INC.

Хакеры, похитившие 1 ТБ данных у компании Nvidia, теперь пытаются продать данные, в том числе информацию по снятию ограничения в видеокартах для майнинга Ethereum. Группировка LAPSUS$ (LAPSU$) направила предложения заинтересованным покупателям в понедельник, 28 февраля, через свой открытый чат. Согласно сообщению, в распоряжении хакеров есть кастомизированный драйвер, способный с легкостью разблокировать ограничитель хэшрейта Lite Hash Rate (LHR) в видеокартах серии RTX 3000, пишет PCmag. Напомню, как стало известно на днях, производитель графических процессоров Nvidia подвергся кибератаке, в результате которой злоумышленники похитили 1 ТБ данных. Компания попыталась атаковать хакеров в ответ и зашифровать похищенные ими данные, но данная мера оказалась неэффективной. В настоящее время коммерческие и бизнес-процессы Nvidia проходят нестабильно, и компания все еще пытается установить масштабы и влияние инцидента. LAPSUS$ потребовала у Nvidia выкуп в криптовалюте. В настоящее время группировка предлагает архив размером 19 ГБ, предположительно содержащий исходный код драйверов видеокарт Nvidia. Кроме того, в нем есть достаточно информации, которая может помочь технически подкованным пользователям снять ограничения хэшрейта. В воскресенье, 27 февраля, хакеры потребовали у компании убрать ограничитель LHR во всех видеокартах RTX 3000 с помощью обновления ПО. В случае отказа группировка пригрозила «слить» большую папку с информацией касательно аппаратного обеспечения Nvidia. Однако теперь она сама заявила о намерении продавать драйвер, способный блокировать ограничитель хэшрейта. Возможно, предъявленное в воскресенье требование было просто попыткой привлечь внимание. Не исключено также, что LAPSUS$ врет и отчаянно пытается монетизировать взлом любыми методами.

Международная компания AON, специализирующаяся на консультациях в сфере страхования, стала жертвой кибератаки. Инцидент затронул «ограниченное» количество компьютерных систем. Как сообщается в форме 8-K , поданной в Комиссию по ценным бумагам и биржам США, 25 февраля 2022 года компания подверглась кибератаке. AON не предоставила никаких подробностей об инциденте, кроме того, что проблема затронула ограниченное количество систем. Сразу после выявления инцидента компания начала расследование и воспользовалась услугами сторонних консультантов, специалистов по реагированию на инциденты и адвоката. Инцидент не оказал существенного влияния на деятельность AON Помимо страховой деятельности, AON также является ведущей перестраховочной компанией, а это означает, что она страхует страховые компании. Получение дампов данных клиентов других страховщиков является обычным явлением при подписании полиса перестрахования. Это делает AON привлекательной мишенью для злоумышленников, которые обычно крадут корпоративные данные во время кибератак.

Португальское подразделение Vodafone стало жертвой хакерской атаки, в результате которой была нарушена работа услуг компании. Как заверили представители Vodafone Portugal, персональные данные клиентов не были скомпрометированы. В понедельник вечером, 7 февраля, система Vodafone Portugal столкнулась с техническими проблемами — тысячи клиентов не могли осуществлять звонки или подключаться к Сети на своих телефонах и компьютерах. Как выяснилось позже, технические проблемы были вызваны кибератакой. Vodafone Portugal «намерена восстановить нормальное обслуживание» и использование мобильной связи. Сеть 4G на момент написания новости остается недоступной.

Крупные суммы биткойнов, украденные с криптовалютной биржи Bitfinex шесть лет назад, были перемещены хакерами на новый адрес. «94 643,29 биткойнов (примерно $3,55 млрд) были перемещены в ходе 23 транзакций из кошелька, связанного с кражей у Bitfinex в 2016 году, на новый адрес», — сообщила аналитическая компания Elliptic. Маловероятно, что средства будут обналичены в ближайшее время, полагают эксперты. Криптовалюта, полученная в результате взлома, медленно отмывается уже более пяти лет, и обналичивание больших объемов за короткий период времени привлечет нежелательное внимание. Количество перемещенных биткойнов составило 79% от общего количества украденных средств (119 756 биткойнов). Последний раз хакеры перемещали украденные биткойны в апреле 2021 года, осуществив перевод на сумму более $700 млн на неизвестные кошельки во время ажиотажа, вызванного листингом криптовалютной биржи Coinbase на Nasdaq. Согласно Elliptic, средства были отмыты через рынки даркнета, такие как Hydra, и кошелек Wasabi. Большая часть биткойнов, связанных со взломом Bitfinex, отслеживается и занесена в черный список. Таким образом, хакерам будет сложно обналичить деньги на известных централизованных биржах.

