-
Публикаций
1,052 -
Зарегистрирован
-
Посещение
-
Победитель дней
3
Тип контента
Профили
Форумы
Загрузки
Галерея
Весь контент Cortez
-
Новая версия шпионского ПО FinSpy может заменять загрузчик Windows UEFI
Cortez опубликовал тема в СМИ о нас
Исследователи в области безопасности из «Лаборатории Касперского» обнаружили новую версию шпионского ПО FinSpy , которое перехватывает контроль и заменяет загрузчик Windows UEFI для заражения компьютерных систем. Данный метод позволил злоумышленникам установить буткит без необходимости обходить проверки безопасности прошивки. По словам экспертов, заражение UEFI редко встречается и его трудно осуществить. Хотя в данном случае злоумышленники заразили не саму прошивку UEFI, а его следующий этап загрузки, атака была особенно скрытной, поскольку вредоносный модуль был установлен на отдельном разделе и мог контролировать процесс загрузки зараженного устройства. Как отметили исследователи, это одна из самых трудных для обнаружения шпионских программ на сегодня. Шпионское ПО оснащено четырьмя различными уровнями обфускации в дополнение к вектору буткита UEFI. В отличие от предыдущих версий FinSpy, содержащих троян сразу в зараженном приложении, новые образцы теперь защищены двумя компонентами: непостоянным пре-валидатором и пост-валидатором. «Первый компонент выполняет несколько проверок безопасности, убеждаясь, что атакованное устройство не принадлежит исследователю в области кибербезопасности. Только после прохождения проверки сервер предоставляет пост-валидаторный компонент. Затем сервер сможет развернуть полноценное троянское ПО», — пояснили специалисты. Шпионское ПО содержит четыре сложных кастомных обфускатора, предназначенных для замедления анализа шпионского ПО. Кроме того, троян может использовать режим разработчиков в браузерах для перехвата трафика, защищенного протоколом HTTPS. На всех компьютерных системах, зараженных буткитом UEFI, диспетчер загрузки Windows (bootmgfw.efi) был заменен вредоносным. Когда UEFI передает выполнение вредоносному загрузчику, он сначала находит и заменяет исходный диспетчер загрузки Windows на исправленную версию, способную обойти все проверки безопасности. На старых устройствах без поддержки UEFI было зафиксировано заражение через MBR (Master Boot Record). -
Cообщество HackerOne объявило о расширении программы поиска уязвимостей в проектах с открытым ПО. Инициатива проводится в рамках текущей программы Internet Bug Bounty. В число проектов с открытым кодом, попадающих под программу выплаты вознаграждений HackerOne, включены: Ruby, Ruby on Rails, RubyGems, Curl, Electron, Django, Nginx и OpenSSL. За найденные уязвимости в этих проектах HackerOne будет выплачивать от $300 до $5000, в зависимости от критичности бага. Оплата будет проводится следующим образом. Четыре пятых награды сразу получит исследователь, который обнаружил проблему. Пятая часть награды будет перечислена разработчику, который занимается в открытом проекте направлением, которая затрагивает новая уязвимость. Он получит оплату от HackerOne после того, как выпустит патч против уязвимости. "Программное обеспечение с открытым исходным кодом используется практически во всей современной цифровой инфраструктуре. В настоящее время среднее, добротное, не очень насыщенное приложение использует 528 различных компонентов с открытым исходным кодом. Обнаруженные в 2020 году критические уязвимости существовали к моменту обнаружения в среднем около двух лет, и компании-разработчики приложений не имели доступа и возможности устранить выявленные недостатки используемых компонентов", - говорится в пресс-релизе компании. Наряду с HackerOne участвующими партнерами являются организации, которые полагаются на открытый исходный код для цепочек поставок программного обеспечения и другой критически важной цифровой инфраструктуры, - Elastic, Facebook, Figma, GitHub, Shopify и TikTok.
