Forwarded from SecAtor
В результате очередной атаки на цепочку поставок из строя была выведена Службы экстренной помощи Национальной службы здравоохранения (NHS) Великобритании.
Киберинцидент связан со сбоем в системе британского поставщика управляемых услуг (MSP) Advanced.
По имеющимся данным, клиентское решение Advanced для управления пациентами Adastra используется 85% служб NHS. Именно оно пострадало в числе других сервисов, предоставляемых MSP.
По заявлению представителей здравоохранения, атака нанесло значимый ущерб, а ее последствия будут иметь долгосрочный характер. Что собственно подтверждает и главный операционный директор Advanced Саймон Шорт.
Населению Великобритании рекомендовано обращаться в службы экстренной помощи NHS 111 с помощью онлайн-платформы, пока инцидент не будет разрешен. На данным момент восстановлено лишь 2% инфраструктуры Health&Care.
Относительно подробностей инцидента информации мало, однако по всем признакам речь идет о ransomware.
Учитывая, что Advanced поставляет ПО для более чем 22 000 клиентов по всему миру в различных отраслевых направлениях, от здравоохранения и образования до некоммерческих организаций, последствия атаки могут иметь куда более сложные контуры.
Будем посмотреть.
Киберинцидент связан со сбоем в системе британского поставщика управляемых услуг (MSP) Advanced.
По имеющимся данным, клиентское решение Advanced для управления пациентами Adastra используется 85% служб NHS. Именно оно пострадало в числе других сервисов, предоставляемых MSP.
По заявлению представителей здравоохранения, атака нанесло значимый ущерб, а ее последствия будут иметь долгосрочный характер. Что собственно подтверждает и главный операционный директор Advanced Саймон Шорт.
Населению Великобритании рекомендовано обращаться в службы экстренной помощи NHS 111 с помощью онлайн-платформы, пока инцидент не будет разрешен. На данным момент восстановлено лишь 2% инфраструктуры Health&Care.
Относительно подробностей инцидента информации мало, однако по всем признакам речь идет о ransomware.
Учитывая, что Advanced поставляет ПО для более чем 22 000 клиентов по всему миру в различных отраслевых направлениях, от здравоохранения и образования до некоммерческих организаций, последствия атаки могут иметь куда более сложные контуры.
Будем посмотреть.
Welsh Ambulance Services NHS Trust
Computer system outage affecting 111 and out-of-hours GP
🇷🇺Документы Beregini: 🇪🇺Киберцентр NATO в Таллине и учения 🛡Locked Shields
"⚠️Однако отдельные страны готовятся не только обороняться. 🇺🇸США, 🇬🇧Британия, 🇳🇱Нидерланды, 🇩🇪Германия и 🇫🇷Франция в составе своих вооруженных сил уже создали киберкомандование - специальные подразделения для борьбы с кибернападениями, которые также способны нанести ответный удар." - (OCR🇺🇦>🇷🇺)
https://yangx.top/hackberegini/990 и документ
👆🤔Однако
"⚠️Однако отдельные страны готовятся не только обороняться. 🇺🇸США, 🇬🇧Британия, 🇳🇱Нидерланды, 🇩🇪Германия и 🇫🇷Франция в составе своих вооруженных сил уже создали киберкомандование - специальные подразделения для борьбы с кибернападениями, которые также способны нанести ответный удар." - (OCR🇺🇦>🇷🇺)
https://yangx.top/hackberegini/990 и документ
👆🤔Однако
🇺🇸Министерство финансов США ввело санкции в отношении миксера 🌪Tornado Cash
Управление по контролю за иностранными активами (OFAC) сегодня ввело санкции против Tornado Cash, децентрализованного сервиса для микширования криптовалют, который использовался для отмывания более 7 миллиардов долларов. По одной из версий, 🇰🇵Lazarus украли Ethereum на сумму 620 миллионов долларов после взлома Axie Infinity Ronin в апреле. Хакеры, по версии следствия, пользовались Tornado для выведения средств.
