года, что подтверждается отчетами Zimperium (в марте этого года обнаруживших неправильно настроенные облачные серверы в тысячах приложений для Android и iOS) и Appthority
Забудьте, ведь согласно исследованию Check Point 23 приложения на базе Android могут лишить своей приватности более 100 миллионов пользователей.
Во многом такая ситуация обусловлена ненадлежащим вниманием разработчиков к обеспечению безопасности данных своих клиентов.
В некоторых случаях разработчики не используют защиту паролем своих серверных баз данных, оставляют токены и ключи доступа в исходном коде приложения или применяют некорректные настройки для сторонних облачных сервисов (облачное хранилище, push-уведомления и пр.).
Команда Check Point в результате изучения 23 случайных приложений смогла расчехлить 13 из них и получить доступ к их внутренним базам, содержащим адреса электронной почты, пароли, личные чаты, координаты местоположения, идентификаторы пользователей, записи экрана, учетные данные социальных сетей и личные изображения. При этом исследователи утверждают, что в ходе работы они не встретили никакого противодействия со стороны средств защиты.
Кроме того, Check Point удалось получить ключи доступа и скомпрометировать функцию push-уведомлений ряда приложений, которую потенциальный злоумышленник мог использовать для проведения эффективных фишинговых атак на пользователей приложения.
Учитывая, что Check Point озвучили не всех аутсайдеров исследования (Logo Maker , Astro Guru , T'Leva , Screen Recorder и iFax) можно предположить, что реальный масштаб бедствия не раскрывается, ведь в списке могут оказаться куда более популярные среди пользователей платформы.
На самом деле негативная тенденция сохраняется еще с 2010-х годов, показатели уязвимости инфраструктуры мобильных приложений не меняется уже последние три года, что подтверждается отчетами Zimperium (в марте этого года обнаруживших неправильно настроенные облачные серверы в тысячах приложений для Android и iOS) и Appthority
Check Point Research
Mobile app developers’ misconfiguration of third party services leave personal data of over 100 million exposed - Check Point Research
Research by: Aviran Hazum, Aviad Danin, Bogdan Melnykov, Dana Tsymberg and Israel Wernik, Intro Modern cloud-based solutions have become a standard in the mobile application development world. Services such as cloud-based storage, real-time databases, notification…
В марте мы писали про атаку ransomware Phoenix CryptoLocker на сеть американского страхового гиганта CNA Financial, имеющего 10 млрд. долларов годового дохода. Журналисты Bleeping Computer, со ссылкой на свои источники, утверждали тогда, что этот новый штамм ransomware принадлежит российской Evil Corp. Основой для этого, якобы, служило сходство в коде с вымогателем Hades.
Два месяца прошло и вот Bloomberg сообщает, что через две недели после взлома страховщики, не сумев восстановить доступ к своим ресурсам, заплатили вымогателям 40 млн. долларов выкупа. Это подтвердил официальный представитель CNA Financial.
Таким образом, если нам не изменяет склероз, на сегодняшний день это самый крупный выкуп, который был официально подтвержден жертвой.
Кроме того, CNA Financial заявили, что действовали в соответствии с американскими законами, поскольку Phoenix CryptoLocker не подпадает под санкции американского Минфина. Таким образом хакеры Evil Corp, находящиеся под подобными санкциями, добились своей цели - с помощью создания новых штаммов ransomware, которые документально не ассоциируются с Evil Corp, создать для жертвы возможность легально заплатить выкуп, не опасаясь правовых последствий со стороны американских госорганов.
Кто-то купит себе новый Ламбо.
Два месяца прошло и вот Bloomberg сообщает, что через две недели после взлома страховщики, не сумев восстановить доступ к своим ресурсам, заплатили вымогателям 40 млн. долларов выкупа. Это подтвердил официальный представитель CNA Financial.
Таким образом, если нам не изменяет склероз, на сегодняшний день это самый крупный выкуп, который был официально подтвержден жертвой.
Кроме того, CNA Financial заявили, что действовали в соответствии с американскими законами, поскольку Phoenix CryptoLocker не подпадает под санкции американского Минфина. Таким образом хакеры Evil Corp, находящиеся под подобными санкциями, добились своей цели - с помощью создания новых штаммов ransomware, которые документально не ассоциируются с Evil Corp, создать для жертвы возможность легально заплатить выкуп, не опасаясь правовых последствий со стороны американских госорганов.
Кто-то купит себе новый Ламбо.
Bloomberg.com
CNA Financial Paid $40 Million in Ransom After March Cyberattack
CNA Financial Corp., among the largest insurance companies in the U.S., paid $40 million in late March to regain control of its network after a ransomware attack, according to people with knowledge of the attack.
