После того, как в 2019 году Evil Corp попали под американские санкции и получить выкуп от жертв своих атак фактически стало невозможным, хакеры для их обхода стали ребрендировать свои новые ransomware-кампании. Атрибутировать с Evil Corp удалось WastedLocker, Hades, Phenoix, CryptoLocker и PayloadBin.
Еще одним штаммом программ-вымогателей, который, хоть и бездоказательно, но приписывается к Evil Corp - DoppelPaymer, переименованный недавно в Grief.
Но это мы к чему, как вы помните мы писали о последних серьезных инцидентах с Olympus и Sinclair Broadcast Group, за которым стоила новая банда Macaw Locker. Специалисты Emsisoft, изучая код ransomware, пришли к выводу, что MacawLocker является последним ребрендингом семейства программ-вымогателей Evil Corp, которым под новым брендом удалось отработать только двух указанных жертв и запросить выкуп 28 миллионов и 40 миллионов долларов соответственно.
В целом, изучение кода ransomware несет в себе достаточно важную функцию, которая позволяет находить ошибки и уязвимости в работе алгоритмов шифрования, давая возможность не только создавать утилиты для расшифровки, но и следить за развитием программ-вымогателей.
Все это является важным элементом в борьбе с бизнес-моделью ransomware. Именно такое мнение высказал известный ресерчер Will Bushido, которому удалось обобщить результаты исследований и наглядно представить эволюцию наиболее популярных программ-вымогателей 👇👇👇
Еще одним штаммом программ-вымогателей, который, хоть и бездоказательно, но приписывается к Evil Corp - DoppelPaymer, переименованный недавно в Grief.
Но это мы к чему, как вы помните мы писали о последних серьезных инцидентах с Olympus и Sinclair Broadcast Group, за которым стоила новая банда Macaw Locker. Специалисты Emsisoft, изучая код ransomware, пришли к выводу, что MacawLocker является последним ребрендингом семейства программ-вымогателей Evil Corp, которым под новым брендом удалось отработать только двух указанных жертв и запросить выкуп 28 миллионов и 40 миллионов долларов соответственно.
В целом, изучение кода ransomware несет в себе достаточно важную функцию, которая позволяет находить ошибки и уязвимости в работе алгоритмов шифрования, давая возможность не только создавать утилиты для расшифровки, но и следить за развитием программ-вымогателей.
Все это является важным элементом в борьбе с бизнес-моделью ransomware. Именно такое мнение высказал известный ресерчер Will Bushido, которому удалось обобщить результаты исследований и наглядно представить эволюцию наиболее популярных программ-вымогателей 👇👇👇
Twitter
Catalin Cimpanu
Rebranded ransomware strains blog.bushidotoken.net/2021/10/ransom…
Bitdefender обнаружили, что руткит FiveSys имеет цифровую подпись, выпущенную Microsoft, и может незаметно проникать в системы пользователей Windows благодаря ей.
Несмотря на то, что Microsoft ввела строгие требования к цифровой подписи WHQL (Windows Hardware Quality Labs) для пакетов драйверов и начиная с Windows 10 build 1607 запретила загрузку драйверов режима ядра без такого сертификата, это вовсе не мешает разработчикам вредоносных программ обходить сертификацию Microsoft, получая цифровые подписи для своих руткитов.
Достаточно вспомнить руткит Netfilter, который сертифицировали через программу совместимости оборудования Windows.
Согласно отчету исследователей, FiveSys похожа на вредоносную программу Undead, и как и Netfilter, нацелена на игровой сектор в Китае. Отнести ВПО к какому-либо конкретному китайскому актору Bitdefender не удалось, поскольку их инструменты имеют одинаковую функциональность, но сильно отличаются по реализации.
Что известно о новом рутките: благодаря периодически обновляемому сценарию автоконфигурации, который содержит список доменов / URL-адресов, руткит направляет Интернет-трафик на настраиваемый прокси-сервер. Используя список цифровых подписей, руткит может предотвратить загрузку драйверов из семейств вредоносных программ Netfilter и fk_undead.
Кроме того, FiveSys включает встроенный список из 300 предположительно сгенерированных случайным образом доменов, которые хранятся в зашифрованном виде и предназначены для предотвращения потенциальных попыток удаления.
Bitdefender идентифицировали несколько двоичных файлов пользовательского режима, которые используются для извлечения и выполнения вредоносных драйверов на целевых машинах. В целом, FiveSys использует в общей сложности четыре драйвера.
Конечно, Microsoft оперативно отозвала цифровую подпись для FiveSys, но тенденция с сертификацией настораживает.
Несмотря на то, что Microsoft ввела строгие требования к цифровой подписи WHQL (Windows Hardware Quality Labs) для пакетов драйверов и начиная с Windows 10 build 1607 запретила загрузку драйверов режима ядра без такого сертификата, это вовсе не мешает разработчикам вредоносных программ обходить сертификацию Microsoft, получая цифровые подписи для своих руткитов.
Достаточно вспомнить руткит Netfilter, который сертифицировали через программу совместимости оборудования Windows.
Согласно отчету исследователей, FiveSys похожа на вредоносную программу Undead, и как и Netfilter, нацелена на игровой сектор в Китае. Отнести ВПО к какому-либо конкретному китайскому актору Bitdefender не удалось, поскольку их инструменты имеют одинаковую функциональность, но сильно отличаются по реализации.
Что известно о новом рутките: благодаря периодически обновляемому сценарию автоконфигурации, который содержит список доменов / URL-адресов, руткит направляет Интернет-трафик на настраиваемый прокси-сервер. Используя список цифровых подписей, руткит может предотвратить загрузку драйверов из семейств вредоносных программ Netfilter и fk_undead.
Кроме того, FiveSys включает встроенный список из 300 предположительно сгенерированных случайным образом доменов, которые хранятся в зашифрованном виде и предназначены для предотвращения потенциальных попыток удаления.
Bitdefender идентифицировали несколько двоичных файлов пользовательского режима, которые используются для извлечения и выполнения вредоносных драйверов на целевых машинах. В целом, FiveSys использует в общей сложности четыре драйвера.
Конечно, Microsoft оперативно отозвала цифровую подпись для FiveSys, но тенденция с сертификацией настораживает.
Безусловно, до сих пор вы помните, как ботнет Mēris поразил российского технологического гиганта Яндекс крупнейшей DDoS-атакой в истории. Однако сейчас стало понятно, что атака была всего лишь тест-драйвом: потренились на пушистых - взялись за реальные цели.