👮"Миксеры виртуальных валют представляют угрозу национальной безопасности США. Казначейство продолжит расследование использования микшеров в незаконных целях и использовать свои полномочия для реагирования на риски незаконного финансирования в экосистеме виртуальной валюты" - добавило сегодня OFAC.
Казначейство США также ввело санкции против криптовалютного микшера Blender[.]io в мае, якобы хакерская группа Lazarus использовала его для отмывания криптовалюты.
Управление по контролю за иностранными активами (OFAC) сегодня ввело санкции против Tornado Cash, децентрализованного сервиса для микширования криптовалют, который использовался для отмывания более 7 миллиардов долларов. По одной из версий, 🇰🇵Lazarus украли Ethereum на сумму 620 миллионов долларов после взлома Axie Infinity Ronin в апреле. Хакеры, по версии следствия, пользовались Tornado для выведения средств.
👮"Миксеры виртуальных валют представляют угрозу национальной безопасности США. Казначейство продолжит расследование использования микшеров в незаконных целях и использовать свои полномочия для реагирования на риски незаконного финансирования в экосистеме виртуальной валюты" - добавило сегодня OFAC.
Казначейство США также ввело санкции против криптовалютного микшера Blender[.]io в мае, якобы хакерская группа Lazarus использовала его для отмывания криптовалюты.
🇺🇸Дональд Трамп заявил, что в его поместье Мар-а-Лаго провели обыск сотрудники ФБР. Трамп связал это с его возможным участием в выборах на пост президента в 2024 году, об этом сообщил ТАСС.
👮"ФБР взломали сейф Дональда Трампа" - прокомментировал генерал-лейтенант ВВС США в отставке Томас Макинерни.
The New York Times: Сотрудники ФБР во время обысков в поместье бывшего президента США Дональда Трампа могли искать секретные документы, которые бывший президент забрал из Белого дома, покидая пост главы государства.
👮"ФБР взломали сейф Дональда Трампа" - прокомментировал генерал-лейтенант ВВС США в отставке Томас Макинерни.
The New York Times: Сотрудники ФБР во время обысков в поместье бывшего президента США Дональда Трампа могли искать секретные документы, которые бывший президент забрал из Белого дома, покидая пост главы государства.
🇺🇸GitHub (Microsoft) заблокировал аккаунт🇺🇦сооснователя Tornado кэш после введения санкций.
🤬Роман Семёнов возмутился такой политикой в своём Twitter.
"Жовто-блакитный не допоміг избежать фредли фаер" - зло шутят пользователи.
🤬Роман Семёнов возмутился такой политикой в своём Twitter.
"Жовто-блакитный не допоміг избежать фредли фаер" - зло шутят пользователи.
☣️Atlas Intelligence Group выложили в открытый доступ sample утечки 🇨🇳China Telecom
Объем утечки составил 6 Гб, но хакеры выложили образец весом всего 61 Mб. По одной из версий ИБ-специалистов, причиной утечки стал плохо защищенный Elastic cluster.
👆Кто такие Atlas Intelligence Group можно почитать в блоге Cyberint.
Объем утечки составил 6 Гб, но хакеры выложили образец весом всего 61 Mб. По одной из версий ИБ-специалистов, причиной утечки стал плохо защищенный Elastic cluster.
👆Кто такие Atlas Intelligence Group можно почитать в блоге Cyberint.
Если завод "Байрактар" будет создан на Украине, то сразу попадет под демилитаризацию - Песков
https://yangx.top/tass_agency/150325
https://yangx.top/tass_agency/150325
Обновление от Cyberknow20. Западный осинтер насчитал 93 хакерских группы.