Оказывается мы пропустили интересную дырку, которую опубличили неделю назад. Спасибо внимательному подписчику!
Известный исследователь Джонас Л., специалист по порче настроения у Microsoft, про которого мы неоднократно писали ранее, раскопал, что в некоторых случаях (пока непонятно по какому принципу) пароли от RDP лежат в памяти сервера в открытом виде. А именно в svhost.exe.
Таким образом, сдампив svhost хакер теоретически может выдрать оттуда credentials и использовать их для дальнейшего продвижения в целевой сети. А тем временем Бенджамин Делпи, руководитель разработки Mimikatz, уже сообщил, что соответствующий функционал включен в этот самый Mimikatz.
С - стабильность в косяках.
Известный исследователь Джонас Л., специалист по порче настроения у Microsoft, про которого мы неоднократно писали ранее, раскопал, что в некоторых случаях (пока непонятно по какому принципу) пароли от RDP лежат в памяти сервера в открытом виде. А именно в svhost.exe.
Таким образом, сдампив svhost хакер теоретически может выдрать оттуда credentials и использовать их для дальнейшего продвижения в целевой сети. А тем временем Бенджамин Делпи, руководитель разработки Mimikatz, уже сообщил, что соответствующий функционал включен в этот самый Mimikatz.
С - стабильность в косяках.
Twitter
Jonas L
Umm- why can I find the password I used to connect to a remote desktop service in cleartext in memory of RDP service? First saw my microsoft accounts pwd- made new local account- same thing. For this user its: wtfmsnotcool
—Партнерский пост—
CoinLoan ищет сотрудника в свою удаленную команду на позицию Security Engineer.
CoinLoan – это молодая, но уже успешная финтех компания, которая предоставляет лицензированные услуги крипто-кредитования, валютного обмена и хранения средств на своей платформе. Сегодня рынок крипто – самая трендовая и активно развивающаяся сфера, полная инноваций и возможностей. Компания постоянно внедряет новые возможности для клиентов, ищет нестандартные подходы к продвижению и всегда приветствует инициативу в команде.
Обязанности Security Engineer:
● Проведение Security Code Review и PenTest веб-приложений.
● Мониторинг и анализ уязвимостей в используемых зависимостях.
● Интеграция процессов и инструментов DevSecOps.
● Моделирование угроз и формирование требований безопасности.
● Повышение осведомленности сотрудников в аспектах ИБ.
Требования к соискателю:
● Знание скриптовых языков, желательно Python и Bash.
● Практический опыт проведения аудита безопасности веб-приложений и
инфраструктуры.
● Понимание базовых принципов криптографии.
● Опыт внедрения и сопровождения инструментов статического анализа кода.
● Знание Linux и сетевых протоколов.
Будет плюсом:
● Знание и опыт работы с Kubernetes, Docker, AWS.
● Опыт участия в CTF и Bug Bounty.
● Знакомство с международными стандартами (ISO 27XXX, PCI DSS, GDPR, etc).
● Опыт разработки веб и мобильных приложений.
● Опыт администрирования систем SIEM, WAF, IDS/IPS.
● Знание особенностей криптовалют, блокчейна и смарт-контрактов.
Свое резюме отправляйте на почту: careers@coinloan.io
CoinLoan ищет сотрудника в свою удаленную команду на позицию Security Engineer.
CoinLoan – это молодая, но уже успешная финтех компания, которая предоставляет лицензированные услуги крипто-кредитования, валютного обмена и хранения средств на своей платформе. Сегодня рынок крипто – самая трендовая и активно развивающаяся сфера, полная инноваций и возможностей. Компания постоянно внедряет новые возможности для клиентов, ищет нестандартные подходы к продвижению и всегда приветствует инициативу в команде.
Обязанности Security Engineer:
● Проведение Security Code Review и PenTest веб-приложений.
● Мониторинг и анализ уязвимостей в используемых зависимостях.
● Интеграция процессов и инструментов DevSecOps.
● Моделирование угроз и формирование требований безопасности.
● Повышение осведомленности сотрудников в аспектах ИБ.
Требования к соискателю:
● Знание скриптовых языков, желательно Python и Bash.
● Практический опыт проведения аудита безопасности веб-приложений и
инфраструктуры.
● Понимание базовых принципов криптографии.
● Опыт внедрения и сопровождения инструментов статического анализа кода.
● Знание Linux и сетевых протоколов.
Будет плюсом:
● Знание и опыт работы с Kubernetes, Docker, AWS.