Миллионы южнокорейцев остались без доступа к Интернету в около 11 часов утра в понедельник в результате интенсивной DDoS-атаки на крупнейшего национального оператора связи KT Corp. Полегла вся сеть по всей стране, услуги связи были приостановлены на 40 минут.
Перестали работать все электронные системы и сервисы, беспроводной и проводной доступ в Интернет, а также службы телефонной связи. KT Corp смогли оперативно отреагировать на инцидент и восстановить работу сетей достаточно быстро.
Начато расследование, компания не раскрывает деталей произошедшего инцидента, равно как и последствий. Ситуация однозначно получит развитие: после хакеров - следующий ход за властями страны.
Миллионы южнокорейцев остались без доступа к Интернету в около 11 часов утра в понедельник в результате интенсивной DDoS-атаки на крупнейшего национального оператора связи KT Corp. Полегла вся сеть по всей стране, услуги связи были приостановлены на 40 минут.
Перестали работать все электронные системы и сервисы, беспроводной и проводной доступ в Интернет, а также службы телефонной связи. KT Corp смогли оперативно отреагировать на инцидент и восстановить работу сетей достаточно быстро.
Начато расследование, компания не раскрывает деталей произошедшего инцидента, равно как и последствий. Ситуация однозначно получит развитие: после хакеров - следующий ход за властями страны.
The Korea Herald
KT suffers major network outage nationwide
South Korean telecommunications operator KT suffered a nationwide network outage on Monday, causing widespread disruptions to daily tasks requiring connectivity. Virtual classrooms were down, food delivery orders were lost, and clinics couldn’t access patient…
Cisco исправили серьезную ошибку внедрения команд ОС в Cisco SD-WAN.
Cisco SD-WAN - это облачная оверлейная архитектура WAN, которая обеспечивает цифровую и облачную интеграцию на предприятиях, а также позволяет соединять разрозненные офисные помещения через облако.
Уязвимость CVE-2021-1529 с оценкой CVSS 7,8 связана с недостаточной проверкой ввода системным CLI. Злоумышленник может воспользоваться этой уязвимостью, аутентифицируясь на уязвимом устройстве и отправив созданные входные данные в системный интерфейс командной строки. Успешный эксплойт может позволить злоумышленнику выполнять команды в базовой операционной системе с привилегиями root.
Cisco выпустила обновления ПО для устранения дыры, для которой не существует обходных путей, которые могли бы исправить эту проблему. Cisco PSIRT не сообщает об эксплуатации уязвимости в дикой природе. Однако рекомендации по безопасности для устранения этой уязвимости и требования к клиентам Cisco по ее устранению озвучили даже CISA, что не может не настораживать.
Поэтому и добавить нечего: update now!
Cisco SD-WAN - это облачная оверлейная архитектура WAN, которая обеспечивает цифровую и облачную интеграцию на предприятиях, а также позволяет соединять разрозненные офисные помещения через облако.
Уязвимость CVE-2021-1529 с оценкой CVSS 7,8 связана с недостаточной проверкой ввода системным CLI. Злоумышленник может воспользоваться этой уязвимостью, аутентифицируясь на уязвимом устройстве и отправив созданные входные данные в системный интерфейс командной строки. Успешный эксплойт может позволить злоумышленнику выполнять команды в базовой операционной системе с привилегиями root.
Cisco выпустила обновления ПО для устранения дыры, для которой не существует обходных путей, которые могли бы исправить эту проблему. Cisco PSIRT не сообщает об эксплуатации уязвимости в дикой природе. Однако рекомендации по безопасности для устранения этой уязвимости и требования к клиентам Cisco по ее устранению озвучили даже CISA, что не может не настораживать.
Поэтому и добавить нечего: update now!
Cisco
Cisco Security Advisory: Cisco IOS XE SD-WAN Software Command Injection Vulnerability
A vulnerability in the CLI of Cisco IOS XE SD-WAN Software could allow an authenticated, local attacker to execute arbitrary commands with root privileges.
The vulnerability is due to insufficient input validation by the system CLI. An attacker could exploit…
The vulnerability is due to insufficient input validation by the system CLI. An attacker could exploit…
Хах. Интересная история с удалением из репозитория NPM трёх вредоносных пакетов, копировавших код библиотеки UAParser.js, получила неожиданное продолжение - неизвестные злоумышленники получили контроль над учётной записью Фейсала Салмана - автора проекта UAParser.js и выпустили обновления, содержащие код для кражи паролей и майнинга криптовалют.
О вредоносном ПО для криптомайнинга, которое хакеры внедрили в популярную библиотеку JavaScript NPM UAParser.js предупредило Агентство по кибербезопасности США (CISA) в конце предыдущей недели.
Масштаб угроз впечатляющий, так как у библиотеки миллионы загрузок в неделю, и только в октябре их было более 24 миллионов. Библиотека используется в различных популярных проектах, в том числе в Facebook, Microsoft, Google, Slack, Amazon, Instagram, Mozilla, Discord, Elastic, Intuit, Reddit и много где еще.
Атака была совершена через взлом учётной записи разработчика проекта, который заподозрил неладное после необычной волны спама, свалившейся в его почтовый ящик. Как именно была взломана учётная запись разработчика, пока не сообщается.
Атакующие сформировали выпуски 0.7.29, 0.8.0 и 1.0.0, внедрив в них вредоносный код. Контроль над проектом разработчики конечно вернули, устранили проблемы и выкатили экстренные обновления 0.7.30, 0.8.1 и 1.0.1.
Но всем пользователям, установившим проблемные версии, коих оказалось с десяток и более миллионов при обнаружении в Linux файла jsextension, а в Windows файлов jsextension.exe и create.dll, рекомендуется считать систему скомпрометированной и поменять на ней пароли, ключи и сертификаты безопасности.
Неожиданно удивила хакерская избирательность своих целей, так как вредоносный скрипт проверял IP-адреса в сервисе freegeoip.app и не запускал вредоносное приложение для пользователей из России, Украины, Беларуси и Казахстана.
Тенденция атак на цепочки поставок продолжается.
О вредоносном ПО для криптомайнинга, которое хакеры внедрили в популярную библиотеку JavaScript NPM UAParser.js предупредило Агентство по кибербезопасности США (CISA) в конце предыдущей недели.
Масштаб угроз впечатляющий, так как у библиотеки миллионы загрузок в неделю, и только в октябре их было более 24 миллионов. Библиотека используется в различных популярных проектах, в том числе в Facebook, Microsoft, Google, Slack, Amazon, Instagram, Mozilla, Discord, Elastic, Intuit, Reddit и много где еще.