Основатель WikiLeaks Джулиан Ассанж добился права подать в Верховный суде Великобритании апелляционную жалобу на решение Высокого суда Лондона об экстрадиции в США. Однако право на обжалование еще не означает, что оно будет рассмотрено, сообщает BBC. В любом случае, с момента подачи апелляции до принятия судом окончательного решения может пройти много времени, в течение которого Ассанжу не будет экстрадирован в США. Напомню, начиная с 2010 года, на WikiLeaks были опубликованы тысячи секретных документов правительства США, в связи с чем Ассанжу были предъявлены обвинения в заговоре с целью получения и раскрытия государственной тайны. В общей сложности против него были выдвинуты 17 обвинений в разглашении государственной тайны и одно – в незаконном взломе компьютерных сетей. По словам американских властей, своими публикациями на WikiLeaks Ассанж поставил под угрозу жизни американских разведчиков в нескольких странах, в том числе на Ближнем Востоке. С 2012-го по 2019 год основатель WikiLeaks провел в посольстве Эквадора в Лондоне, где ему было предоставлено политическое убежище. В апреле 2019 года Ассанж был арестован в Лондоне и помещен под стражу. 4 января 2021 года суд постановил, что обвиняемый не может быть экстрадирован в США по состоянию здоровья и потенциальной угрозы суицида. Однако почти через год, в декабре 2021 года Министерство юстиции США выиграло апелляцию в Высоком суде Лондона против предыдущего решения об отказе в выдаче Ассанжа.

В первую неделю января государственные учреждения штата Нью-Мексико подверглись масштабной кибератаке с применением программы-вымогателя. Среди объектов нападения — местная тюрьма, заключённые которой не только не могли выйти из своих камер, но и воспользоваться интернетом и сотовой связью. Об этом пишет Albuquerque Journal. В результате кибератаки городской центр заключения округа потерял доступ к некоторым ключевым функциям безопасности, в том числе к записям с камер и автоматическим дверям тюрьмы. Это вынудило администрацию округа заблокировать всю тюрьму, заставив всех заключенных в обозримом будущем находиться в своих камерах. В то же время некоторых арестантов, которые во время атаки не находились в своих камерах, пришлось размещать в хозяйственных помещениях и изоляторах строгого содержания. Как сообщается, кибератака, испортившая файлы в базах данных, может привести к нарушению мирового соглашения 1995 года, которое заставило местные власти гарантировать заключённым регулярный доступ к телефонам и другим устройствам связи. Тюрьму могут ждать судебные иски.

Злоумышленники взламывают серверы Windows Internet Information Services (IIS) и внедряют страницы с уведомлением об истекшем сертификате, предлагающим установить ПО, которое на деле является установщиком вредоносной программы. Вредоносная программа автоматически устанавливает и запускает программу удаленного управления TeamViewer. После запуска сервер TeamViewer связывается с C&C-сервером злоумышленников. «Обнаружена потенциальная угроза безопасности и не продлен переход на [имя сайта]. Обновление сертификата безопасности может позволить установить это соединение. NET :: ERR_CERT_OUT_OF_DATE», — сообщается в уведомлении на страницах. Как отметили исследователи в области кибербезопасности из Malwarebytes Threat Intelligence, с помощью поддельного установщика обновлений, подписанного сертификатом Digicert, на компьютер жертвы устанавливается вредоносная программа TVRAT (также известная как TVSPY, TeamSpy, TeamViewerENT или Team Viewer RAT). Вредонос предоставляет операторам полный удаленный доступ к зараженным узлам. По словам экспертов, злоумышленники могут использовать различные способы взлома серверов Windows IIS. Например, PoC-код для эксплуатации критической червеобразной уязвимости ( CVE-2021-31166 ) в HTTP Protocol Stack (HTTP.sys), используемом web-сервером Windows IIS, был опубликован в мае нынешнего года. Microsoft исправила проблему и заявила, что она затрагивает только версии Windows 10 2004/ 20H2 и Windows Server 2004/20H2. APT-группировка Praying Mantis (также известная как TG1021) в своих атаках использовала уязвимость удаленного выполнения кода в Checkbox Survey ( CVE-2021-27852 ), уязвимости незащищенной десериализации и альтернативной сериализации в VIEWSTATE, а также уязвимости в Telerik-UI (CVE-2019-18935 и CVE-2017-11317 ). Как ранее писал SecurityLab, в Сети обнаружено более двух миллионов web-серверов, работающих на устаревших и более не поддерживаемых версиях IIS. Microsoft IIS является третьим по популярности web-сервером в мире, на базе которого работает свыше 50 млн интернет-сайтов. Рыночная доля IIS составляет более 12%.