● Опыт участия в CTF и Bug Bounty.
● Знакомство с международными стандартами (ISO 27XXX, PCI DSS, GDPR, etc).
● Опыт разработки веб и мобильных приложений.
● Опыт администрирования систем SIEM, WAF, IDS/IPS.
● Знание особенностей криптовалют, блокчейна и смарт-контрактов.
Свое резюме отправляйте на почту: careers@coinloan.io
Forwarded from Эксплойт | Live
С 1 июня YouTube начнёт вставлять рекламу во все видео
Недавно площадка объявила, что кардинально меняет систему монетизации видеороликов.
Теперь рекламные вставки будут вставляться во все ролики: даже в те, которые не подключены к партнёрской программе.
Помимо этого, видеохостинг будет взимать налог с дохода авторов по законам США.
Он будет распространяться на прибыль, полученную от прямых просмотров в США, с услуги YouTube Premium, суперчат и спонсорство.
Стоит отметить, что доход будет облагаться американским налогом даже в том случае, если автор находятся за пределами этой страны.
Недавно площадка объявила, что кардинально меняет систему монетизации видеороликов.
Теперь рекламные вставки будут вставляться во все ролики: даже в те, которые не подключены к партнёрской программе.
Помимо этого, видеохостинг будет взимать налог с дохода авторов по законам США.
Он будет распространяться на прибыль, полученную от прямых просмотров в США, с услуги YouTube Premium, суперчат и спонсорство.
Стоит отметить, что доход будет облагаться американским налогом даже в том случае, если автор находятся за пределами этой страны.
На фоне все возрастающего вала обвинений в сторону России по поводу неспособности самостоятельно справится с киберпреступностью на своей территории, который начался после атаки русскоязычного оператора ransomware Darkside на американский трубопровод Colonial Pipeline, с негативными оценками ситуации начали выступать и российские правоохранители.
Неожиданно голос подали известные эксперты в области инфосека из Генпрокуратуры. Начальник тамошнего Главного организационно-аналитического управления Андрей Некрасов заявил, что киберпреступность, вдруг, стала представлять угрозу национальной безопасности России.
По словам Некрасова раскрываемость киберпреступлений составляет не более 25% (от чего? атаки, происходящие за рубежом в поле зрения российских органов даже не попадают). Общее количество подобных преступлений за 2020 год составило 510 тыс.
Тут мы должны сделать замечание - такое большое количество зафиксированных преступлений означает, что Генпрокуратура к киберпреступности относит все возможные случаи скама, потому что они осуществляются "с использованием информационно-телекоммуникационных технологий". То есть понимания где имеет место банальное мошенничество с использованием телефона или компьютера, а где - настоящая киберпреступность, у продвинутых пользователей из Генпрокуратуры нет.
Поэтому единственная ценная информация в выступлении Некрасова это данные, что "если пять лет назад в общей структуре преступности на долю таких деяний приходилось менее 2%, то в прошлом году они составили уже 25% среди всех преступлений, зарегистрированных в стране".
З - знание. У - успех.
Неожиданно голос подали известные эксперты в области инфосека из Генпрокуратуры. Начальник тамошнего Главного организационно-аналитического управления Андрей Некрасов заявил, что киберпреступность, вдруг, стала представлять угрозу национальной безопасности России.
По словам Некрасова раскрываемость киберпреступлений составляет не более 25% (от чего? атаки, происходящие за рубежом в поле зрения российских органов даже не попадают). Общее количество подобных преступлений за 2020 год составило 510 тыс.
Тут мы должны сделать замечание - такое большое количество зафиксированных преступлений означает, что Генпрокуратура к киберпреступности относит все возможные случаи скама, потому что они осуществляются "с использованием информационно-телекоммуникационных технологий". То есть понимания где имеет место банальное мошенничество с использованием телефона или компьютера, а где - настоящая киберпреступность, у продвинутых пользователей из Генпрокуратуры нет.
Поэтому единственная ценная информация в выступлении Некрасова это данные, что "если пять лет назад в общей структуре преступности на долю таких деяний приходилось менее 2%, то в прошлом году они составили уже 25% среди всех преступлений, зарегистрированных в стране".
З - знание. У - успех.
ТАСС
В Генпрокуратуре заявили, что киберпреступность стала представлять угрозу нацбезопасности
По словам представителя ведомства Андрея Некрасова, раскрываемость таких преступлений составляет не более 25%
На Reddit нашелся пост, в котором автор описывает возможную компрометацию SolarWinds почти за 3 месяца до появления соответствующего отчета FireEye, после чего этот взлом назвали "атакой десятилетия".