Атака была совершена через взлом учётной записи разработчика проекта, который заподозрил неладное после необычной волны спама, свалившейся в его почтовый ящик. Как именно была взломана учётная запись разработчика, пока не сообщается.
Атакующие сформировали выпуски 0.7.29, 0.8.0 и 1.0.0, внедрив в них вредоносный код. Контроль над проектом разработчики конечно вернули, устранили проблемы и выкатили экстренные обновления 0.7.30, 0.8.1 и 1.0.1.
Но всем пользователям, установившим проблемные версии, коих оказалось с десяток и более миллионов при обнаружении в Linux файла jsextension, а в Windows файлов jsextension.exe и create.dll, рекомендуется считать систему скомпрометированной и поменять на ней пароли, ключи и сертификаты безопасности.
Неожиданно удивила хакерская избирательность своих целей, так как вредоносный скрипт проверял IP-адреса в сервисе freegeoip.app и не запускал вредоносное приложение для пользователей из России, Украины, Беларуси и Казахстана.
Тенденция атак на цепочки поставок продолжается.
В копилку к уже раскрытым в первой половине 2021 года более 600 серьезным уязвимостям в системах промышленного контроля (АСУТП) компания Claroty добавила еще 17, которые были обнаружены в ПО Versiondog, разработанном немецкой компанией AUVESY.
AUVESY специализируется на разработках в области управления данными для автоматизации производства. Versiondog реализует функции автоматического резервного копирования данных, контроля и хранения версий различного ПО, интегрируясь в широкий спектр промышленных систем. К настоящему времени активно применяется в таких крупных компаниях, как Nestle, Coca Cola, Kraft Foods, Merck и др.
Выявленные уязвимости в компонентах OS Server API, Scheduler и WebInstaller могут использоваться удаленными злоумышленниками для обхода аутентификации, повышения привилегий, получения жестко закодированных криптографических ключей, выполнения произвольного кода, манипулирования файлами и данными и вызова отказа в обслуживании. Шести уязвимостям была присвоена критическая степень серьезности, а девяти уязвимостям - высокая степень серьезности.
При этом, по экспертному мнению разработчика, любое вмешательство в работу Versiondog может иметь разрушительные последствия для безопасности и целостности промышленных процессов.
Немецкий производитель со свойственной педантичностью не только выпустил исправления для уязвимостей (версия 8.1), но также устранил основные причины их возникновения.
Со своей стороны, Claroty дали высокую оценку оперативности AUVESY, поскольку в последнее время производители стали попросту забивать и устранять дыры только под давлением экспертного сообщества или СМИ, а по факту – чаще оставляя потенциально серьезные недостатки без исправлений.
Так что клиентам AUVESY, скажем так, повезло с выбором решения.
AUVESY специализируется на разработках в области управления данными для автоматизации производства. Versiondog реализует функции автоматического резервного копирования данных, контроля и хранения версий различного ПО, интегрируясь в широкий спектр промышленных систем. К настоящему времени активно применяется в таких крупных компаниях, как Nestle, Coca Cola, Kraft Foods, Merck и др.
Выявленные уязвимости в компонентах OS Server API, Scheduler и WebInstaller могут использоваться удаленными злоумышленниками для обхода аутентификации, повышения привилегий, получения жестко закодированных криптографических ключей, выполнения произвольного кода, манипулирования файлами и данными и вызова отказа в обслуживании. Шести уязвимостям была присвоена критическая степень серьезности, а девяти уязвимостям - высокая степень серьезности.
При этом, по экспертному мнению разработчика, любое вмешательство в работу Versiondog может иметь разрушительные последствия для безопасности и целостности промышленных процессов.
Немецкий производитель со свойственной педантичностью не только выпустил исправления для уязвимостей (версия 8.1), но также устранил основные причины их возникновения.
Со своей стороны, Claroty дали высокую оценку оперативности AUVESY, поскольку в последнее время производители стали попросту забивать и устранять дыры только под давлением экспертного сообщества или СМИ, а по факту – чаще оставляя потенциально серьезные недостатки без исправлений.
Так что клиентам AUVESY, скажем так, повезло с выбором решения.
Claroty
Secure Your VersionDog: Essential Cyber Security Measures
Protect your critical systems with robust cyber security measures for VersionDog. Learn about vulnerabilities and effective defense strategies in this comprehensive guide.
Forwarded from SecurityLab.ru
АНБ призывает Пентагон защитить истребитель F-35 от кибератак, новый метод на базе ИИ позволяет подсмотреть вводимый PIN-код в банкоматах, а Бывший генерал армии США рассказал об опасности ИИ-оружия. Эти и другие новости, а также еженедельные конкурсы с крутыми призами для подписчиков нашего канала! Смотрите 37-й выпуск наших новостей:
https://www.youtube.com/watch?v=jHPkRZP_0Ks
https://www.youtube.com/watch?v=jHPkRZP_0Ks
YouTube
ИИ подглядывает вводимый PIN в банкоматах, слиты данные всей Аргентины. Security-новости #37 | 12+
💰📊👉 Новости об инвестициях в кибербезопасность предоставлены каналом It’s positive investing - https://xn--r1a.website/positive_investing
0:00 Здравствуйте с вами Александр Антипов, ваш бессменный ведущий самых жарких новостей по информационной безопасности
0:56…
0:00 Здравствуйте с вами Александр Антипов, ваш бессменный ведущий самых жарких новостей по информационной безопасности
0:56…
Компания Apple выпустила финальную версию iOS 15.1 для всех своих девайсов. Номер сборки — 19B74.
В новой версии ОС появилась возможность добавлять сертификаты о вакцинации в Wallet (не в России), появился выключатель макрорежима для iPhone 13, а также заработала функция SharePlay для совместного прослушивания музыки и просмотра фильмов.
Кроме того, появилась возможность записи видео ProRes на моделях iPhone 13 Pro и 13 Pro Max.
В результате мелких исправлений добавлена поддержка китайский язык путунхуа (Тайвань), добавлены новые триггеры автоматизации в HomeKit, обновлены функции «Быстрых команд», исправлены ошибки кода в «Фото», «Погода», оптимизирован алгоритм работы «Wallet» при использовании «VoiceOver», индикаторов изменения емкости аккумуляторов различных моделей iPhone 12.
А главное, принимая во внимание, объем обновления также исправлены бреши в безопасности (о которых, как выяснялось не раз, компания умалчивает) и, в целом, повышена стабильность.