-
Ботнет Mēris атакует маршрутизаторы MikroTik, взломанные несколько лет назад
Cortez опубликовал тема в СМИ о нас
Большую часть ботнета Mēris, получившего известность после рекордной DDoS-атаки на компанию «Яндекс», составляют непропатченные маршрутизаторы MikroTik, скопрометированные еще в 2018 году. «К сожалению, устранение уязвимости не обеспечивает немедленную защиту для этих маршрутизаторов. Если кто-то получил ваш пароль в 2018 году, простое обновление не поможет. Вы также должны изменить пароль, перепроверить межсетевой экран, если он не разрешает удаленный доступ сторонним лицам, и провести проверку на предмет не созданных вами скриптов», - отметил сотрудник MikroTik на сайте компании. Латвийский производитель также отметил, что речь не идет о новой, неизвестной уязвимости, и владельцы устройств, применившие патчи и сменившие пароль, защищены от атак. Как отмечается, компания предприняла попытки проинформировать пользователей об угрозе, но почти безуспешно, поскольку «многие из них не находились в контакте с MikroTik и не мониторят свои устройства». MikroTik порекомендовала пользователям проверить устройства на предмет вредоносных скриптов или неизвестных конфигураций протокола SOCKS и сообщить компании в случае обнаружения таковых на маршрутизаторах с новыми версиями RouterOS. «В частности, мы предлагаем отключить SOCKS и проверить меню System -> Scheduler. Отключите все правила, которые не можете идентифицировать. По умолчанию, не должно быть правил Scheduler и SOCKS должен быть отключен», - отметили в компании. -
В своем новом отчете эксперты исследовательского центра Citizen Lab Университета Торонто рассказали о ранее неизвестной уязвимости в iOS, проэксплуатировать которую можно с помощью всего лишь одного нажатия. Согласно отчету, с февраля 2021 года уязвимость использовалась в атаках на нескольких активистов и диссидентов в Бахрейне. Эксперты связали новый эксплоит с израильским производителем коммерческого шпионского ПО NSO Group, который в последнее время регулярно упоминается в СМИ в связи со слежкой за активистами и журналистами. FORCEDENTRY является одной из нескольких уязвимостей, эксплуатировавшихся для заражения устройств инструментом для слежения Pegasus от NSO Group. По словам специалистов, FORCEDENTRY использовалась в более широкой хакерской кампании, начавшейся в июле 2021 года и затронувшей как минимум девять бахрейнских активистов. «Как минимум четыре активиста были атакованы LULU – оператором Pegasus, которого можно с большой уверенностью отнести к правительству Бахрейна, известного своими злоупотреблениями шпионским ПО», – сообщается в отчете. В данной хакерской кампании FORCEDENTRY не была главной эксплуатирующейся уязвимостью. Атака осуществлялась в три этапа, и похоже, что эксплоит для FORCEDENTRY был разработан ранее в нынешнем году для обхода новых функций, представленные Apple в iOS 14. В настоящее время подробности об уязвимости iMessage, эксплуатировавшейся FORCEDENTRY, не раскрываются, в основном из-за того, что она еще не исправлена. На данный момент об уязвимости известно следующее: FORCEDENTRY – эксплоит в один клик (zero-click). То есть, всего лишь получив от злоумышленника вредоносного сообщение в iMessage, жертва может заразить свой iPhone вредоносным ПО. То есть, не нужно нажимать на ссылку в сообщении или даже читать его; FORCEDENTRY может обходить BlastDoor – новую функцию безопасности, тайно добавленную Apple в iOS 14 в прошлом году. Она работает путем помещения некоторых элементов iMessage в песочницу с целью изоляции получаемого в сообщениях вредоносного кода от взаимодействия с ОС; FORCEDENTRY использовался в атаках на версии iOS 14.4 и 14.6, однако эксплоит также может работать и на текущих версиях iOS; FORCEDENTRY также использовался в атаках на пользователей во Франции и Индии.
-
Обнаружение и закрытие фишинговых сайтов у Центробанка занимает три дня, этого недостаточно - бизнесу и правоохранителям нужно наращивать скорость обмена информацией. Об этом заявил РИА Новости начальник Следственного департамента МВД РФ Сергей Лебедев. Господин Лебедев рассказал, что механизм обмена информацией между банками и полицией «заформализованный», но на расследование преступлений могут уходить месяцы. «У Центрального банка для обнаружения и закрытия так называемых фишинговых сайтов уходит три дня, но и этого недостаточно. Для своевременного пресечения противоправной деятельности мошенников обмен информацией и реагирование на противоправные проявления должен быть в высшей степени оперативным»,— пояснил он. Он также подчеркнул, что увеличение скорости обмена сведениями между силовиками и банками, операторами связи, Интернет-провайдерами могло бы повлиять на эффективность расследования IT-преступлений и установление злоумышленников.