🇺🇦/🇺🇸45 - проукраинских / прозападных
🇷🇺43 - пророссийских
❓5 - неизвестно
👆🤔 Не согласен с выводами осинтера по некоторым моментам. К "пророссийским группам" cyberknow причислил даже тех, кто атакует государственные сайты 🇧🇾[.]by. и vk.com. Спорная атрибуция.
🇺🇦/🇺🇸45 - проукраинских / прозападных
🇷🇺43 - пророссийских
❓5 - неизвестно
👆🤔 Не согласен с выводами осинтера по некоторым моментам. К "пророссийским группам" cyberknow причислил даже тех, кто атакует государственные сайты 🇧🇾[.]by. и vk.com. Спорная атрибуция.
🕷В DarkNet появились 🇺🇦объявления о продаже дронов-камикадзе 🇺🇸Switchblade 300 и 🇺🇸ПТРК «Джавелин»
Новость репостнули одни из первых «Народная CyberАрмия» cо ссылкой на военного репортера ВГТРК на Украине Евгения Поддубного. В даркнете на теневом сайте украинский шоп распродает всем подряд смертоносные дроны-камикадзе Switchblade 300 и 🇺🇸противотанковые ракетные комплексы «Джавелин». Об этой новости ранее писали англоговорящие пользователи ещё 2 месяца назад на Reddit.
👆Площадка 🕸T***F является своего рода маркетплейсом для преступников, скамеров, мошенников и хакеров, где продаётся абсолютно всё, включая наркотики, поддельные документы, кредитные карты, оказываются даже хакерские услуги. Сказать однозначно является ли маркетплейс скамом - нельзя, но и усомниться в том, что всё что представлено на продажу - выдумка, тоже нет. Площадка работает как минимум с 2020, может и раньше.
Украинский 🛒оружейный шоп выставил на продажу американские дроны-камикадзе Switchblade 300 по $4000 и FGM-148 Javelin за $30'000, цены указаны за 1 штуку. Продавец в описании к своему магазину указал место 🇺🇦Київ, но уточнил, что доставка будет до 🇵🇱Польской границы. Логистическая услуга обойдется покупателю в дополнительные $4000. Javelin поставляется скрытно в 🛢бочке с моторным маслом [сложно оценить насколько это адекватная идея].
👮"Агенты Интерпола - не пытайтесь выведывать информацию. Я вас вижу и не буду вам отвечать." - предупреждает продавец правоохранительные органы.
📲Примечательно, что селлер предпочитает анонимное общение c клиентами через ЛС на маркетплейсе или Wickr.
Новость репостнули одни из первых «Народная CyberАрмия» cо ссылкой на военного репортера ВГТРК на Украине Евгения Поддубного. В даркнете на теневом сайте украинский шоп распродает всем подряд смертоносные дроны-камикадзе Switchblade 300 и 🇺🇸противотанковые ракетные комплексы «Джавелин». Об этой новости ранее писали англоговорящие пользователи ещё 2 месяца назад на Reddit.
👆Площадка 🕸T***F является своего рода маркетплейсом для преступников, скамеров, мошенников и хакеров, где продаётся абсолютно всё, включая наркотики, поддельные документы, кредитные карты, оказываются даже хакерские услуги. Сказать однозначно является ли маркетплейс скамом - нельзя, но и усомниться в том, что всё что представлено на продажу - выдумка, тоже нет. Площадка работает как минимум с 2020, может и раньше.
Украинский 🛒оружейный шоп выставил на продажу американские дроны-камикадзе Switchblade 300 по $4000 и FGM-148 Javelin за $30'000, цены указаны за 1 штуку. Продавец в описании к своему магазину указал место 🇺🇦Київ, но уточнил, что доставка будет до 🇵🇱Польской границы. Логистическая услуга обойдется покупателю в дополнительные $4000. Javelin поставляется скрытно в 🛢бочке с моторным маслом [сложно оценить насколько это адекватная идея].
👮"Агенты Интерпола - не пытайтесь выведывать информацию. Я вас вижу и не буду вам отвечать." - предупреждает продавец правоохранительные органы.