Так что выделяем время и накатываем обновления.
В новой версии ОС появилась возможность добавлять сертификаты о вакцинации в Wallet (не в России), появился выключатель макрорежима для iPhone 13, а также заработала функция SharePlay для совместного прослушивания музыки и просмотра фильмов.
Кроме того, появилась возможность записи видео ProRes на моделях iPhone 13 Pro и 13 Pro Max.
В результате мелких исправлений добавлена поддержка китайский язык путунхуа (Тайвань), добавлены новые триггеры автоматизации в HomeKit, обновлены функции «Быстрых команд», исправлены ошибки кода в «Фото», «Погода», оптимизирован алгоритм работы «Wallet» при использовании «VoiceOver», индикаторов изменения емкости аккумуляторов различных моделей iPhone 12.
А главное, принимая во внимание, объем обновления также исправлены бреши в безопасности (о которых, как выяснялось не раз, компания умалчивает) и, в целом, повышена стабильность.
Так что выделяем время и накатываем обновления.
Группа компаний Robert Bosch GmbH попала под разрачу хакеров, которые скомпрометировали сервера Bosch iSite и выложили в сеть исходники для платформы 5G IoT.
Судя по утекших данным, опубликованных на хакерской площадке информация в основном носит корпоративный и технический характер.
Архив iSite размером 184 КБ включает 11 папок, в том числе те, которые являются кодом для аутентификации в iSite, службы обмена сообщениями и несколько других типов служб контроллеров устройств, написанных на JavaScript. Утечка не содержит личной информации пользователей, учетных данных сотрудников Bosch или других конфиденциальных сведений.
По предварительной информации, исходный код был получен путем эксплуатации одной или несколькими уязвимостями нулевого дня в платформе с открытым исходным кодом SonarQube, которые хакер обещал подробно описать в будущей ветке на хакерском форуме.
Вероятно, архив был опубликован в результате неудавшихся переговоров злоумышленников с Bosch о выкупе. Денег не заработали, но как минимум репутацию на площадке себе подняли.
Судя по утекших данным, опубликованных на хакерской площадке информация в основном носит корпоративный и технический характер.
Архив iSite размером 184 КБ включает 11 папок, в том числе те, которые являются кодом для аутентификации в iSite, службы обмена сообщениями и несколько других типов служб контроллеров устройств, написанных на JavaScript. Утечка не содержит личной информации пользователей, учетных данных сотрудников Bosch или других конфиденциальных сведений.
По предварительной информации, исходный код был получен путем эксплуатации одной или несколькими уязвимостями нулевого дня в платформе с открытым исходным кодом SonarQube, которые хакер обещал подробно описать в будущей ветке на хакерском форуме.
Вероятно, архив был опубликован в результате неудавшихся переговоров злоумышленников с Bosch о выкупе. Денег не заработали, но как минимум репутацию на площадке себе подняли.
Разработчики Discourse бьют тревогу и призывают своих клиентов обновиться до исправленной версии 2.7.9 или более поздней ПО, а также применить необходимые обходные пути.
Дело в том, что немецкий исследователь из Phenoelit обнаружил в Discourse критическую уязвимость удаленного выполнения кода CVE-2021-41163 с рейтингом CVSS 10, причина возникновения которой кроется в отсутствии проверки значений subscribe_url. Злоумышленник может воспользоваться уязвимостью с помощью вредоносного запроса.
Discourse - это программное обеспечение с открытым исходным кодом для управления чатами, форумами и списками рассылки с функциями оперативного обновления и перетаскивания вложений. Discourse обслуживает более 2000 клиентов. Согласно метрике BuiltWith, платформа была развернута на более чем 31 000 сайтов, и около 14 300 из них в настоящее время работают и потенциально уязвимы. При этом 8,639 потенциально дырявых систем располагаются именно в США.
По этому поводу CISA выступило с требованием к админам применить исправления или воспользоваться обходными путями, заблокировав на восходящем прокси-сервере каждый запрос, начинающийся с пути /webhooks/aws, а также ознакомиться с рекомендациями разрабов.
Дело в том, что немецкий исследователь из Phenoelit обнаружил в Discourse критическую уязвимость удаленного выполнения кода CVE-2021-41163 с рейтингом CVSS 10, причина возникновения которой кроется в отсутствии проверки значений subscribe_url. Злоумышленник может воспользоваться уязвимостью с помощью вредоносного запроса.
Discourse - это программное обеспечение с открытым исходным кодом для управления чатами, форумами и списками рассылки с функциями оперативного обновления и перетаскивания вложений. Discourse обслуживает более 2000 клиентов. Согласно метрике BuiltWith, платформа была развернута на более чем 31 000 сайтов, и около 14 300 из них в настоящее время работают и потенциально уязвимы. При этом 8,639 потенциально дырявых систем располагаются именно в США.
По этому поводу CISA выступило с требованием к админам применить исправления или воспользоваться обходными путями, заблокировав на восходящем прокси-сервере каждый запрос, начинающийся с пути /webhooks/aws, а также ознакомиться с рекомендациями разрабов.
Ни дня без ransomware: клиентов BQE Software вдоль и поперек шифруют вымогатели, эксплуатирующие критическую ошибку SQL-инъекции в биллинговом решений BillQuick Web Suite. Потенциальных жертв - 400 000 пользователей по всему миру.
В массе своей атаки вымогателей нацелены на непропатченные сервера BillQuick, уязвимые для CVE-2021-42258, которая может быть достаточно просто легко вызвана запросами на вход с недопустимыми символами (одинарная кавычка) в поле имени пользователя.
Несмотря на то, что ошибка была исправлена еще 7 октября в версии 22.0.9.1 BQE Software, обнаружившие багу специалисты команды Huntress ThreatOps выкатили еще восемь других 0-day уязвимостей в BillQuick (CVE-2021-42344, CVE-2021-42345, CVE-2021-42346, CVE-2021-42571, CVE-2021-42572, CVE-2021-42573, CVE-2021-42741, CVE-2021-42742). Все ошибки позволяют использовать их для начального доступа, выполнения вредоносных команд на своих локальных серверах Windows, а главное - до сих пор непропатчены.
Атрибутировать атакующих Huntress Labs к какой-либо известной банде пока не удается: ресерчеры предполагают, что в деле более мелкая группа. Выявленный ransomware используется по крайней мере с мая 2020 года и в значительной степени заимствует код из других семейств программ-вымогателей на основе AutoIT. Хакеры после развертывания ВПО не оставляют записок о выкупе в зашифрованных системах, а лишь добавляют расширение pusheken91@bk.ru ко всем зашифрованным файлам в качестве обратной связи для обсуждения выкупа.