-
Криптомайнинговый ботнет изменяет конфигурации ЦП для увеличения мощности майнинга
Cortez опубликовал тема в СМИ о нас
Исследователи в области кибербезопасности из компании Uptycs сообщили о вредоносной кампании, в ходе которой хакеры используют червь, написанный на языке Golang, для установки криптомайнера на устройства жертв. Криптомайнер изменяет конфигурации ЦП на взломанных Linux-серверах с целью повысить эффективность и производительность своего кода для майнинга криптовалюты. Как сообщили эксперты, это первый случай, когда злоумышленники изменяют моделезависимые регистры (Model-Specific Registers, MSR) процессора для отключения функции Hardware Prefetcher ЦП. Аппаратная предварительная выборка, включенная по умолчанию на большинстве процессоров, позволяет процессору загружать в кэш-память данные на основе операций, которые могут потребоваться в ближайшем будущем. Когда ЦП выполняет повторяющиеся вычисления, аппаратная предварительная выборка может помочь повысить производительность. MSR представляют собой набор регистров управления, доступных на процессорах x86, которые можно использовать для управления различными функциями, включая включение и отключение аппаратной предварительной выборки. По словам специалистов, ботнет для майнинга криптовалюты нарушал работу Linux-серверов, загружал драйвер MSR для Linux, а затем отключал предварительную выборку оборудования перед установкой майнера XMRig. В Uptycs предполагают, что злоумышленники придумали отключить аппаратную предварительную выборку после прочтения документации XMRig, в которой говорится об увеличении скорости работы приложения на 15%, если функция Hardware Prefetcher отключена. Операторы ботнета в ходе атак эксплуатировали уязвимости CVE-2020-14882 и CVE-2017-11610 для получения доступа к системам под управлением Linux, на которых запущен Oracle WebLogic или Supervisord. По словам Uptycs, тот же ботнет был активен по крайней мере с декабря 2020 года и использовался для атак на серверы с запущенным MySQL, Tomcat, Oracle WebLogic или Jenkins. -
Хакер, взломавший систему онлайн-голосования, получит 2 млн. рублей
Cortez опубликовал тема в СМИ о нас
29 и 30 июля 2021 года проходило тестирование московской системы онлайн-голосования. За это время разработчики не только получили обратную связь от пользователей, но также столкнулись с попытками взлома платформы. Как сообщается, за все два дня тестирования системы было отмечено несколько попыток взломать ее. Одна из атак случилась за час до окончания тестирования. В службу поддержки написал молодой человек по имени Дмитрий и сообщил разработчикам, что устроил массовый вброс бюллетеней. «Мы напряглись сразу, – признался Костырко. – Но стали проверять систему и увидели, что она справилась с атакой, аннулировав все бюллетени, кроме двух – по одному для каждого опроса». Сейчас разработчики обсуждают возможность отмены всех результатов по всем таким бюллетеням. А через неделю они должны объявить хакера, который за время проведения теста нашел в системе слабое место и указал на него создателям платформы. Более того, эксперта наградят премией размером 2 млн рублей, как и было обещано ранее.- 1 ответ
-
- 1
-
Россиянина Егора Крючкова, который был осужден в США за попытку кибервзлома американской компании-производителя электромобилей Tesla, депортировали в Россию. Об этом сообщили в пограничной службе США. - Указанное лицо депортировали 21 июля 2021 года, - сообщила представитель ведомства РИА Новости. Летом 2020 года 27-летний Егор Крючков с сообщниками пытался подкупить сотрудника компании Tesla за $1 млн, чтобы тот установил вредоносное программное обеспечение. Оно должно было предоставить Крючкову доступ к системе, чтобы потом, угрожая публикацией данных, вымогать у компании деньги. 22 августа его задержали в Лос-Анджелесе. Суд приговорил его к десяти месяцам содержания под стражей и депортации из США.