Компания Cisco Systems исправила ряд критических и опасных уязвимостей сетевом оборудовании Cisco Nexus 9000 Series. Самая опасная проблема ( CVE-2021-1577 ) получила оценку в 9,1 балла из максимальных 10 по шкале CVSS. Ее эксплуатация может позволить удаленному неавторизованному злоумышленнику читать или записывать произвольные файлы в интерфейс протокола приложения, используемом в коммутаторах серии Cisco 9000 для управления программно-определяемыми сетевыми данными. Критическая уязвимость затрагивает контроллеры Cisco Application Policy Infrastructure Controller (APIC) и Cisco Cloud Application Policy Infrastructure Controller (Cloud APIC). APIC — основной архитектурный компонент инфраструктуры Cisco, ориентированной на приложения, которые работает на узле Cisco Nexus 9000 Series. «Уязвимость связана с некорректным контролем доступа. Злоумышленник может воспользоваться этой уязвимостью, используя определенную оконечную точку API для загрузки файла на уязвимое устройство», — сообщили эксперты. Уязвимость в конфигурациях сети Multi-Pod или Multi-Site для коммутаторов Cisco Nexus 9000 Series в режиме Application Centric Infrastructure (ACI) может позволить неавторизованному удаленному злоумышленнику перезапустить устройство, вызвав состояние «отказа в обслуживании» (DoS). Еще одна уязвимость в Cisco Nexus Series 9000 содержится в Fabric Switches ACI Mode Queue Wedge. Проблема может позволить неавторизованному удаленному злоумышленнику нарушить работу коммутатора и привести к сбросу критически важного трафика устройства. По словам экспертов, для устранения данной проблемы требуется «ручное вмешательство для перезагрузки устройства и его восстановления» после применения исправлений. Проблема затрагивает фабричные коммутаторы серии N9K (Nexus 9000) поколения 1.

Тайваньская компания CyCraft выпустила бесплатное приложение, которое поможет жертвам вымогательского ПО Prometheus восстановить зашифрованные файлы. Декриптор опубликован для скачивания на GitHub. Инструмент работает путем брутфорса ключа шифрования, использовавшегося для шифрования файлов жертвы. «Для шифрования файлов вымогательское ПО Prometheus использует Salsa20 с произвольным паролем на базе счетчика тиков. Размер произвольного пароля составляет 32 байта, и каждый символ является видимым. Поскольку в качестве ключа пароль использует счетчик тиков, его можно вычислить с помощью брутфорса», – сообщили в CyCraft. Единственный минус декриптора – он может взломать криптографический ключ только для файлов небольшого размера. Однако несмотря на это, релиз инструмента, похоже, оказал огромное влияние на операции Prometheus. Декриптор был выпущен 13 июля 2021 года, и в этот же день на сайте утечек Prometheus была сделана последняя публикация. Через две недели операторы вымогателя, очевидно, свернули свою активность. Вымогательское ПО Prometheus впервые было обнаружено в феврале нынешнего года. До того, как группировка завершила свою деятельность, на ее сайте утечек был опубликован список более чем из сорока жертв. Она привлекла внимание общественности после заявлений о своей связи с нашумевшей группировкой REvil. Тем не менее, упоминание «звездных» вымогателей было удалено после атаки REvil на компанию Kaseya.

Исследователи в области кибербезопасности обнаружили уязвимость в распространенном драйвере печати, используемом такими крупными производителями как HP , Xerox и Samsung. Проблема, получившая идентификатор CVE-2021-3438, существовала в коде с 2005 года и затрагивает миллионы принтеров, выпущенных за последние 16 лет, в частности, более 380 различных моделей принтеров HP и Samsung, а также по меньшей мере 12 моделей устройств Xerox. Согласно исследователям из компании SentinelOne, выявившим проблему и сообщившим о ней производителям в феврале 2021 года, CVE-2021-3438 представляет собой уязвимость переполнения буфера в файле SSPORT.SYS драйвера печати. Уязвимость может быть проэксплуатирована в целях повышения привилегий на системе, что позволит установленному вредоносному ПО или вредоносному коду получить доступ с правами администратора. Более того, по словам специалиста SentinelOne Асафа Амира (Asaf Amir), не исключено, что на системах некоторых пользователей Windows уязвимый драйвер уже может быть установлен без их ведома. Это может происходить в случае, если пользователь подключен к уязвимой модели принтера и драйвер был установлен через Центр обновления Windows. В настоящее время уязвимость уже исправлена. Пользователям рекомендуется проверить, числится ли их принтер в списке уязвимых и установить обновление драйвера с сайта производителя.