Тем временем, BQE Software вовсю ведут работу над ошибками, впрочем, как и хакеры. По мнению экспертов, к атакам BillQuick уже в самое ближайшее время будут присоединяться более крупные акторы.
В массе своей атаки вымогателей нацелены на непропатченные сервера BillQuick, уязвимые для CVE-2021-42258, которая может быть достаточно просто легко вызвана запросами на вход с недопустимыми символами (одинарная кавычка) в поле имени пользователя.
Несмотря на то, что ошибка была исправлена еще 7 октября в версии 22.0.9.1 BQE Software, обнаружившие багу специалисты команды Huntress ThreatOps выкатили еще восемь других 0-day уязвимостей в BillQuick (CVE-2021-42344, CVE-2021-42345, CVE-2021-42346, CVE-2021-42571, CVE-2021-42572, CVE-2021-42573, CVE-2021-42741, CVE-2021-42742). Все ошибки позволяют использовать их для начального доступа, выполнения вредоносных команд на своих локальных серверах Windows, а главное - до сих пор непропатчены.
Атрибутировать атакующих Huntress Labs к какой-либо известной банде пока не удается: ресерчеры предполагают, что в деле более мелкая группа. Выявленный ransomware используется по крайней мере с мая 2020 года и в значительной степени заимствует код из других семейств программ-вымогателей на основе AutoIT. Хакеры после развертывания ВПО не оставляют записок о выкупе в зашифрованных системах, а лишь добавляют расширение pusheken91@bk.ru ко всем зашифрованным файлам в качестве обратной связи для обсуждения выкупа.
Тем временем, BQE Software вовсю ведут работу над ошибками, впрочем, как и хакеры. По мнению экспертов, к атакам BillQuick уже в самое ближайшее время будут присоединяться более крупные акторы.
Huntress
Hackers Are Exploiting a Vulnerability in Billing Software to Deploy Ransomware | Huntress
Huntress discovered threat actors abusing a blind SQL injection vulnerability in BillQuick Web Suite. Follow our analysis and latest findings in this blog.
Forwarded from Social Engineering
🤑 Black Friday || Черная пятница. Фишинг.
#Фишинг — один из самых распространенных векторов атак на сегодняшний день, и одно из популярнейших направлений Социальной Инженерии.
• Особенно в настоящее время, когда пандемия является источником вдохновения для социальных инженеров, будет всплеск активности фишеров, в течении последних 7-6 недель. Предполагаю, что число фишинговых рассылок, которые будут распространяться под видом "специальных предложений", увеличится на 40-70%. Помимо этого, в рассылках могут распространять малварь под видом купонов на различные скидки. Также, атакующие могут использовать метод с дефицитом товара (об этом я расскажу в отдельном посте).
• В общем, методы которые применяются фишерами и социальными инженерами, зависят только от фантазии. Важно понимать, что во время таких крупных распродаж как черная пятница или новогодние праздники, жертва теряет бдительность и действует необдуманно.
📌 Хочу обратить твое внимание на полезный материал, который отлично подходит к сегодняшнему посту и будет актуален в настоящее время:
• Социальная инженерия в сфере криптовалюты.
• Методы, применяемые при фишинговых атаках.
• Оформляем письмо для максимального отклика.
• Социальная инженерия. Советы. LifeHack.
• Обходим спам-фильтр.
• Фишинг, 0day и атаки на разработчика баллистических ракет.
• Phishing Methodology. Методология фишинга.
‼️ О различных методах, которые применяют социальные инженеры, о методах при фишинговых атаках, различные статьи на тему социальной инженерии, манипуляции и т.д., ты можешь найти по хештегам #Фишинг и #СИ. Твой @S.E.
#Фишинг — один из самых распространенных векторов атак на сегодняшний день, и одно из популярнейших направлений Социальной Инженерии.
🖖🏻 Приветствую тебя user_name.
• Сразу хочу напомнить, что с того момента, как люди начали переходить на удаленку, открылось огромное количество направлений для атакующих. Если затрагивать тему #СИ, то любая громкая новость или событие в мире, генерирует у социальных инженеров массу идей. И это не обходит стороной такое событие как Черная Пятница.• Особенно в настоящее время, когда пандемия является источником вдохновения для социальных инженеров, будет всплеск активности фишеров, в течении последних 7-6 недель. Предполагаю, что число фишинговых рассылок, которые будут распространяться под видом "специальных предложений", увеличится на 40-70%. Помимо этого, в рассылках могут распространять малварь под видом купонов на различные скидки. Также, атакующие могут использовать метод с дефицитом товара (об этом я расскажу в отдельном посте).
• В общем, методы которые применяются фишерами и социальными инженерами, зависят только от фантазии. Важно понимать, что во время таких крупных распродаж как черная пятница или новогодние праздники, жертва теряет бдительность и действует необдуманно.
📌 Хочу обратить твое внимание на полезный материал, который отлично подходит к сегодняшнему посту и будет актуален в настоящее время:
• Социальная инженерия в сфере криптовалюты.
• Методы, применяемые при фишинговых атаках.
• Оформляем письмо для максимального отклика.
• Социальная инженерия. Советы. LifeHack.
• Обходим спам-фильтр.
• Фишинг, 0day и атаки на разработчика баллистических ракет.
• Phishing Methodology. Методология фишинга.
‼️ О различных методах, которые применяют социальные инженеры, о методах при фишинговых атаках, различные статьи на тему социальной инженерии, манипуляции и т.д., ты можешь найти по хештегам #Фишинг и #СИ. Твой @S.E.
Microsoft вступила в очередной раунд с PrintNightmare, выпустив дополнительное накопительное обновление KB5006738 Preview для Windows 10 2004, Windows 10 20H2 и Windows 10 21H1.
Основной пакет исправлений будет выпущен в рамках предстоящего в ноябре 2021 года Patch Tuesday.
Тем не менее, Microsoft заявляет, что они устранили проблему, препятствующую установке принтеров по протоколу Internet Printing Protocol (IPP). Как мы помним, проблемы и жалобы пользователей начались после выхода обновления Windows 10 KB5006670.