-
Директор ЦРУ Уильям Бёрнс в интервью радио NPR выразил сомнения в том, что власти России имеют влияние на хакеров, которые постоянно атакуют объекты в США. По словам Бёрнса, президенты России и США Владимир Путин и Джо Байден говорили об этом на встрече в Женеве. Байден просил российского коллегу пресечь деятельность хакеров, пусть даже «не связанных с государством». Борьба российских властей с хакерскими группировками, действующими на территории страны, показала бы серьезность намерений Москвы сотрудничать с Вашингтоном в сфере кибербезопасности. Об этом в интервью радиостанции NPR заявил директор ЦРУ Уильям Бернс. При этом, как подчеркнул глава ЦРУ, сразу после встречи в Женеве американская компания Kaseya подверглась атаке хакерской группировки REvil, которую связывают с РФ. «Это важный тест на серьезность для российского руководства», — заявил Бернс. В то же время он добавил, что правильнее всего будет «скептически относиться к способности российского правительства действовать по этим вопросам».
-
Американские власти собираются более жестко контролировать транзакции с криптовалютой. По словам источников Bloomberg, власти США планируют «более тщательно отслеживать переводы» денежных средств, представленных в криптовалюте, которые компании, организации и ведомства осуществляют в качестве платы киберпреступникам. Хакеры могут требовать средства за возвращение похищенной информации или восстановление доступа к компьютерным системам. Ранее советник президента США по национальной безопасности Джейк Салливан заявил, что администрация Соединенных Штатов на текущей неделе объявит о дополнительных шагах, направленных на противодействие кибератакам с использованием вирусов-вымогателей.
-
Тысячи игровых консолей Sony PlayStation 4 были конфискованы после их обнаружения на старом складе, который использовался для незаконной добычи криптовалюты. Как сообщили сотрудники Службы безопасности Украины (СБУ), склад находился в промышленной зоне города Винница и в прошлом принадлежал электроэнергетической компании ОАО «Винницаоблэнерго». В здании сотрудники правоохранительных органов обнаружили то, что они назвали «крупнейшей в стране подпольной криптовалютной фермой». В общей сложности конфисковано около 3,8 тыс. игровых консолей, хранившихся на металлических стойках, а также более 500 видеокарт и 50 процессоров. Аппаратное обеспечение использовалось для добычи криптовалюты. По текущим оценкам, преступники похищали электроэнергию на сумму от 5 млн до 7 млн грн. (от $186 200 до $259 300) в месяц. Как сообщили представители ОАО «Винницаоблэнерго», «компания не имеет отношения к какой-либо незаконной деятельности» и «оборудование для майнинга криптовалюты никогда не работало в помещениях, принадлежащих компании». По данным издания delo.ua, устройства использовались вовсе не для майнинга криптовалюты, а для «прокачки ботов» для футбольного симулятора FIFA. Боты на консолях наигрывали нужное количество часов и внутриигровой валюты, а потом учетную запись преступники продавали в специальных online-магазинах.
-
Кибервымогательская группировка Clop, на прошлой неделе арестованная в рамках международной правоохранительной операции, также управляла сервисом по отмыванию денег, которым пользовались другие киберпреступные группы. По данным криптовалютной биржи Binance, группировка занималась как кибератаками, так и «рискованным обменом», отмывая средства для себя и для других киберпреступников. В общей сложности Clop отмыла более $500 млн в криптовалюте, полученных в качестве выкупа от жертв вымогательского ПО Clop и Petya. Кроме того, группировка, которую Binance отслеживала как FancyCat, отмыла миллионы долларов, полученных в результате других видов киберпреступлений. Зарегистрированная на Каймановых островах криптовалютная биржа Binance совместно с аналитическими компаниями TRM Labs и Crystal (BitFury) обнаружиласуществование группировки, собрала о ней все возможные данные и передала правоохранительным органам. По словам представителей биржи, эта информация поспособствовала дальнейшим арестам участников группировки. Как сообщает украинская полиция, шесть участников Clop были арестованы на прошлой неделе в Киеве и области. Хотя, правоохранители утверждают, что арестованные и есть сама группировка Clop, по данным Binance они всего лишь «пешки» в ее операциях. Это объясняет, почему после арестов атаки Clop все еще продолжаются . Так, сайт утечек группировки по-прежнему активный, и 22 июня (через шесть дней после арестов) на нем появились сведения о новой жертве.