Киберпреступник, использующий псевдоним integra, внес на одном из хакерских форумов депозит в размере 26,99 биткойна на покупку эксплоитов для уязвимости нулевого дня. По данным исследователей компании Cyble, участник форума integra зарегистрировался в сентябре 2012 года и с тех пор завоевал хорошую репутацию. Кроме того, integra зарегистрирован на другом киберпреступном форуме с октября 2012 года. Хакер внес депозит с желанием приобрести эксплоит, не детектируемый никаким решением безопасности. В частности, его интересуют следующие предложения: Трояны для удаленного доступа (RAT), не детектируемые ни одним решением безопасности; Неиспользовавшиеся ранее методы атак на Windows 10, в частности атаки с использованием подручных средств и техники обхода реестра (хакер готов заплатить до $150 тыс. за оригинальное решение); Эксплоиты, позволяющие удаленное выполнение кода (RCE) и локальное повышение привилегий (за них киберпреступник согласен заплатить до $3 млн). Столь большая сумма депозита вызывает беспокойство, поскольку предполагает, что злоумышленник собирается использовать эксплоиты для атак или перепродать их. «Уязвимости нулевого дня позволяют злоумышленникам пользоваться слепыми пятнами в безопасности. Столь высокая сумма депозита на покупку этих уязвимостей/эксплоитов показывает серьезность намерений злоумышленников. Организациям следует установить исправления для всех известных уязвимостей и регулярно проводить внутренний аудит вдобавок к готовности к таким атакам в будущем», - сообщили в Cyble.

Владельцы сетевых накопителей (NAS) Western Digital My Book по всему миру столкнулись с неприятной проблемой – их устройства таинственным образом вернулись к заводским настройкам, все файлы были удалены, а авторизация через браузер или приложение оказалась заблокирована. WD My Book представляет собой внешний жесткий диск, снабженный приложением WD My Book Live, с помощью которого пользователи могут удаленно управлять устройством, даже если оно находится за межсетевым экраном. 24 июня многочисленные владельцы WD My Book стали жаловаться на то, что при попытке авторизации через web-панель появляется сообщение «неверный пароль». «Мой WD My Book подключен к домашнему LAN и многие годы работал исправно. Я только что обнаружил, что каким-то образом все данные сегодня исчезли, хотя папки есть, но они пустые. Раньше диск на 2 ТБ был почти полон, теперь показывает полностью свободное место. Что еще более странно, когда я попытался авторизоваться в интерфейсе для диагностики, мне удалось только попасть на лендинговую страницу с окном для ввода пароля владельца. Я попробовал дефолтный пароль admin, но безуспешно», - гласит одно из сообщений на форуме сообщества WD. По словам некоторых владельцев устройств, логи MyBook показывают, что устройства удаленно получили команду сбросить все настройки до заводских примерно в 3 часа ночи. Ряд пользователей высказали мнение, что проблема может быть связана со взломом серверов Western Digital, однако в компании отрицают это. По словам представителей WD, в настоящее время производитель проводит расследование ситуации. Как предполагают в компании, атаки были совершены после компрометации аккаунтов некоторых владельцев My Book. «Western Digital выяснила, что некоторые устройства My Book Live были скомпрометированы вредоносным ПО. В ряде случаев компрометация привела к сбросу настроек до заводских и стиранию всех данных на устройстве. Последняя прошивка для My Book Live была выпущена в 2015 году. Мы понимаем, что данные наших клиентов важны и пока рекомендуем отключить My Book Live от интернета в целях защиты информации на устройстве», - заявили в компании. Представители WD не уточнили, какое количество учетных записей владельцев устройств подвеглось компрометации. Western Digital объяснила причину массового сброса настроек устройств Western Digital My Book Американская компания Western Digital объяснила причину массового сброса настроек сетевых накопителей (NAS) Western Digital My Book на прошлой неделе. По словам представителей компании, затронутые устройства подверглись кибератакам через старую уязвимость CVE-2018-18472 , обнаруженную еще в 2018 году. Данная уязвимость позволяет злоумышленникам удаленно обходить аутентификацию на устройствах Western Digital My Book и запускать команды с привилегиями суперпользователя. Обычно злоумышленники эксплуатируют подобные уязвимости для включения уязвимого устройства в DDoS-ботнет или ботнет для криптомайнинга или для шифрования хранящихся на нем данных с целью требования выкупа за их восстановление. Однако, судя по сообщениям на Reddit и официальных форумах Western Digital , злоумышленник использовал эту уязвимость для сброса настроек, в результате чего с NAS были стерты все данные. Входило ли удаление данных в планы атакующего, или оно произошло из-за ошибки в коде вредоносного ПО, неизвестно. Причиненный ущерб пока также не установлен. Хорошая новость заключается в том, что количество затронутых инцидентом My Book Live и My Book Live Duo сравнительно невелико по сравнению с другими моделями NAS производства Western Digital. Как сообщается на странице поддержки производителя, в настоящее время компания работает над устранением последствий атак, а пока что владельцам затронутых продуктов рекомендуется отключить их от интернета.

