INC.

Сервис электронной почты компании VK подвёл своеобразные итоги за 2022 год. «Почта Mail.ru» рассказала о работе антифишинг и антиспам систем. По словам компании, жалобы пользователей на спам сократились на 6,5% в 2022 году по сравнению с 2021 годом. Как утверждают разработчики, антиспам система «Почты Mail.ru» использует технологии ИИ, где за распознавание нежелательного контента отвечают «трансформеры» — глубокие модели машинного обучения, содержащие 60 млн параметров.Сисема антиспама ежедневно обучается и в 2022 году блокировала 54,5 млн нежелательных рассылок из 404,5 млн входящих писем в день. Система заблокировала 20 млрд спам-писем. Кроме антиспам системы, в сервисах Mail.ru используются технологии «Лаборатории Касперского», защищающие пользователей от вредоносных вложений в письмах. В 2022 году 500 тысяч писем с вложениями были идентифицированы как вредоносные и заблокированы.

анее незарегистрированная хакерская группировка под названием YoroTrooper нацелилась на правительственные, энергетические и прочие критически важные организации по всей Европе в рамках кампании кибершпионажа, которая ведется как минимум с июня 2022 года. «Информация, украденная в результате успешных компрометаций, включает в себя учётные данные из нескольких приложений, историю браузера, cookie-файлы, системную информацию и снимки экрана», — заявили исследователи Cisco Talos. В число известных целевых стран входят Беларусь, Азербайджан, Таджикистан, Кыргызстан, Туркменистан и другие страны СНГ. Также, по словам исследователей, досталось и правительственным учреждениям Турции. Специалисты полагают, что к атакам причастен русскоязычный злоумышленник из-за шаблонов виктимологии и наличия фрагментов кириллицы в некоторых имплантах. Однако также было обнаружено, что набор для вторжения YoroTrooper демонстрирует тактическое совпадение с командой PoetRAT, которая, как было задокументировано в 2020 году, использовала приманки на тему коронавируса для нанесения ударов по правительственному и энергетическому секторам в Азербайджане. Страну происхождения PoetRAT исследователям Cisco Talos во время прошлого расследования выявить не удалось. Цели YoroTrooper по сбору данных реализуются за счёт сочетания обычных вредоносных программ (Ave Maria, LodaRAT, Meterpreter и Stink) с цепочками заражения, использующими вредоносные ярлыки (.lnk) и документы-приманки, завернутые в «.zip» / «.rar» архивы и распространяемые с помощью целевого фишинга.

В течение последних семи месяцев происходят непрекрающиеся атаки на сеть Tor. Временами усилия атакующих были достаточными, чтобы замедлить работу сети или даже полностью отключить доступ к onion-сервисам для некоторых пользователей, утверждают специалисты проекта. Инфраструктура сервиса уже более полугода подвергается атакам со стороны неизвестных злоумышленников, используя DoS-атаки. Команда Tor Project прилагает усилия, чтобы справиться с этой ситуацией, и кроме того, наняла двух новых разработчиков, специализирующихся в области сетевого ПО. Согласно сообщению в блоге проекта Tor, инфраструктура проекта подверглась серии мощных кибератак и невозможно установить мотивы злоумышленников и принадлежность к хакерской группировке. Также указано, что методы и векторы атак злоумышленников постоянно меняются. Команда Tor пытается адаптировать инфраструктуру сети для работы в сложных условиях. Организация обращается к сообществу с призывом помочь в финансировании развития луковой службы за счет пожертвований. Предлагая бесплатные услуги, проект Tor финансируется за счет пожертвований при поддержке Electronic Frontier Foundation (EFF), различных правительственных учреждений США и частных лиц. Напомню, ранее стало известно, что, несмотря на заявленную анонимность сети, ФБР смогло получить информацию об активности потенциального террориста в сети Tor. При этом спецслужбы категорически отказались раскрывать способ взлома.