Кроме того, отдельным предварительным обновлением Windows Server KB5006745, согласно утверждениям Microsoft, решены проблемы, связанные с запросом админских прав при каждой попытке печати, установкой принтеров с использованием протокола Интернет-печати (IPP), а также взаимодействием сервера печати и клиента при изменений свойств принтера.
Обновление Windows 10 KB5006738 включает около 20 улучшений и исправлений (посколько оно накопительное - исправления по безопасности отсутствуют), которые представлены в соответствующем бюллетене.
Ждем, что же скажет Benjamin Delpy, собственно, как и весь Microsoft.
Основной пакет исправлений будет выпущен в рамках предстоящего в ноябре 2021 года Patch Tuesday.
Тем не менее, Microsoft заявляет, что они устранили проблему, препятствующую установке принтеров по протоколу Internet Printing Protocol (IPP). Как мы помним, проблемы и жалобы пользователей начались после выхода обновления Windows 10 KB5006670.
Кроме того, отдельным предварительным обновлением Windows Server KB5006745, согласно утверждениям Microsoft, решены проблемы, связанные с запросом админских прав при каждой попытке печати, установкой принтеров с использованием протокола Интернет-печати (IPP), а также взаимодействием сервера печати и клиента при изменений свойств принтера.
Обновление Windows 10 KB5006738 включает около 20 улучшений и исправлений (посколько оно накопительное - исправления по безопасности отсутствуют), которые представлены в соответствующем бюллетене.
Ждем, что же скажет Benjamin Delpy, собственно, как и весь Microsoft.
70% Wi-Fi-сетей в городе Тель-Авив были взломаны исследователем Идо Хорвичем из CyberArk. Используя сетевую карту AWUS036ACH ALFA стоимостью около 50 долларов и ноут с Ubuntu в рюкзаке, он смог сосканить более 5000 домашних и корпоративных Wi-Fi-точек в ходе движения по улицам мегаполиса.
Для перехвата хэша PMKID (хэш для роуминга между точками доступа) сетей Wi-Fi исследователь использовал утилиту Hcxdumptool от ZerBea для атаки на уязвимость в RSN IE (надежный сетевой информационный элемент безопасности), которая позволяет получить PMKID. Он управляется PMK (сгенерированным из SSID и пароля WiFi), MAC-адресом точки доступа и MAC-адресом клиента.
После сбора необходимой телеметрии сетей исследователь воспользовался инструментом восстановления паролей hashcat, работающим по словарю, правилам и маске. Хорвич признался, что ему удалось успешно взломать около 3600 паролей, тем самым скомпрометировав все соответствующие сети Wi-Fi.
Большинство паролей были 10-значными числами, представляющими телефонные номера владельцев Wi-Fi-точек. Сотни паролей состояли из восьми или девяти цифр или восьми строчных букв. Вероятность успешного взлома паролей длиной более 10 букв/цифр сводилась к минимуму.
Как выяснилось, доля маршрутизаторов без поддержки функции (а значит и неуязвимых для атаки PMKID) роуминга оказалась весьма незначительной. Почти известные модели маршрутизаторы крупнейших производителей уязвимы по умолчанию (хотя ее можно отключить вручную - если нет необходимости в роуминге).
Неутешительные результаты научного эксперимента дают все основания полагать, что в каком-нибудь Мурманске, Саратове или Челябинске потенциальный злоумышленник и вовсе сможет добиться показателя 80-90%, а может и еще выше, особенно расширив арсенал или методологию атак. И второй неутешительный вывод: не стоит полагать, что такие масштабные атаки еще ни кем не совершались.
Для перехвата хэша PMKID (хэш для роуминга между точками доступа) сетей Wi-Fi исследователь использовал утилиту Hcxdumptool от ZerBea для атаки на уязвимость в RSN IE (надежный сетевой информационный элемент безопасности), которая позволяет получить PMKID. Он управляется PMK (сгенерированным из SSID и пароля WiFi), MAC-адресом точки доступа и MAC-адресом клиента.
После сбора необходимой телеметрии сетей исследователь воспользовался инструментом восстановления паролей hashcat, работающим по словарю, правилам и маске. Хорвич признался, что ему удалось успешно взломать около 3600 паролей, тем самым скомпрометировав все соответствующие сети Wi-Fi.
Большинство паролей были 10-значными числами, представляющими телефонные номера владельцев Wi-Fi-точек. Сотни паролей состояли из восьми или девяти цифр или восьми строчных букв. Вероятность успешного взлома паролей длиной более 10 букв/цифр сводилась к минимуму.
Как выяснилось, доля маршрутизаторов без поддержки функции (а значит и неуязвимых для атаки PMKID) роуминга оказалась весьма незначительной. Почти известные модели маршрутизаторы крупнейших производителей уязвимы по умолчанию (хотя ее можно отключить вручную - если нет необходимости в роуминге).
Неутешительные результаты научного эксперимента дают все основания полагать, что в каком-нибудь Мурманске, Саратове или Челябинске потенциальный злоумышленник и вовсе сможет добиться показателя 80-90%, а может и еще выше, особенно расширив арсенал или методологию атак. И второй неутешительный вывод: не стоит полагать, что такие масштабные атаки еще ни кем не совершались.
Cyberark
Cracking WiFi at Scale with One Simple Trick
How I Cracked 70% of Tel Aviv’s Wifi Networks (from a Sample of 5,000 Gathered WiFi). In the past seven years that I’ve lived in Tel Aviv, I’ve changed apartments four times. Every time I...
Прокатилась очередная крупная волна задержаний представителей теневого закулисья.
Европол провел спецоперацию под названием Dark HunTOR в восьми странах Европы и США. В общей сложности полицейские арестовали 150 подозреваемых, конфисковали более €26 млн, изъяли 234 кг наркотических веществ и 45 единиц огнестрельного оружия.
Массовые аресты стали возможны благодаря операции спецслужб, которым удалось после ареста админов DarkMarket и ее закрытия в январе этого года, получить доступ к инфраструктуре крупнейшего в мире рынка даркнета нелегальных услуг.
Между делом, итальянские силовики также воспользовались случаем с DarkMarket и отследили администраторов DeepSea и Berlusconi Market - два аналогичных теневых сервиса, обслуживающие итальянских пользователей. Теперь завсегдатаи двух теневых структур также попали под прицел силовиков.
По словам немецких представителей правопорядка, объем торговых сделок на DarkMarket превысил €140 млн. Торговали, конечно, преимущественно наркотиками, но опредленную весому часть занимали и услуги хакерской направленности.
Эта новость для тех, кто наивно верит в сетевую анонимность и различные луковые проекты, за которыми, как правило, всегда стоят бравые парни в черном, ну, или в край – в военном.