Окружной судья по северному округу Калифорнии обязал Bank of America изменить свое поведение в отношении тысяч клиентов, ставших жертвами хакеров. По словам пострадавших (безработных жителей Калифорнии, получающих пособие), когда они сообщили банку, что их предоплаченные дебетовые карты были взломаны, он повел себя с ними так, будто это они преступники, сообщает Bloomberg Quint. В ответ на заявление истцов о том, что Bank of America отказался расследовать взломы и в некоторых случаях заблокировал счета, не затронутые инцидентом, окружной судья Винс Чхабрия (Vince Chhabria) обязал банк улучшить свои процедуры. Окончательный план изменений был прописан в соглашении между Bank of America и адвокатами истцов. «Поскольку программа поддержки безработных в Калифорнии столкнулась с мошенничеством на миллиарды долларов, целью Bank of America стало обеспечение доступа законных получателей к своим пособиям. Этим соглашением мы обязуемся принять дополнительные меры, чтобы помочь лицам, имеющим право на пособие по безработице, получить эти пособия как можно скорее», - говорится в соглашении. Согласно заключению окружного судьи, банк причинил получателям пособий «непоправимый вред», когда запустил свой далекий от совершенства процесс проверки и заблокировал счета, необходимые им для того, чтобы «кормить свои семьи и платить за крышу над головой» во время пандемии. «Точно так же, как для компании потеря денег может означать ее закрытие, для людей потеря заработной платы или пособий может означать их выселение из жилья, голодание или отказ в необходимой медицинской помощи», - заявил судья. По словам адвокатов, далее планируется досудебный обмен информацией. Юристы намерены добиваться распоряжения, требующего от Bank of America внесения постоянных изменений в свою практику и возмещения денежного ущерба.

Роскомнадзор решил не блокировать Twitter и снять ограничения доступа в фиксированных сетях, сохранив замедление трафика на мобильных устройствах. При этом в РКН сообщили, что замедление может коснуться других интернет-площадок, в том числе Facebook и YouTube. "В настоящее время выявлены случаи размещения противоправных материалов и на других интернет-площадках, в том числе Facebook и YouTube. В случае если указанные платформы не предпримут соответствующие меры, к ним могут быть применены аналогичные санкции", - говорится в сообщении РКН. По итогам проверки Twitter, с учетом предпринятых администрацией соцсети усилий, принято решение не блокировать сервис Twitter, снять ограничения доступа в фиксированных сетях (соответственно, связанных с ними сетях Wi-Fi), сохранив замедление трафика Twitter на мобильных устройствах. Как сообщается, модераторами Twitter удалено свыше 91% запрещенной информации. На текущий момент из 5,9 тыс. выявленных ведомством запрещенных материалов остаются неудаленными 563 сообщения с детской порнографией, наркотическим и суицидальным контентом, призывами к несовершеннолетним участвовать в несогласованных массовых мероприятиях, а также экстремистскими и иными запрещёнными на территории РФ материалами. Отмечается, что для полного снятия ограничений Twitter нужно удалить все выявленные запрещенные материалы, а также реагировать на требования ведомства не позднее 24 часов с момента их получения.

Таганский районный суд Москвы оштрафовал мессенджер Telegram за отказ удалить противоправную информацию, сообщили в пресс-службе органа. Как сообщаетcя, штраф назначен по двум протоколам Роскомнадзора. Всего сервису придется заплатить 5 миллионов рублей за то, что не стал удалять сообщения о проведении январских митингов в поддержку Алексея Навального. При этом Telegram грозит еще четыре штрафа на сумму до 16 млн рублей. В мировой суд Таганского района поступили четыре новых протокола об административном правонарушении в отношении мессенджера. Тот же суд ранее принял на рассмотрение шесть административных дел в отношении Твиттера, по пять протоколов к Facebook и Google, а до этого на 6 миллионов рублей была оштрафована соцсеть TikTok. Все перечисленные провинились в том, что не удаляли сообщения про не санкционированные властями митинги.