Генеральная прокуратура Нью-Йорка оштрафовала на сумму $410 000 разработчика шпионского ПО Патрика Хинчи, который с помощью 16 компаний незаконно продвигал свои инструменты наблюдения. Прокуратура также обязала Патрика Хинчи изменить методы маркетинга своих продуктов и информировать владельцев устройств о том, что их телефоны тайно отслеживаются с помощью одного из его многочисленных приложений – Auto Forward, Easy Spy, DDI Utilities, Highster Mobile, PhoneSpector, Surepoint и TurboSpy. Хинчи предоставляд компаниям-клиентам свои шпионские программы, которые позволяют отслеживать телефоны других людей без ведома пользователей. В некоторых случаях они также используются для мониторинга онлайн-активности целей и сбора конфиденциальной информации о пользователях, которая впоследствии может быть использована для шантажа или различных других злонамеренных целей. Эти приложения для наблюдения позволили клиентам Хинчи тайно отслеживать действия других людей на своих мобильных устройствах, включая: местоположение; историю просмотров; журналы вызовов; текстовые сообщения; фотографии и видео; активность электронной почты; чаты WhatsApp и Skype; активность в социальных сетях. Согласно соглашению , некоторые приложения также позволяли пользователю удаленно активировать камеру или микрофон целевого устройства. По словам генерального прокурора, приложения копируют информацию с устройства и передают ее на серверы компании, где она доступна клиенту. Другая услуга позволяет клиентам эксфильтровать данные с целевого сервера iCloud, если у клиента есть доступ к данным для входа. Для рекламы своих программ разработчик создал якобы независимые веб-сайты с обзорами продуктов, на которых публиковались восторженные отзывы о преимуществах использования шпионского ПО. В одном сообщении в блоге утверждалось, что приложение PhoneSpector «позволяет клиенту отслеживать всю телефонную активность целевого пользователя без риска быть уличенным в шпионаже».

Злоумышленник выставил на продажу набор данных размером 84 МБ, который предположительно содержит личные данные 230 000 клиентов компании Puma в Чили. Продавец утверждает, что данные украдены из CMS Puma в Чили, но экспертам не удалось это проверить. База данных включает контактную информацию о клиентах компании: имена клиентов; адреса электронной почты; номера телефонов; адреса для выставления счетов и доставки. Данные также содержат подробную информацию о покупках клиентов: номера заказов; способы оплаты; общую сумму потраченных средств; стоимость доставки; доступные персональные скидки. Представители Puma сообщили, что компания расследует утечку данных, чтобы установить причину утечки и определить - какие именно данные были утеряны.

Исследователи Trend Micro предупреждают, что Gootkit Loader нацелился на отрасль здравоохранения Австралии, используя отравление SEO (SEO poisoning) и VLC Media Player в качестве Cobalt Strike. В методах отравления SEO используются такие ключевые слова, как «больница», «здоровье», «медицина» и «корпоративное соглашение» в сочетании с названиями австралийских городов. При поиске слов, связанных с австралийской отраслью здравоохранения, «отравленные» сайты отображаются на первой странице результатов поиска. При открытии сайта появляется страница форума, которая содержит ссылку для скачивания ZIP-файла с вредоносным ПО. ZIP-архив также содержит JavaScript-файл, который используется для обфускации и обеспечения постоянства через запланированное задание. Запланированная задача запускает PowerShell-сценарий и извлекает файлы для цепочки атаки с C&C-сервера.

Инцидент произошел в ходе тестирования ботнета, построенного на вредоносе KmsdBot. Изучая возможности ботнета, исследователи Akamai случайно послали ботам команду с синтаксической ошибкой, что привело к отключению ботнета. Про ботнет сообщили специалисты Akamai Security Research в середине прошлого месяца. В его основе лежит KmsdBot – написанный на языке Go вредонос, который использует SSH для проникновения в системы жертв. Закрепившись в системе жертвы, вредоносная программа подключает пользователя к ботнету и использует его устройство для майнинга криптовалюты Monero и проведения DDoS-атак. Среди основных целей KmsdBot были игровые компании, ИБ-фирмы и даже производители люксовых автомобилей. Но почему ботнет удалось отключить одной командой? Как говорят исследователи Akamai, причины всего две: Отсутствие механизма, позволяющего закрепиться в зараженной системе. Это означает то, что систему жертвы придется заражать сначала, если он был удален или по какой-то причине потерял связь с C&C-сервером. Отсутствие механизма, проверяющего команды на наличие ошибок. В случае с Akamai, сбой работы всего ботнета был вызван выполнением атакующей команды в которой была синтаксическая ошибка – пропущен пробел между адресом целевого сайта и портом.