Европол провел спецоперацию под названием Dark HunTOR в восьми странах Европы и США. В общей сложности полицейские арестовали 150 подозреваемых, конфисковали более €26 млн, изъяли 234 кг наркотических веществ и 45 единиц огнестрельного оружия.
Массовые аресты стали возможны благодаря операции спецслужб, которым удалось после ареста админов DarkMarket и ее закрытия в январе этого года, получить доступ к инфраструктуре крупнейшего в мире рынка даркнета нелегальных услуг.
Между делом, итальянские силовики также воспользовались случаем с DarkMarket и отследили администраторов DeepSea и Berlusconi Market - два аналогичных теневых сервиса, обслуживающие итальянских пользователей. Теперь завсегдатаи двух теневых структур также попали под прицел силовиков.
По словам немецких представителей правопорядка, объем торговых сделок на DarkMarket превысил €140 млн. Торговали, конечно, преимущественно наркотиками, но опредленную весому часть занимали и услуги хакерской направленности.
Эта новость для тех, кто наивно верит в сетевую анонимность и различные луковые проекты, за которыми, как правило, всегда стоят бравые парни в черном, ну, или в край – в военном.
Хакеры вновь обрушились на Иран.
Случилось это ровным счетом по тому же сценарию, или так скажем, с тем же почерком, что в ходе июльской атаки на железнодорожную отрасль, когда были приостановлены ж/д-сообщения, а на экранах и мониторах вокзалов был указан номер офиса верховного лидера Аятоллы Али Хаменеи в качестве номера техподдержки. Июльская атака на иранские вокзалы позже была связана с вредоносным ПО для удаления данных под названием Meteor.
На этот раз хакеры дезорганизовали работу автозаправочных станций по всей стране, атаковав ИТ-сеть государственной газораспределительной компании NIOPDC, под управлением которой находится более чем 3500 АЗС по всему Ирану. Помимо того, что оборудование отказало в работе, экраны и табло на АЗС массово начали отображать надпись «cyberattack 64411». Как вы догадались 64411 - тот же самый номер того же самого абонента.
Обслуживание транспорта было приостановлено, NIOPDC прекратило работу после того, как специалисты подтвердили возможность хищения денежных средств клиентов злоумышленниками, которые еще оставались в зараженной системе.
Власти страны признали инцидент программным сбоем, после чего национальные новостные агентства подчистили новостные ленты и сводки, несмотря на многочисленные изображения и видеоролики в соцсетях. К настоящему времени работоспособность NIOPDC уже восстановлена, АЗС вновь разливают топливо.
А вот иранские спецслужбы сейчас по ходу активно будут узнать телефонный номер оппонента для совершения обратного звоночка.
Случилось это ровным счетом по тому же сценарию, или так скажем, с тем же почерком, что в ходе июльской атаки на железнодорожную отрасль, когда были приостановлены ж/д-сообщения, а на экранах и мониторах вокзалов был указан номер офиса верховного лидера Аятоллы Али Хаменеи в качестве номера техподдержки. Июльская атака на иранские вокзалы позже была связана с вредоносным ПО для удаления данных под названием Meteor.
На этот раз хакеры дезорганизовали работу автозаправочных станций по всей стране, атаковав ИТ-сеть государственной газораспределительной компании NIOPDC, под управлением которой находится более чем 3500 АЗС по всему Ирану. Помимо того, что оборудование отказало в работе, экраны и табло на АЗС массово начали отображать надпись «cyberattack 64411». Как вы догадались 64411 - тот же самый номер того же самого абонента.
Обслуживание транспорта было приостановлено, NIOPDC прекратило работу после того, как специалисты подтвердили возможность хищения денежных средств клиентов злоумышленниками, которые еще оставались в зараженной системе.
Власти страны признали инцидент программным сбоем, после чего национальные новостные агентства подчистили новостные ленты и сводки, несмотря на многочисленные изображения и видеоролики в соцсетях. К настоящему времени работоспособность NIOPDC уже восстановлена, АЗС вновь разливают топливо.
А вот иранские спецслужбы сейчас по ходу активно будут узнать телефонный номер оппонента для совершения обратного звоночка.
Twitter
Iran International English
As gas stations around #Iran are out of service today, a photo is circulating showing one station with a message on a small monitor saying "cyber attack 64411." 64411 is the phone number for the Office of Iran's Supreme Leader.
Forwarded from Social Engineering
😈 APT-атаки на промышленные компании.
• Обратите внимание, что в описании каждой атаки с участием АРТ, ключевым и самым популярным способом атаки - является социальная инженерия.
• Читать статью.
❗️ Обзор основан на результатах исследований «Лаборатории Касперского» и дает репрезентативную картину ситуации. В этом обзоре описаны основные события первого полугодия 2021 года, связанные с APT-атаками, и приведены выводы экспертов, которые, могут быть полезны как исследователям киберугроз, так и тем, кто решает практические задачи по обеспечению кибербезопасности промышленных предприятий на местах.
‼️ Другой полезный материал ты можешь найти по хештегу #СИ. Твой S.E.
🖖🏻 Приветствую тебя user_name.
• В этом обзоре описаны основные APT-атаки на промышленные организации, сведения о которых были опубликованы в первой половине 2021 года, и соответствующая деятельность группировок, замеченных в атаках на промышленные организации и критическую инфраструктуру.• Обратите внимание, что в описании каждой атаки с участием АРТ, ключевым и самым популярным способом атаки - является социальная инженерия.
• Читать статью.
❗️ Обзор основан на результатах исследований «Лаборатории Касперского» и дает репрезентативную картину ситуации. В этом обзоре описаны основные события первого полугодия 2021 года, связанные с APT-атаками, и приведены выводы экспертов, которые, могут быть полезны как исследователям киберугроз, так и тем, кто решает практические задачи по обеспечению кибербезопасности промышленных предприятий на местах.
‼️ Другой полезный материал ты можешь найти по хештегу #СИ. Твой S.E.
Более 10 000 сотрудников в минувшие выходные отправились в отпуск после атаки ransomware, в результате которой руководство немецкой компании Eberspächer Group было вынуждено приостановить деятельность 80 предприятий в 28 странах.
Группа Eberspächer является крупнейшим поставщиком автозапчастей, прежде всего, для систем кондиционирования, отопления и выхлопа. Клиентами корпорации выступают почти все ведущие автомобильные бренды.