Немецкие исследователи из Дармштадтского технологического университета обнаружили уязвимость защиты функции беспроводного обмена данными AirDrop у iPhone. Этой уязвимости подвержены около 1,5 миллиарда устройств. AirDrop позволяет в разных направлениях передавать данные с устройств и определять номер телефона владельца одного из них в телефонной книжке другого. Гаджеты обмениваются пакетами AWDL, защищенными алгоритмом SHA256. Из-за бреши в безопасности телефонный номер абонента и адрес электронной почты может стать известен злоумышленникам. Из-за того, что шифрование данных в AirDrop недостаточно сильное, поэтому мошенники могут перехватить передаваемые файлы и расшифровать их методом перебора ключей, сообщают исследователи. Исследователи отмечают, что впервые обратили внимание на эту проблему ещё в 2019 году, и сразу же проинформировали о ней Apple. Тем не менее, калифорнийский техногигант до сих пор не предпринял никаких мер по устранению уязвимости. Пользователям, которые боятся утечки данных, исследователи рекомендуют полностью отключить AirDrop.

Киберпреступный форум Maza стал жертвой утечки данных, в результате которой была скомпрометирована информация его пользователей. Утечку обнаружилиспециалисты компании Flashpoint. Maza, также известный как Mazafaka, представляет собой закрытый русскоязычный форум с большими ограничениями, активный как минимум с 2003 года. Сообщество связано с кардингом (куплей-продажей похищенной финансовой информации и данных кредитных карт). Главными темами для обсуждения на форуме являются эксплоиты, вредоносное ПО, спам, отмывание денег и пр. В частности злоумышленники похитили ID, имена пользователей, электронные адреса, ссылки на мессенджеры, в том числе Skype, MSN и Aim. Обсуждая взлом, одни пользователи выражают намерение найти другой форум, а другие утверждают, что данные в утечке устарели и не являются полными. Взломавшие форум киберпреступники опубликовали на нем сообщение "Этот форум был взломан. Ваши данные были пропущены". Под "пропущены", вероятно, имелось в виду слово "похищены". Кто стоит за взломом, экспертам Flashpoint не известно. Однако, судя по опубликованному сообщению хакеров, они пользовались online-переводчиком, и русский - не родной их язык. Не исключено также, что хакеры допустили ошибки умышленно в целях запутать следы. В 2011 году Maza уже подвергался кибератаке. Тогда за взломом стоял конкурирующий форум DirectConnection, который затем стал жертвой ответной кибератаки.

Киберпреступная группировка REvil похитила данные крупной сети косметических клиник и угрожает опубликовать фотографии пациентов до и после операций. По информации издания BBC, хакеры взломали облачные хранилища крупнейшей британской сети клиник Hospital Group (также известной как Transform Hospital Group) и пообещали на своей странице в даркнете опубликовать данные, если не получат выкуп. Как утверждают киберпреступники, они похитили более 900 гигабайт фотографий пациентов. Представители Hospital Group подтвердили факт взлома и отметили, что компания проинформировала об этом своих клиентов и Управление комиссара по информации Великобритании (Information Commissioner's Office). Клиника также обратилась в местную полицию и Национальный центр кибербезопасности. «Мы можем подтвердить, что наши IT-системы подверглись взлому. Данные платежных карт наших пациентов не были скомпрометированы, в отличие от персональной информации некоторых пациентов», — сообщили представители Hospital Group.

Отчеты о проблемах с Telegram начали поступать в 15:49 мск. В 16:18 сервис зафиксировал 23 тыс. отчетов об ошибках. В 90% случаев люди не могут подключиться к Telegram. Остальные жалуются на невозможность отправить сообщение. Большинство пользователей мессенджера, оставивших жалобу, не могли подключиться к приложению или отправить сообщение собеседнику. Сбой произошел на территории России, Украины, Казахстана, Италии, Испании, Великобритании и других стран. К 16:17 по московскому времени количество жалоб превысило 17 тысяч. Это уже второй сбой в мессенджер за сутки. Пользователи жаловались на проблемы с Telegram сегодня утром. Тогда 86% отправивших отчет сказали, что не могут подключиться к сервису, а остальные — отправить сообщение. Telegram в Twitter подтвердил сбой и отметил, что в основном он затронул пользователей из Европы и с Ближнего Востока. Мессенджер принес извинения и сообщил, что работает над восстановлением работы.