Но тогда, в сентябре 2020 года, на это просто никто не обратил внимания.
Но тогда, в сентябре 2020 года, на это просто никто не обратил внимания.
Reddit
r/Solarwinds on Reddit: Potential Malware?
Posted by u/CaptainDaddykins - 4 votes and 3 comments
Разработчики ransomware Zeppelin возобновили свою активность и представили хакерской аудитории новые образцы вредоносного ПО после длительного затишья.
Обновление ПО вышло 26 апреля. Zeppelin написан на Delphi, базируется на коде малвари VegaLocker и начал применяться русскоязычными хакерами с начала ноября 2019 в атаках на технологические и медицинские компании в Европе и Северной Америке. Вопреки другим вариантам малвари из семейства Vega, также известного как VegaLocker и Buran, ориентированных именно на русскоязычных пользователей, разработчики Zeppelin четко определились, что вредонос не будет работать на машинах в России, Украине и странах СНГ, включая Казахстан и Белоруссию.
Но интересно другое. Маркетинговая модель Zeppelin имеет свои уникальные особенности, это - одна из немногих на рынке программ-вымогателей, не использующих чистую модель RaaS. Разработчики вымогателя Zeppelin продают его в даркнете в коробочном исполнении по цене 2300 долларов за сборку ядра, предоставляя будущим владельцам полную самостоятельность в применении ПО. При этом вместо кооперации при проведении атак разработчики Zeppelin предпочитают выстраивать индивидуальные партнерские отношения с пользователями их вредоносных программ, предоставляя им расширенный адаптивный набор функций.
Кроме того, Zeppelin не крадет и не публикует похищенные данные, операторыransomware фокусируются, прежде всего, на их шифровании. Пользователи ПО - это индивидуальные покупатели, которые не усложняют свои атаки и полагаются на общие исходные векторы атак, такие как RDP, уязвимости VPN и фишинг. Однако несмотря на всю простоту модели атаки с этим штаммом ransomware трудно обнаружить, особенно при использовании новых загрузчиков.
Полагаем, что сумевшие скомпилировать собственный код программы-вымогателя над базе наработаток Vega создатели Zeppelin, предоставляющие достаточно широкий доступ к продукту своим операторам, сами рискуют стать жертвами копипаста, или ещё хуже - предстать к ответу за последствия возможных резонансных инцидентов.
Обновление ПО вышло 26 апреля. Zeppelin написан на Delphi, базируется на коде малвари VegaLocker и начал применяться русскоязычными хакерами с начала ноября 2019 в атаках на технологические и медицинские компании в Европе и Северной Америке. Вопреки другим вариантам малвари из семейства Vega, также известного как VegaLocker и Buran, ориентированных именно на русскоязычных пользователей, разработчики Zeppelin четко определились, что вредонос не будет работать на машинах в России, Украине и странах СНГ, включая Казахстан и Белоруссию.
Но интересно другое. Маркетинговая модель Zeppelin имеет свои уникальные особенности, это - одна из немногих на рынке программ-вымогателей, не использующих чистую модель RaaS. Разработчики вымогателя Zeppelin продают его в даркнете в коробочном исполнении по цене 2300 долларов за сборку ядра, предоставляя будущим владельцам полную самостоятельность в применении ПО. При этом вместо кооперации при проведении атак разработчики Zeppelin предпочитают выстраивать индивидуальные партнерские отношения с пользователями их вредоносных программ, предоставляя им расширенный адаптивный набор функций.
Кроме того, Zeppelin не крадет и не публикует похищенные данные, операторыransomware фокусируются, прежде всего, на их шифровании. Пользователи ПО - это индивидуальные покупатели, которые не усложняют свои атаки и полагаются на общие исходные векторы атак, такие как RDP, уязвимости VPN и фишинг. Однако несмотря на всю простоту модели атаки с этим штаммом ransomware трудно обнаружить, особенно при использовании новых загрузчиков.
Полагаем, что сумевшие скомпилировать собственный код программы-вымогателя над базе наработаток Vega создатели Zeppelin, предоставляющие достаточно широкий доступ к продукту своим операторам, сами рискуют стать жертвами копипаста, или ещё хуже - предстать к ответу за последствия возможных резонансных инцидентов.
BlackBerry
Zeppelin: Russian Ransomware Targets High Profile Users in the U.S. and Europe
Zeppelin is the newest member of the Delphi-based Ransomware-as-a-Service family known as Vega or VegaLocker. Zeppelin targets technology and healthcare companies in the U.S. and Europe.