В ходе инцидента официальные веб-сайты, почтовые системы, офисные сети, клиентские порталы и производственные системы компании были отключены из соображений безопасности, а компания утратила возможность координировать производство и управлять заказами.
Несмотря на уклонение компании от каких-либо комментариев по поводу случившегося, в СМИ просочились некоторые подробности инцидента. В частности, органы прокуратуры Штутгарта начали расследование с квалификацией «компьютерного саботажа и шантажа», что прямо указывает на то, что техгигант стал жертвой вымогателей.
На текущий момент удалось восстановить работу Easy Start, который позволяет владельцам автомобилей дистанционно запускать обогреватели Eberspächer.
Полагаем, чей-то сайт утечек в самое ближайшее время обновиться новой позицией.
Группа Eberspächer является крупнейшим поставщиком автозапчастей, прежде всего, для систем кондиционирования, отопления и выхлопа. Клиентами корпорации выступают почти все ведущие автомобильные бренды.
В ходе инцидента официальные веб-сайты, почтовые системы, офисные сети, клиентские порталы и производственные системы компании были отключены из соображений безопасности, а компания утратила возможность координировать производство и управлять заказами.
Несмотря на уклонение компании от каких-либо комментариев по поводу случившегося, в СМИ просочились некоторые подробности инцидента. В частности, органы прокуратуры Штутгарта начали расследование с квалификацией «компьютерного саботажа и шантажа», что прямо указывает на то, что техгигант стал жертвой вымогателей.
На текущий момент удалось восстановить работу Easy Start, который позволяет владельцам автомобилей дистанционно запускать обогреватели Eberspächer.
Полагаем, чей-то сайт утечек в самое ближайшее время обновиться новой позицией.
Twitter
Eberspächer Group
(1/2) #Eberspaecher was target of an organized cyberattack. The IT infrastructure is affected. To protect our customers, employees and partners, the necessary steps were taken immediately to counter the attack with targeted measures.
—Партнерский пост—
Хотите стать частью The Standoff, который пройдет уже 15-16 ноября 2021 года?💪
Positive Technologies и ГК Innostage объявляют конкурс для молодых специалистов по информационной безопасности
💣 The Standoff Young Hats 💣
❗️К участию приглашаются все неравнодушные к ИБ студенты, которым есть чем поделиться с коммьюнити.
Подробности здесь.
Каждый доклад будет оцениваться экспертами по ИБ, которые определят его технический интерес и выберут победителей. Лучшие выступления будут размещены на сайте The Standoff.
🤘 Кроме этого, все участники, чьи доклады будут выбраны для презентации на платформе The Standoff, будут приглашены на следующий PHDays и получат призы от компаний Positive Technologies и ГК Инностейдж.
Хотите стать частью The Standoff, который пройдет уже 15-16 ноября 2021 года?💪
Positive Technologies и ГК Innostage объявляют конкурс для молодых специалистов по информационной безопасности
💣 The Standoff Young Hats 💣
❗️К участию приглашаются все неравнодушные к ИБ студенты, которым есть чем поделиться с коммьюнити.
Подробности здесь.
Каждый доклад будет оцениваться экспертами по ИБ, которые определят его технический интерес и выберут победителей. Лучшие выступления будут размещены на сайте The Standoff.
🤘 Кроме этого, все участники, чьи доклады будут выбраны для презентации на платформе The Standoff, будут приглашены на следующий PHDays и получат призы от компаний Positive Technologies и ГК Инностейдж.
Специалисты чешской инфосек компании Avast Threat Labs в сотрудничестве с аналитиком вредоносных программ RE-CERT Иржи Винопалом смогли обнаружить и изучить уязвимость в коде AtomSilo.
Как известно, Atom Silo - это недавно обнаруженная банда вымогателей, операторы которой недавно атакуют непропатченные серверы Confluence Server и Data Center.
По словам исследователей SophosLabs, программа-вымогатель, используемая Atom Silo, практически идентична LockFile, однако ее операторы используют новые методы, которые чрезвычайно затрудняют расследование их атак, включая загрузку вредоносных динамически подключаемых библиотек, которые нарушают работу решений защиты конечных точек. LockFile, свою очередь, впервые был замечен в июле 2021 года после того, как банда была начала активно атаковать эксплуатировать ProxyShell и PetitPotam.
Установив схожесть двух штаммов, Avast Threat Labs разработали унифицированный декриптор сразу под обе ransomware, доступный в свободном доступе для жертв вымогателя. Но есть нюанс, дешифратор не работает с файлами с неизвестным, проприетарным форматом или вообще без формата, поскольку полагается на известный формат файла, чтобы убедиться, что файл был успешно расшифрован.
Кроме того, Avast Threat Labs порадовали жертв программы-вымогателя Babuk утилитой восстановления залоченных файлов благодаря использованию утекшего исходного кода и ключей дешифрования ransomware. Дешифратор может использоваться для файлов следующих расширений: .babuk, .babyk, .doydo. Как мы помним, исходный код вымогателя слил участник хакерской группы после того, как узнал, что болен неизлечимым заболеванием.
Браво, Avast Threat Labs!
Как известно, Atom Silo - это недавно обнаруженная банда вымогателей, операторы которой недавно атакуют непропатченные серверы Confluence Server и Data Center.
По словам исследователей SophosLabs, программа-вымогатель, используемая Atom Silo, практически идентична LockFile, однако ее операторы используют новые методы, которые чрезвычайно затрудняют расследование их атак, включая загрузку вредоносных динамически подключаемых библиотек, которые нарушают работу решений защиты конечных точек. LockFile, свою очередь, впервые был замечен в июле 2021 года после того, как банда была начала активно атаковать эксплуатировать ProxyShell и PetitPotam.
Установив схожесть двух штаммов, Avast Threat Labs разработали унифицированный декриптор сразу под обе ransomware, доступный в свободном доступе для жертв вымогателя. Но есть нюанс, дешифратор не работает с файлами с неизвестным, проприетарным форматом или вообще без формата, поскольку полагается на известный формат файла, чтобы убедиться, что файл был успешно расшифрован.
Кроме того, Avast Threat Labs порадовали жертв программы-вымогателя Babuk утилитой восстановления залоченных файлов благодаря использованию утекшего исходного кода и ключей дешифрования ransomware. Дешифратор может использоваться для файлов следующих расширений: .babuk, .babyk, .doydo. Как мы помним, исходный код вымогателя слил участник хакерской группы после того, как узнал, что болен неизлечимым заболеванием.
Браво, Avast Threat Labs!