Согласно последним сообщениям специалистов Avast, с начала 2022 года участились атаки с использованием вредоносного расширения для браузера Google Chrome под названием "VenomSoftX", который похищает содержимое буфера обмена. Как удалось выяснить экспертам, этот аддон является частью JavaScript-трояна ViperSoftX, крадущего пароли и криптовалюту. Известно, что ViperSoftX тихо существовал с 2020 года, ведь ранее о трояне сообщали исследователи из Cerberus и Colin Cowie. Кроме того, ему был посвящен отдельный отчет компании Fortinet. А в новом отчете Avast Threat Labs специалисты раскрыли дополнительные сведения о функциональности вредоноса и расширения VenomSoftX. Кроме того, в отчете сообщается, что с начала 2022 года специалисты Avast обнаружили и пресекли около 93 000 попыток заражения ViperSoftX. Основная часть зараженных пользователей находилась в США, Италии, Индии и Бразилии. Основным каналом распространения ViperSoftX являются торрент-файлы с “кряками” для игр и активаторы платного ПО. Адреса криптокошельков злоумышленников жёстко закодированы в образцах ViperSoftX и VenomSoftX. Всего таких кошельков нашлось два, на момент 8 ноября 2022 года в них хранилось 130 тысяч долларов. Ключевая функция ViperSoftX – установка аддона VenomSoftX для браузеров Chrome, Brave, Edge и Opera. Расширение маскируется под якобы полезное приложение “Google Sheets 2.1“. Известно, что VenomSoftX умеет модифицировать HTML-код на веб-сайтах и перенаправлять транзакции в криптовалюте на кошельки операторов вредоноса. Кроме самой валюты, троян может спокойно похищать пароли пользователей. Кроме того, расширение способно перехватывать API-запросы к криптосервисам, чтобы собрать информацию об активах жертвы.

Сообщение о краже данных у Kingfisher появилось на сайте LockBit в понедельник. Хакеры заявили, что похитили 1,4 ТБ данных компании, включая личные данные сотрудников и клиентов. Kingfisher – один из крупнейших в мире DIY-ритейлеров (ритейлер, занимающийся продажей товаров для дома, сада и ремонта). Штаб-квартира компании находится в Лондоне, а магазины расположены в 9 странах мира. Штат сотрудников насчитывает 77 тыс. человек. Ежегодный оборот Kingfisher составляет $14,9458 млрд. Компания признала, что злоумышленники получили доступ к ее IT-системам, хотя и отрицает заявленный хакерами объем украденных данных. Сейчас Kingfisher работает с независимыми ИБ-специалистами над оценкой последствий кибератаки. Согласно заявлению представителя компании, злоумышленники просто не могли похитить 1,4 ТБ данных с указанных ими серверов, подтверждая это отчетами специалистов. Внутреннее расследование Kingfisher тоже принесло хорошие новости – на данный момент бизнес-операциям компании ничего не угрожает. Напомню, совсем недавно группировка LockBit нанесла удар по японской компании Oomiya. Эта кибератака могла затронуть цепочки поставок партнеров Oomiya.

Автоконцерн Ferrari подтвердил наличие своих внутренних документов в Интернете, но заявил, что у него нет доказательств кибератаки. Ferrari расследует утечку внутренних документов и объявила, что примет все необходимые меры. Компания могла подвергнуться атаке программы-вымогателя, но производитель автомобилей заявил, что у него нет доказательств компрометации систем, а также добавил, что бизнес и операции компании не пострадали. Об инциденте первый сообщил итальянский новостной сайт Red Hot Cyber . По словам журналистов, банда вымогателей RansomEXX на своем сайте утечки заявила, что взломала IT-системы Ferrari и украла 6,99 ГБ данных, включая внутренние документы, базы данных, руководства по ремонту и т. д. Источник этих документов до сих пор не известен. Предположительно, RansomEXX стоит за кибератакой на крупнейшую в Бразилии сеть магазинов одежды Lojas Renner , в результате которой некоторые IT-системы оказались недоступны.