-
В продуктах Microsoft в 2020 году было обнаружено рекордное количество уязвимостей
Cortez опубликовал тема в СМИ о нас
Эксперты компании BeyondTrust, занимающейся кибербезопасностью в операционных системах UNIX, Linux, Windows и macOS, опубликовала The Annual Microsoft Vulnerabilities Report 2021» («Ежегодный отчет об уязвимостях Microsoft»). Согласно документу, в 2020 году в решениях техногиганта ИБ-специалисты выявили 1268 уязвимостей, что является рекордным числом. В период с 2016 по 2020 год количество уязвимостей в решениях американской компании увеличилось на 181%. Наибольшая часть проблем была обнаружена в продуктах семейства Windows — 907. Общее число выявленных критических уязвимостей составило 132. Примечательно, что большинство проблем может быть нейтрализовано путем отключения прав администратора. Впервые на уязвимости повышения привилегий пришлось наибольшая доля от общего числа проблем в продуктах Microsoft (44%). Данное число увеличилось почти в три раза с 198 в 2019 году до 559 в 2020 году. -
Стало известно, кто стоит за атакой на крупнейшего производителя мяса
Cortez опубликовал тема в СМИ о нас
За атакой на крупнейшего в мире производителя мясных продуктов питания JBS стоит киберпреступная группировка REvil (Sodinokibi), связываемая многими ИБ-экспертами с Россией. Об этом изданию Bloomberg Quint сообщили четыре осведомленных источника, не уполномоченные обсуждать данный вопрос. Напомним , на прошлых выходных производственные мощности JBS по всему миру подверглись кибератаке, из-за которой компания была вынуждена остановить производство в Австралии и США. Во вторник, 1 мая, компания сообщила, что ей удалось добиться «существенного прогресса» в восстановлении после кибератаки и в среду она планирует запустить «большую часть» производственных процессов. Как сообщило Министерство сельского хозяйства США, оно продолжает тесно сотрудничать с Белым домом, Министерством внутренней безопасности, JBS USA и другими организациями для мониторинга ситуации и оказания помощи в решении любых потенциальных проблем с поставками или ценами. По мнению самой киберпреступной группировки REvil, в сфере кибервымогательства ей нет равных, и она не нуждается в дополнительной рекламе. Среди недавних жертв REvil – корпорация Apple , один из крупнейших в мире производителей компьютерной техники Acer , одна из крупнейших в Японии строительных компаний Kajima Construction Corporation , бразильские суды и многие другие организации. -
Ларри Брандт, давний сторонник свободы в Интернете, использовал свой почти 20-летний счет PayPal для оплаты серверов поддерживающих сеть Tor. Теперь аккаунт Брандта в PayPal был закрыт, показав, как финансовая цензура может навредить делу свободы Интернета во всем мире. Брандту не удалось решить проблему напрямую через PayPal, поэтому он обратился в Фонд электронных рубежей (EFF), некоммерческую организацию, отстаивающие права людей на свободу в сети. В течение многих лет EFF документировал случаи финансовой цензуры, когда платежные посредники и финансовые учреждения закрывали счета и отказывались обрабатывать платежи для людей и организаций, которые не были обвинены в совершении какого-либо преступления, а просто симпатизировали идеям свободы и анонимности. EFF обратился к PayPal за разъяснениями, однако в ответ получили лишь сухое: «ситуация определена надлежащим образом». Отличный повод перейти на криптовалюту
-
Хакеры взламывают Linux-серверы через уязвимость в web-хостинговом ПО
Cortez опубликовал тема в СМИ о нас
Профессиональная киберпреступная группировка атакует Linux-серверы, устанавливая на них руткиты и бэкдоры через уязвимость в web-хостинговом ПО. Если говорить точнее, злоумышленники взламывают Control Web Panel (старое название CentOS Web Panel) – ПО, работающее по одному принципу с более известным инструментом cPanel, использующимся web-хостинговыми компаниями и крупными предприятиями для хостинга и управления масштабной серверной инфраструктурой. Как минимум с февраля нынешнего года киберпреступная группировка сканирует интернет в поисках установок CWP, с помощью эксплоита для старой уязвимости получает доступ к панели администрирования и устанавливает бэкдор Facefish. Его главным предназначением является сбор информации об устройстве, выполнение произвольных команд и похищение учетных данных SSH с инфицированного хоста. В ходе атак, обнаруженных исследователями компаний Juniper и Qihoo 360 , также используется редкий руткит, который злоумышленники устанавливают на взломанных Linux-серверах с целью обеспечения персистентности. Тем не менее, несмотря на большое количество времени, прошедшего с момента начала атак, на взломанных серверах не наблюдается практически никакой активности. К примеру, хакеры не установили майнеры криптовалюты, как того можно было ожидать. По мнению специалистов Juniper, целью злоумышленников было создание ботнета, и они намерены продавать или сдавать в аренду доступ к сетям взломанных компаний тем, кто предложит наиболее выгодную цену. Поскольку CWP обычно используется для управления большими и важными сетями серверов, доступ к любой такой системе будет высоко цениться у киберпреступников, в частности, у операторов вымогательского ПО. Ни Juniper, ни Qihoo 360 не сообщили CVE-идентификатор уязвимости, о которой идет речь (также неизвестно, есть ли у нее вообще CVE), зато представили свои эксплоиты. IT-специалисты предприятий, использующих Control Web Panel, могут проанализировать эксплоиты и настроить в своих межсетевых экранах соответствующие политики для защиты от возможных кибератак. -