Киберпреступная группировка Evilnum собрала набор инструментов, объединяющий в себе кастомное вредоносное ПО, легитимные утилиты и инструменты, приобретенные по модели «вредоносное ПО как услуга» (malware-as-a-service, MaaS) у поставщика, обслуживающего крупные финансовые киберпреступные группировки. Evilnum активна как минимум с 2018 года и специализируется на компаниях финансового и технологического секторов, предлагающих трейдинговые и инвестиционные платформы. Киберпреступники атакуют как сами компании, так и их клиентов с целью похищения финансовой информации. По данным ИБ-компании ESET, злоумышленники ищут следующие данные: таблицы и документы по инвестиционным и трейдинговым операциям, внутренние презентации, лицензии и учетные данные для доступа к трейдинговому ПО, cookie-файлы и сеансы Google Chrome, учетные данные для доступа к электронной почты, данные кредитных карт и удостоверения личности. Атака начинается с получения жертвой фишингового письма. В нем содержится файл .LNK, выдаваемый злоумышленниками за изображение или документ (двойное расширение). После открытия файла на системе выполняется вредоносный компонент JavaScript, предназначенный для развертывания различных вредоносных программ – шпионского модуля Evilnum, вредоносы от MaaS-поставщика Golden Chickens и различных Python-инструментов. Помимо Evilnum, инструментами и инфраструктурой MaaS-поставщика Golden Chickens пользуются такие «маститые» киберпреступные группы, как FIN6, Cobalt и TrickBot, что приводит к перекрещиванию их тактик, техник и процедур. По данным ESET, Evilnum активно пользуется инструментами Golden Chickens, которые загружаются на взломанные системы с помощью дроппера TerraLoader.

Специалисты из компании Eclypsium проанализировали драйверы Windows, используемые в банкоматах и PoS-терминалах, и обнаружили, что более 40 драйверов от 20 поставщиков содержат опасные уязвимости, эксплуатация которых позволяет злоумышленникам повышать привилегии и получить доступ к целевой системе. «Используя уязвимости в драйверах, злоумышленники могут повысить привилегии, получить доступ к информации и, в конечном итоге, похитить денежные средства или данные клиентов», — пояснили эксперты Eclypsium. В качестве примера специалисты рассказали об уязвимости в драйвере, который используется в банкоматах Diebold Nixdorf. Драйвер обеспечивает доступ к I/O-портам и довольно ограничен с точки зрения функциональности по сравнению с другими драйверами. Подобный драйвер может быть использован злоумышленниками на начальных этапах атаки, поскольку он может предоставить доступ к устройствам, подключенным через PCI («взаимосвязь периферийных компонентов»), включая внешние устройства и контроллер SPI, обеспечивающий доступ к системной прошивке. Данный драйвер также может позволить злоумышленнику установить буткит на целевом устройстве, поскольку драйвер используется для обновления прошивки BIOS. Специалисты сообщили о своих находках поставщику в конце 2019 года, производитель выпустил исправления для уязвимости ранее в нынешнем году.

Роскомнадзор отменил блокировку мессенджера Telegram, которая действовала в России с апреля 2018 года. у. Такая договоренность достигнута с Генпрокуратурой, сообщается на сайте ведомства. Павел Дуров не раз говорил, что не собирается делать исключение для российского законодательства и отходить от главного принципа политики конфиденциальности Telegram — «ни байта личных данных третьим лицам». Даже после включения мессенджера в реестр ОРИ Дуров категорически отказался выполнять «закон Яровой», назвав его антиконституционным и технически нереализуемым. В мае 2020 года депутаты Госдумы Федот Тумусов и Дмитрий Ионин предложили законодательно разрешить разблокировать мессенджер. По их мнению, следует запретить операторам связи блокировать доступ к интернет-сервисам, через которые госорганы распространяют официальную информацию в период действия режима повышенной готовности или ЧС. В Минсвязи их инициативу на тот момент не поддержали. Дуров напомнил, что мессенджер заблокировали "под эгидой борьбы с терроризмом". "Хотя мы и тогда не питали симпатии к террористам, с тех пор мы проделали большой путь по преодолению этих угроз. За это время были усовершенствованы методы обнаружения и удаления экстремистской пропаганды, и теперь командой Telegram пресекаются десятки тысяч попыток распространить публичные призывы к насилию и террору ежемесячно", - написал он. По его словам, созданные механизмы, позволяющие предотвращать теракты, не нарушают тайну переписки пользователей и опыт работы компании в десятках стран показал, что "борьба с терроризмом и право на тайну личной переписки не исключают друг друга".