Согласно новой версии сообщения об инциденте, выпущенной 15 сентября от имени Карима Туббы, генерального директора LastPass, злоумышленник имел доступ к системам разработки менеджера паролей не более четырех дней, после чего был отключен. Кроме того, по результатам расследования, проведенного совместно с Mandiant, нет никаких доказательств того, что киберпреступник получил доступ к данным пользователей или зашифрованным хранилищам паролей. Также удалось узнать, что атака началась со взлома системы одного из разработчиков, за которого хакер себя и выдавал, осуществив вход с использованием многофакторной аутентификации. Однако, несмотря на это, злоумышленник не сумел получить доступ к личным данным клиентов, так как LastPass использует особый системный дизайн и модель нулевого доверия, т.е. разделяет среды разработки и производства, а также не позволяет получить доступ к хранилищам паролей клиентов без мастер-пароля, установленного пользователями. Анализ исходного кода и сборок тоже принес хорошие новости – эксперты не обнаружили каких-либо следов внедрения вредоносного ПО. И последнее, но не по значению: LastPass привлекла ведущую фирму по кибербезопасности, которая должна развернуть расширенные средства контроля безопасности, включая дополнительные средства контроля и мониторинга рабочих мест, а также дополнительные системы для защиты исходного кода и сред разработки.

Центр стратегических разработок (ЦСР) предложил ввести отдельное регулирование невзаимозаменяемых токенов (NFT) и лиц, которые обеспечивают синхронность и непротиворечивость перехода токенизированных вещных прав и записей об их учете в блокчейне, сообщают «Ведомости». О такой инициативе говорится в докладе центра «Виртуальные активы: NFT и виртуальные предметы в компьютерных играх и метавселенных». ЦСР рекомендовал создать отдельную регуляторику для NFT в силу отсутствия в российском законодательстве четкого определения и правовых режимов. В докладе также рассматривается правовое регулирование в отношении виртуальных предметов в компьютерных играх и метавселенных модели play-to-earn. В Банк России такой доклад не поступал, сказал "Ведомостям" представитель регулятора. Но вопросы регулирования отдельных видов NFT могут быть решены в рамках закона об инвестиционных платформах, добавил он: эти вопросы ЦБ планирует в ближайшее время проработать с участниками финансового рынка. Контуры понятия NFT и его правовой режим до сих пор не очевидны, отмечает ЦСР. Поэтому в первую очередь необходимо внести изменения в статью о цифровых правах Гражданского кодекса (ГК) и указать там, что понятие цифровых прав может охватывать токены, которые не предусмотрены в законе. По мнению авторов доклада, это позволит без изменения общей статьи об объектах гражданских прав подчеркнуть допустимость выпуска и обращения NFT, пишут "Ведомости". Если NFT будет определяться в соответствии с ГК как «иное» имущество, то для Налогового кодекса токены будут признаваться имуществом и, соответственно, товарами, поэтому они не будут облагаться налогом при покупке и майнинге. Однако NFT могут подлежать налогообложению НДС без введения специальных положений в Налоговый кодекс. Для отдельного регулирования токенизированных вещных прав ЦСР предлагает в качестве одного из вариантов введение агента, функционально подобного эскроу-агенту. Такой агент может следить за сохранностью токенизированных вещей и по итогу обеспечивать синхронизацию внесения изменений в блокчейне с переходом вещных прав.

Специалистам из TAG удалось связать бывших участников группировки Conti с UAC-0098 (такой идентификатор получила группировка от CERT-UA) с помощью анализа их методов и фишинговых кампаний, направленных на украинское правительство, организации, а также различные европейские гуманитарные и некоммерческие организации. В своем блоге специалисты сообщили, что ранее UAC-0098 использовала банковский троян IcedID для проведения вымогательских атак, но потом резко начала заниматься фишинговыми атаками, выступая в роли брокера начального доступа для других киберпреступников. Кроме того, TAG предоставила два признака, связывающие UAC-0098 с Conti: В атаках UAC-0098 использует скрытый бэкдор, доступный только тем группировкам, которые работают с Conti; UAC-0098 использует C&C-инструмент, разработанный Conti. В ходе недавних кампаний группировка рассылала фишинговые письма ряду крупных сетей украинских гостиниц, выдавая себя за Киберполицию Украины. Кроме того, хакеры пытались выдать себя за представителей Starlink, отправляя письма со ссылками на установщики вредоносных программ, замаскированные под ПО, необходимое для подключения к интернету через системы Starlink. Не стоит забывать и про нашумевшую Follina – UAC-0098 использовала эту уязвимость в своих атаках, однако TAG неизвестно, что злоумышленники делали после взлома систем с ее помощью. Подводя итоги, исследователи Google отметили, что границы между различными хакерскими группировками в Восточной Европе очень размыты. По их мнению, это является показателем того, как часто хакеры адаптируются под различные геополитические ситуации в данном регионе.