Недавно WhatsApp поставил людей перед необходимостью принять новое пользовательское соглашение. Журналисты заметили, что такое поведение нарушает правила магазина приложений Apple. Есть риск, что App Store удалит мессенджер за это. О том, что приложения не должны предпринимать действий, которые ограничат их функциональность для пользователей, говорится в гайдлайне App Store. Исходя из этого, новые условия WhatsApp не разрешены правилами магазина. Правом удалить WhatApp из AppStore без лишних разбирательств компанию Apple наделяет пункт 3.2.2 правил ее магазина приложений. Он звучит так: «Приложения не должны требовать, чтобы пользователи оценивали и обозревали приложения, просматривали видео, загружать другие приложения, кликали на рекламу, разрешали отслеживание или предпринимали другие аналогичные действия для доступа к функциям, контенту, возможности использования приложения или получения денежной или иной компенсации, включая, помимо прочего, подарочные карты и коды». Требование WhatsApp принять новое пользовательское соглашение (в противном случае мессенджер угрожает постепенно ограничить возможность переписки и совершения звонков) вполне можно рассматривать как принуждение к "дополнительным действиям", запрещенным правилами. Apple наказывает нарушение политики App Store удалением приложения из магазина и/или блокировкой аккаунта разработчика. В связи с этим iPhone могут остаться без WhatsApp из-за нарушений мессенджером правил AppStore.
-
Microsoft разработала лабораторную среду SimuLand для моделирования кибератак
Cortez опубликовал тема в СМИ о нас
Специалисты компании Microsoft разработали лабораторную среду SimuLand с открытым исходным кодом, призванную помочь протестировать и улучшить защиту Microsoft 365 Defender, Azure Defender и Azure Sentinel от различных сценариев кибератак. SimuLand позволяет использовать «ресурсы из различных источников данных, включая телеметрию из продуктов безопасности Microsoft 365 Defender, Azure Defender и других интегрированных источников через соединители данных Azure Sentinel». Установленные с помощью SimuLab лабораторные среды могут помочь ИБ-экспертам «активно тестировать и проверять эффективность Microsoft 365 Defender, Azure Defender и Azure Sentinel по обнаружению киберугроз, а также расширять исследования с помощью телеметрии и артефактов, генерируемых после каждого упражнения по моделированию». SimuLab разработана для анализа поведения кибрпреступников, определения способов защиты, ускорения разработки и запуска лабораторных сред для исследования угроз, информирования о последних технологиях и инструментах хакеров, выявления, документирования и обмена соответствующими источниками данных для моделирования и обнаружения преступников. В настоящее время единственная доступная для запуска лабораторная среда позволяет исследователям тестировать и улучшать защиту от атак Golden SAML, в рамках которых злоумышленники подделывают аутентификацию для облачных приложений. Помимо работы над добавлением дополнительных сценариев, Microsoft также намерена добавить автоматизацию атак через сервис Azure Functions в облаке, экспорт и обмен телеметрией, интеграцию оценочных лабораторий Microsoft Defender, а также установку и обслуживание инфраструктуры с помощью CI/CD с Azure DevOps. -
Ранее хакеры сooбщали о похищении более 250 гигабайт личных данных с официального сайта полицейского управления столицы США. Злоумышленники отметили, что размер выкупа, предложенный правоохранителями, их не устроил. В Babuk заявляют, что если полиция не увеличит сумму выкупа, группа опубликует все имеющиеся данные о сотрудниках управления. "Переговоры зашли в тупик, сумма, которую нам предложили, нас не устраивает, мы размещаем еще 20 личных файлов на офицеров, вы можете скачать этот архив, парoль будет выпущен завтра”, — написала во вторник хакерская группа Babuk, сообщает издание Vice Motherboard. — Если в течение завтрашнего дня они не поднимут цену, мы опубликуем все данные”. Опубликованные фaйлы представляют собой биографии силовиков. Они содержaт информацию о состоянии здоровья, уголовном прошлом и кредитной репутации кандидатов в полицейские, списки их прошлых aдресов, номера телефонов и социального страхования, копии водительских удостоверений, а также имена возможных родственников.