Исследователи компании Ledger, специализирующейся на производстве аппаратных («холодных») криптовалютных кошельков, продемонстрировали атаки на аппаратные кошельки Coinkite и Shapeshift, позволяющие вычислить их PIN-коды. Компания Shapeshift исправила уязвимость в своем кошельке KeepKey, обновив прошивку в феврале нынешнего года. Уязвимость в кошельках Coldcard Mk2 производства Coinkite по-прежнему присутствует, но была исправлена в Coldcard Mk3, выпущенном в октябре прошлого года. Исследователи намерены продемонстрировать атаку на Coldcard Mk2 на конференции SSTIC в следующем месяце, пишет Wired. Для осуществления атаки на кошелек KeepKey потребуется продолжительная подготовка, однако при должном планировании злоумышленник вполне может получить PIN-код. Атака базируется на информации, непреднамеренно раскрываемой кошельками KeepKey даже в заблокированном виде. Стандартные чипы памяти, используемые в том числе в аппаратных кошельках, выдают разные выходы напряжения в разное время. В нескольких случаях исследователям удалось установить связь между колебаниями напряжения и обрабатываемыми чипом данными. Анализируя чип памяти в KeepKey, в котором хранится PIN-код, исследователи обнаружили, что путем мониторинга изменений напряжения в процессе получения PIN-кода можно вычислить и сам PIN-код. Безусловно, магическим образом прочитать значения PIN-кода из одних колебаний напряжения, невозможно. Сначала атакующий должен с помощью тестового кошелька KeepKey сделать тысячи измерений напряжения для каждого значения известного PIN-кода. Собрав своего рода декодер выходов напряжения для каждой фазы получения PIN-кода, злоумышленник может вычислить PIN-код атакуемого кошелька. Осуществить атаку на Coldcard Mk2 сложнее, чем на KeepKey, поскольку кошелек защищен от подобных атак по сторонним каналам. Тем не менее, как установили исследователи, устройства уязвимы к атаке fault injection, базирующейся на сбое, который вызывает непредусмотренную активность компьютера и вводит чип в небезопасный режим отладки. В этом режиме ограничение по количеству вводов PIN-кода отсутствует, и злоумышленник может подобрать его с помощью брутфорса.

Хакеры получили несанкционированный доступ к инфраструктуре мобильной операционной системы LineageOS, созданной на базе Android и использующейся в смартфонах, планшетах и телевизионных приставках. Инцидент произошел в субботу, 2 мая, около десяти часов утра по московскому времени. Согласно уведомлению команды LineageOS, взлом был обнаружен до того, как злоумышленники успели причинить какой-либо вред. Исходный код операционной системы и ее сборки, выпуск которых был приостановлен 30 апреля по несвязанным со взломом причинам, не пострадали. Получить доступ к ключам для подписи официальных версий LineageOS злоумышленникам не удалось, поскольку они хранятся отдельно от основной инфраструктуры ОС. Для осуществления кибератаки хакеры проэксплуатировали уязвимости в установке фреймворка Saltstack Salt, предназначенного для автоматизации управления и обновления серверов в дата-центрах, облачных средах и внутренних сетях. Речь идет об уязвимостях CVE-2020-11651 (обход аутентификации) и CVE-2020-11652 (обход каталога), раскрытых специалистами компании F-Secure на прошлой неделе. Их совокупная эксплуатация позволяет обойти процедуры авторизации и выполнить код на мастер-сервере Salt. По словам владельцев серверов Salt, атаки с использованием этих уязвимостей начались 2 мая. В одних случаях злоумышленники устанавливали на взломанных серверах бэкдоры, в других – ПО для майнинга криптовалюты. В настоящее время через интернет доступны 6 тыс. серверов Salt, которые могут подвергнуться кибератакам, если уязвимости не будут исправлены (разработчики Salt выпустили исправление на прошлой неделе). Как правило, серверы Salt развертываются за межсетевым экраном и не должны быть подключены к интернету.

На киберпреступном форуме выставлены на продажу два эксплоита для неисправленных уязвимостей в Zoom, позволяющих подглядывать за чужими видеозвонками. По данным нескольких источников издания Motherboard, один эксплоит предназначен для уязвимости в клиенте Zoom для Windows, а другой – для macOS. «Не думаю, что у них будет продолжительный срок годности, поскольку, когда уязвимости нулевого дня начинают использоваться, о них становится известно», - отметил Адриел Десаутелс (Adriel Desautels), основатель компании Netragard, ранее занимавшейся продажей уязвимостей нулевого дня. По словам еще одного источника, уязвимость в Windows-клиенте Zoom позволяет удаленно выполнить код на атакуемой системе и является «идеальной для промышленного шпионажа». С ее помощью злоумышленник может получить доступ к уязвимому клиенту Zoom, однако для получения контроля над всей системой ее нужно проэксплуатировать в связке с еще одним багом. Уязвимость в macOS не позволяет удаленно выполнить код. Эксплоит для Windows-клиента Zoom стоит $500 тыс., однако, по словам источников, цена завышена как минимум в два раза. Воспользоваться эксплоитом можно только во время видеозвонка с жертвой. Другими словами, оставаться незамеченным атакующему не удастся, что существенно снижает интерес к эксплоиту со стороны спецслужб. «Zoom со всей серьезностью относится к безопасности своих пользователей. Узнав о слухах, мы непрерывно работаем с надежной ИБ-компанией, являющейся одним из лидеров на рынке, для их расследования. На данный момент мы не обнаружили никаких фактов, подтверждающих достоверность этих заявлений», - сообщили представители Zoom.