Ведущая гостиничная компания InterContinental Hotels Group PLC (также известная как IHG Hotels & Resorts) 5 сентября подверглась кибератаке, которая привела к отключению некоторых IT-систем компании. Системы бронирования IHG и другие сервисы были сильно повреждены и не работают на данный момент. IHG Hotels & Resorts наняла сторонних специалистов для расследования инцидента, а также уведомила соответствующие регулирующие органы. IHG рассказала об атаке в своем заявлении , поданном в Лондонскую фондовую биржу 6 сентября. Хотя компания не раскрыла никаких подробностей о характере атаки, в своем сообщении она упомянула, что работает над восстановлением пострадавших систем и оценкой масштаба кибератаки. Однако, по словам экспертов это может быть атака программы-вымогателя. IHG заявила, что отели IHG по-прежнему могут работать и принимать заказы напрямую. API-интерфейсы компании не работают и показывают ошибки HTTP 502 и 503. Кроме того, клиенты не могут войти в систему, а в приложении IHG отображается ошибка.

Криптовалютная платформа Tornado Cash попала под санкции Минфина США. Об этом сообщается на сайте американского ведомства. В сообщении говорится, что работа данной платформы была заблокирована ввиду того, что она использовалась в отмывании миллиардов долларов, а также для обхода санкций против КНДР. Блокчейн-протокол, работающий в сети Ethereum, Tornado Cash позволяет повысить конфиденциальность транзакций, скрывая связь между источником и получателем токенов. Однако сервис часто используется хакерами при выведении средств с атакованных проектов. По данным Минфина США, с 2019 года сервис использовался для отмывания виртуальной валюты на сумму более $7 млрд. В эту сумму входит более $455 млн, которые были украдены Lazarus Group, спонсируемой КНДР хакерской группой, против которой США ввели санкции в 2019 году. Пpeдcтaвитeли кpиптoвaлютнoй индуcтpии ocудили ввeдeниe caнкций пpoтив микcepa Tornado Cash. Paзpaбoтчик Ethereum Пpecтoн Baн Лун cчитaeт, чтo блoкиpoвкa cepвиca лишeнa здpaвoгo cмыcлa. Пo eгo мнeнию, Tornado Cash — этo вceгo лишь инcтpумeнт, кoтopый мoжнo иcпoльзoвaть кaк для плoxиx, тaк и для xopoшиx цeлeй.

Впервые суд постановил заблокировать браузер в 2017 году, но блокировать начали только спустя 4 года. Однако в мае 2022 году решение было отменено из-за нарушения нормы процессуального права во время рассмотрения дела в первый раз. Вчера Ленинский районный суд Саратова удовлетворил новое требования прокуратуры Саратовского района по делу сайта проекта сети Tor в России. Об этом сообщается на сайте суда. По мнению суда Tor Browser «содержит информацию, запрещённую к распространению на территории РФ», а также позволяет получить доступ к контенту, который «способствует совершению уголовных преступлений». Tor Browser позволяет устанавливать анонимное соединение с сайтами, а также подключаться к скрытым сайтам в зоне .onion. Как сообщила юрист правозащитной организации «Роскомсвобода» Екатерина Абашина, представлявшая интересы разработчиков браузера, Суд проигнорировал определения из федерального закона «Об информации» и «согласился с позицией Роскомнадзора о том, что информация, приложение и технология — это одно и то же», сказала госпожа Абашина. Такая интерпретация, по словам юриста, противоречит и фактическому устройству интернета. Требование к Google об удалении приложения из магазина 26 июля было выделено в отдельное производство, дело Tor по существу дальше слушалось без него, добавила она.