-
В работе сервисов Microsoft, включая корпоративные сервисы Teams и Office 365 произошел масштабный сбой. Об этом компания сообщила в своем Twitter-аккаунте. Как отмечается, сбой затронул работу Microsoft Teams в Европе, Азии и США. Судя по данным сервиса Downdetector , cбой начался примерно 12.50 по московскому времени. Согласно сообщениям некоторых пользователей, при попытке подключиться к Teams возникает уведомление об ошибке "operation failed with unexpected error". В настоящее время Microsoft изучает проблему. Судя по всему, она ограничена только Teams и Office 365 и не распространяется на другие сервисы компании.
-
Компания Google выпустила экстренное исправление для уязвимости в Chrome, которую уже эксплуатируют хакеры. CVE-2021-21224 является четвертой по счету уязвимостью нулевого дня в Chrome, обнаруженной в 2021 году, и продолжающееся отсутствие индикаторов компрометации или какой-либо значимой информации об атаках продолжает вызывать недоумение среди экспертов по безопасности. Согласно уведомлению Google, исправление устраняет семь уязвимостей, но компания предоставила только однострочную документацию и идентификаторы CVE для пяти из них. CVE-2021-21224 просто описывается как несоответствие вводимых данных в рендеринговом движке V8. Проблема была обнаружена исследователем безопасности Хосе Мартинесом (Jose Martinez). «Google известно о сообщениях о существовании эксплоитов для CVE-2021-21224», - говорится в уведомлении. Обновление для Chrome (90.0.4430.85) распространяется на Windows, Mac и Linux через механизм автоматической доставки обновлений. Оно также исправляет уязвимость переполнения буфера в V8, целочисленного переполнения в Mojo и использования памяти после высвобождения в Navigation, а также уязвимость доступа к данным за пределами выделенной области памяти.