Исследователи кибербезопасности компании Check Point обнаружили новую кампанию , приписываемую китайской хакерской группе Tropic Trooper , которая использует новый загрузчик под названием Nimbda и новый вариант трояна Yahoyah. Троянец входит в состав инструмента SMS Bomber. Заражение начинается с загрузки вредоносной версии SMS Bomber с дополнительным кодом, который внедряется в процесс notepad.exe. Загруженный исполняемый файл на самом деле является загрузчиком Nimbda, который использует значок SMS Bomber и использует бомбер в качестве встроенного исполняемого файла. В фоновом режиме загрузчик внедряет шелл-код в notepad.exe, чтобы получить доступ к репозиторию GitHub, получить исполняемый файл, декодировать его, а затем запустить с помощью процесса в dllhost.exe. Эта полезная нагрузка представляет собой новый вариант Yahoyah, который собирает данные о хосте и отправляет их на C2 сервер. Окончательная полезная нагрузка кодируется в JPG изображение с использованием стеганографии . Собранная трояном информация включает следующее: SSID ближайшей к устройству жертвы локальной беспроводной сети; Имя компьютера; MAC-адрес; версия ОС; информацию об установленном антивирусном ПО; данные о наличии файлов WeChat и Tencent.

Группа реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA) заявила, что российские хакеры используют уязвимость Follina в новых фишинговых кампаниях для установки вредоносного ПО CredoMap и маяков Cobalt Strike. По предположениям специалистов, хакерская группа APT28 ( Strontium, Fancy Bear и Sofacy ) рассылает электронные письма с вредоносным документом под названием «Ядерный терроризм — реальная угроза.rtf». Хакеры выбрали такую тему, чтобы побудить получателя открыть документ, так как среди украинцев распространен страх перед потенциальной ядерной атакой. RTF документ использует уязвимость CVE-2022-30190 (Follina) для загрузки и запуска вредоносного ПО CredoMap (docx.exe) на устройстве жертвы. Согласно отчету Malwarebytes , полезная нагрузка представляет собой инфостилер , который крадёт учетные данные и cookie файлы из браузеров Chrome, Edge и Firefox. Затем ПО извлекает украденные данные с помощью протокола электронной почты IMAP и отправляет всё на C2 адрес, который размещен на заброшенном сайте в Дубае. CERT-UA также выявила другую кампанию злоумышленника под названием UAC-0098, использующую CVE-2022-30190. CERT-UA сообщила , что субъект угрозы использовал DOCX файл с именем «Наложение штрафов.docx», а полезная нагрузка, полученная с удаленного ресурса, представляет собой маяк Cobalt Strike (ked.dll) с последней датой компиляции.

Специалисты ИБ-компании Zscaler опубликовали подробности о полнофункциональном загрузчике вредоносного ПО PureCrypter, использующемся киберпреступниками для доставки на атакуемые системы троянов для удаленного доступа (RAT) и инфостилеров. Загрузчик представляет собой исполняемый файл на .NET, обфусцированный с помощью SmartAssembly для обхода обнаружения антивирусными решениями. Киберпреступники используют PureCrypter для загрузки Agent Tesla, Arkei, AsyncRAT, AZORult, DarkCrystal RAT (DCRat), LokiBot, NanoCore, RedLine Stealer, Remcos, Snake Keylogger и Warzone RAT. Вредонос, создателем которого является некто PureCoder, можно арендовать на хакерских форумах по цене $59 в месяц. Кроме того, его можно купить полностью за $249. С марта 2021 года PureCrypter рекламируется создателем как «единственный криптор на рынке, использующий техники доставки как offline, так и online». Крипторы выполняют функцию первого слоя защиты от реверс-инжиниринга и обычно используются для упаковки вредоносного ПО. PureCrypter также оснащен механизмом для внедрения встроенного вредоносного ПО в родные процессы, а также различными опциями конфигурации для обеспечения постоянства на атакуемой системе и обхода обнаружения. Автор вредоноса не поленился отметить, что PureCrypter «создан исключительно в образовательных целях», однако его пользовательское соглашение запрещает покупателям загружать инструмент в VirusTotal, Jotti и MetaDefender. Проанализировав один из образцов PureCrypter, специалисты Zscaler обнаружили, что файл образа диска (.IMG) содержал загрузчик первого этапа, который в свою очередь извлекал с удаленного сервера и запускал модуль второго этапа, внедрявшего финальную полезную нагрузку в процессы наподобие MSBuild. PureCryter также оснащен функцией самоудаления со взломанной машины и функцией оповещения о статусе заражения через Discord и Telegram.

Исследователь безопасности обнаружил уязвимость в системе NFC (Near-Field Communication) ключ-карт Tesla , которая позволяет злоумышленникам добавлять собственные ключ-карты без ведома жертвы. В прошлом году сообщалось о незадокументированном изменении в методе работы ключ-карты, после которого пользователям больше не нужно было класть карту на центральную консоль, чтобы переключить передачу и поехать по своим делам. Единственная загвоздка была в таймере, установленном на 130 секунд, в течение которых нужно было переключить передачу. По словам Мартина Херфурта, исследователя безопасности из Австрии, таймер позволял не только завести автомобиль, но и добавлять новые ключи, не требуя аутентификации и при этом не уведомляя водителя о происходящем. Для демонстрации уязвимости Хефурт разработал пробный вариант. Все, что нужно сделать вору – находиться недалеко от автомобиля и после его разблокировки начать обмен сообщениями между своим приложением и автомобилем, что автоматически добавит ключ-карту злоумышленника в список авторизованных ключей. Затем вор может использовать свою ключ-карту, чтобы разблокировать и угнать электрокар. Существует пользовательская версия Teslakee, которая, по словам Хефурта, помогает защититься от подобных атак. В интервью изданию Ars Technica исследователь сказал, что ему удалось продемонстрировать уязвимость на Model 3 и Model Y. Он не тестировал ее на новейших Model S и Model X, но ожидает аналогичных результатов. По словам Хефурта, защититься от угона позволит только функция PIN to Drive. Она не помешает злоумышленникам разблокировать автомобиль жертвы, но не даст никуда на нем уехать. Напомним, ранее сообщалось о другой уязвимости, позволяющей хакерам угонять автомобили Tesla. Уязвимость в протоколе Bluetooth LE позволяет злоумышленникам заводить двигатель и проникать в салон электрокара.

В апреле 2022 года «Лаборатория Касперского» проанализировала объявления на нескольких русскоязычных теневых площадках и изучила актуальные сообщения о продаже доступа к учётным записям на зарубежных стриминговых платформах и других сервисах. В частности, специалисты обнаружили в даркнете десятки свежих объявлений о продаже доступа к Spotify Premium, Netflix Premium, PornHub и других планах подписок. По предварительным данным, стоимость предлагаемых учётных записей начинается в среднем от 20 рублей и во многом зависит от продавца, а также от длительности «подписки»: месяц, полгода или год. Помимо доступа к стриминговым платформам на форумах и в мессенджерах активно предлагают оформить подписку на VPN различных брендов. Встречаются также объявления с «услугой» продления аккаунтов, а не покупкой сторонних учётных записей. Эксперты не исключают, что часть найденных объявлений представляет собой банальное мошенничество, цель которого — выманить данные и деньги потенциальных покупателей. Сами продавцы часто представляются магазинами цифровых товаров и заманивают потенциальных покупателей своеобразным уровнем сервиса, например, предлагают быструю замену учётных данных при их невалидности, автоматическую выдачу товаров (якобы человек получит товар сразу после оплаты), а также техническую поддержку 24/7 и удобный чат-бот. Также покупателю могут предложить временную гарантию, например на неделю, однако такие обещания, как правило, оказываются обманом. «Большинство стриминговых сервисов позволяет в той или иной форме взять одну подписку на всю семью, и злоумышленники пытаются извлечь из этого выгоду, торгуя зачастую украденными аккаунтами. В качестве ответной меры сервисы стараются ужесточить условия совместного использования учётных записей. Предложения злоумышленников не теряют актуальности, напротив, мошенники могут активизироваться, играя на новостной повестке, — отмечает Леонид Безвершенко, эксперт по кибербезопасности в «Лаборатории Касперского». — При этом нужно понимать, что в даркнете гарантий не даёт никто. Риски для потенциального покупателя высоки: неизвестно, как злоумышленники распорядятся пользовательскими данными.