-
Twitch будет блокировать пользователей за нарушения, совершенные вне сайта
Cortez опубликовал тема в СМИ о нас
Видеостриминговый сервис Twitch начнет блокировать пользователей за правонарушения, совершенные за пределами площадки. Примеры «серьезных нарушений» включают террористическую деятельность, угрозы Twitch или его сотрудникам и пр. Как сообщили представители Twitch, в соответствии с новыми правилами модераторы сервиса будут принимать принудительные меры в отношении нарушений, совершенных в offline-режиме, которые представляют «существенный риск для безопасности» ее сообщества. Twitch будет сотрудничать с правоохранительными органами в делах, не связанных с обслуживанием площадки, и уже сотрудничает с юридической фирмой для поддержки своей внутренней команды специалистов. Новые стандарты будут применяться, даже если преступник не был пользователем площадки, когда совершал злонамеренные действия. В таком случае злоумышленникам будет запрещено регистрировать учетную запись Twitch. Специалисты Twitch будут принимать меры только при наличии доказательств, таких как снимки экрана, видеоролики или документы полиции, проверенные внутренней командой или сторонними следователями. Пользователи, отправившие большое количество необоснованных отчетов, также будут заблокированы. -
Эксперты компании ESET сообщили о ранее незадокументированном вредоносном ПО, которое киберпреступная группировка Lazarus, связываемая с северокорейскими разведслужбами, использовала для осуществления атак на южноафриканскую логистическую компанию. Хотя специалисты выявили вредонос под названием Vyveva в июне 2020 года, судя по имеющимся свидетельствам, группировка использовала бэкдор как минимум с декабря 2018 года. Вредоносная программа обладает обширным набором возможностей для осуществления кибершпионажа, позволяющих операторам Lazarus отправлять файлы с зараженных систем на подконтрольные серверы, используя анонимную сеть Tor в качестве безопасного канала связи. Lazarus также может использовать Vyveva для загрузки и выполнения произвольного вредоносного кода на любой скомпрометированной системе в сети жертвы. Среди других функций бэкдора есть поддержка команд временной метки, позволяющих операторам манипулировать датой любого файла с помощью метаданных из других файлов на системе или устанавливать случайную дату между 2000 и 2004 годами, чтобы скрыть новые или измененные файлы. Бэкдор подключается к C&C-серверу каждые три минуты, а также использует специальные таймеры для отслеживания вновь подключенных дисков или активных пользовательских сеансов, чтобы инициировать новые подключения к C&C-серверу. Код Vyveva имеет много общего с семейством вредоносных программ NukeSped. Использование поддельного TLS-протокола в сетевом взаимодействии, цепочки выполнения командной строки и способ использования шифрования и служб Tor указывают на Lazarus.
-
Власти США предупредили об атаках APT-групп через уязвимости в Fortinet FortiOS VPN
Cortez опубликовал тема в СМИ о нас
Агентство кибербезопасности и защиты инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA) и ФБР сообщили, что высококвалифицированные хакеры могут эксплуатировать уязвимости в Fortinet FortiOS VPN в попытке атаковать компании среднего и крупного бизнеса. «APT-группы могут использовать эти уязвимости и другие распространенные техники для получения первоначального доступа к многочисленным правительственным, коммерческим и технологическим сервисам. Получение первоначального доступа позволяет APT-группам осуществлять дальнейшие атаки», - сообщается в совместном уведомлении ФБР и CISA. Fortinet FortiOS SSL VPN используется преимущественно в межсетевых экранах, защищающих чувствительные внутренние сети от публичного интернета. Две ( CVE-2018-13379 и CVE-2020-12812 ) из трех (третья уязвимость CVE-2019-5591 ) указанных в уведомлении и уже исправленных уязвимостей особенно опасны, поскольку позволяют неавторизованному злоумышленнику похищать учетные данные и подключаться к уязвимым установкам VPN. Если учетные данные VPN используются также другими внутренними сервисами (т.е. Active Directory, LDAP), то атакующий незамедлительно получит доступ к этим сервисам с привилегиями пользователя, чьи учетные данные были похищены. Затем он может исследовать сеть в поисках уязвимостей в различных внутренних сервисах. В уведомлении ФБР и CISA не указано, о каких APT-группах идет речь. Кроме того, в уведомлении говорится лишь о «вероятной» эксплуатации вышеупомянутых уязвимостей. Устранение уязвимостей требует от IT-администраторов внесения изменений в конфигурацию, и, если организация не использует сеть с более чем одним VPN-устройством, возникнет простой. Хотя это может стать настоящей проблемой в средах, где требуется круглосуточная доступность VPN, возможные атаки вымогательского или шпионского ПО могут причинить гораздо больший ущерб, чем простой. -
Хакеры наконец-то сумели взломать PlayStation 4 на прошивке 7.55. В результате этого, последние эксклюзивы Sony стали доступны в том числе и для любителей «пиратской романтики». Речь, например, идёт о таких хитах приставки уходящего поколения, как The Last of Us: Part II, Ghost of Tsushima, Spider-Man: Miles Morales, Assassin’s Creed Valhalla, Mafia: Definitive Edition и многих других. Как сообщается, на сегодняшний день хак не очень стабилен, из-за чего игры могут вылетать. Но это вряд ли будет серьёзной проблемой, так как уже в ближайшее время разработчики взлома обещали исправить это выпуском обновлённой версии инструмента для обхода защиты консоли.