В ФСБ предложили обязать криптобиржи и криптокошельки представлять информацию правоохранительным органам наряду с судами. Такая инициатива содержится в отзыве российских ведомств на законопроект Минфина о регулировании криптовалют, пишут «Известия».. Кроме того, служба выступила за согласование требований к хранению и защите информации об обороте крипты с уполномоченными органами. В ведомстве также указали, что документ обязывает биржи сообщать уполномоченному органу идентификационные признаки криптовалюты, но при этом не регламентирует их «состав, характер и порядок формирования». В МВД считают , что законопроект не в полной мере регулирует порядок исполнения биржами постановления суда об аресте криптовалюты и создания кошелька для хранения арестованных или конфискованных активов. В то же время ФНС предложила ужесточить регулирование криптобирж и криптокошельков без лицензии. Минфин согласился с позициями ФСБ, МВД и ФНС по перечисленным вопросам.

С выпуском версии OpenSSH 9 и принятием гибридного метода обмена ключами Streamlined NTRU Prime + x25519 появилась постквантовая криптография по умолчанию. «Алгоритм NTRU противостоит атакам будущих квантовых компьютеров и сочетается с обменом ключами X25519 ECDH (предыдущее значение по умолчанию) в качестве защиты от любых слабых мест в NTRU Prime, которые могут быть обнаружены в будущем», — говорится в примечаниях к выпуску. По мере того, как работа над квантовыми компьютерами продвигается вперед, защита от возможных атак также усиливается. Благодаря массовому параллелизму, ожидаемому от работоспособных квантовых компьютеров, традиционную криптографию будет несложно взломать после того, как такая компьютерная система будет создана. В другом выпуске OpenSSH, который в основном был сосредоточен на исправлении ошибок, команда SCP перешла с устаревшего протокола по умолчанию на использование SFTP.

Слитые несколько недель назад личные данные «Яндекс.Еды» оформлены неизвестными хакерами в интерактивную карту. Теперь любой желающий может узнать личную информацию о клиентах платформы: имя, номер телефона и даже адрес. Сообщения о слитой базе данных появились вечером 22 марта 2022 года. На карте можно увидеть тысячи данных жителей со всей России и ближнего зарубежья. К примеру, вбив номер, можно проверить, содержатся ли ваши данные в утечке. В настоящее время сайт со слитыми данными пользователей внесён в реестр нарушителей прав субъектов персональных данных, доступ к нему ограничен. В слитой базе можно найти данные чиновников и известных людей. Появилась информация что некоторые пользователи таким образом смогли обнаружить гламурные похождения своих вторых половинок. Сама база в свободном доступе появилась еще 1 марта. Тогда служба безопасности Яндекса сообщила , что в результате недобросовестных действий одного из сотрудников в интернете были опубликованы телефоны клиентов и информация об их заказах: состав, время доставки и так далее. Выложенный хакерами файл представлял два дампа общим размером около 50Гб.

Хакеры, предположительно являющиеся участниками движения Anonymous, заявили о взломе десятков камер видеонаблюдения в России и запуске поверх их видеопотока сообщения политического характера. Они также создали сайт Behind Enemy Lines, на котором можно было посмотреть «живую» видеотрансляцию с этих камер. Как сообщает издание Motherboard, сайт транслировал видео с 86 уникальных камер видеонаблюдения, однако на момент написания новости оно уже было недоступно. Хакеры рассортировали видео на насколько категорий, в зависимости от места расположения камер: «внутренние», «наружные», «рестораны», «офисы», «дома», «бизнес» и «школы». Сотрудники Motherboard просмотрели трансляции с нескольких разных камер и пришли к выводу, что как минимум некоторые из них находятся в России. Через некоторое время хакеры убрали видео из раздела «дома», объяснив это уважением к приватности гражданского населения. «Мы надеемся, вы поймете», - гласило сообщение в разделе «дома». Один из упомянутых на сейте имен пользователей Twitter Anonymous не ответил на запрос журналистов, поэтому на данный момент непонятно, как был получен доступ к камерам, с помощью Shodan или каким-либо другим способом.