📲Примечательно, что селлер предпочитает анонимное общение c клиентами через ЛС на маркетплейсе или Wickr.
👨💻Маркетплейс 🕸T***F внедрил систему отзывов для покупателей, чтобы они могли оставить негативные отзывы в случае, когда продавец отправил некачественный товар покупателю или вовсе не оказал услугу. Украинский 🛒"шоп" получил статус ✅"Verified" и является легитимным. Все отзывы от покупателей пока относятся только к ПТРК «Джавелин», на Switchblade 300 отзывов нет.
🤔Я заметил, что комментарии к своим полученным ПТРК уже написали пользователи на 🇵🇱Польском, 🇮🇷Фарси и 🇹🇷Турецком языках. Большинство покупателей остались в восторге от продавца, но некоторым повезло меньше других:
1️⃣ "Аккумулятор разряжен. Руководство по эксплуатации к Javelin не прилагается. На самом деле, это просто какая-то куча мусора. Администрация сайта, пожалуйста, разберитесь с этой темой" - негодует польский пользователь.
2️⃣ "Мы получили заказ после 16-дневного ожидания. Клад находился в лесах недалеко от польской границы. Польским пограничникам пришлось дополнительно заплатить за то, чтобы они "закрыли глаза". Во время проверки выяснилось, что это "копьё" не реагирует на включение! Было измерено напряжение батареи. Его просто нет. Труба не использовалась несколько лет и лежала на полке, поэтому аккумулятор просто сдох. Пожалуйста, решите мою проблему или верните мне деньги" - 🤬подгорает второй поляк.
👆То что руководство по 🤣эксплуатации к Javelin не прилагается это конечно плохо. 🙅♂️Нельзя так с покупателями. Второй недовольный поляк 🤦♂️😅сделал скрин замера напряжения и залил его на маркетплейс.
😏Если серьезно, то всё это выглядит крайне печально, куда попадёт оружие и в какие руки, одному богу известно.
🤔Я заметил, что комментарии к своим полученным ПТРК уже написали пользователи на 🇵🇱Польском, 🇮🇷Фарси и 🇹🇷Турецком языках. Большинство покупателей остались в восторге от продавца, но некоторым повезло меньше других:
1️⃣ "Аккумулятор разряжен. Руководство по эксплуатации к Javelin не прилагается. На самом деле, это просто какая-то куча мусора. Администрация сайта, пожалуйста, разберитесь с этой темой" - негодует польский пользователь.
2️⃣ "Мы получили заказ после 16-дневного ожидания. Клад находился в лесах недалеко от польской границы. Польским пограничникам пришлось дополнительно заплатить за то, чтобы они "закрыли глаза". Во время проверки выяснилось, что это "копьё" не реагирует на включение! Было измерено напряжение батареи. Его просто нет. Труба не использовалась несколько лет и лежала на полке, поэтому аккумулятор просто сдох. Пожалуйста, решите мою проблему или верните мне деньги" - 🤬подгорает второй поляк.
👆То что руководство по 🤣эксплуатации к Javelin не прилагается это конечно плохо. 🙅♂️Нельзя так с покупателями. Второй недовольный поляк 🤦♂️😅сделал скрин замера напряжения и залил его на маркетплейс.
😏Если серьезно, то всё это выглядит крайне печально, куда попадёт оружие и в какие руки, одному богу известно.
🇷🇺 Хакеры KillNet совершили кибератаку на военную корпорацию 🇺🇸Lockheed Martin — компания производит РСЗО 🚀HIMARS
Пророссийские хакеры KillNet атаковали сетевую инфраструктуру оружейной корпорации, в результате чего хакерам удалось вырубить 3 системы, об этом сообщается в Telegram-канале.
1️⃣ Cистему авторизации для сотрудников Lockheed Martin
2️⃣ Cистему авторизации с помощью интеллектуальной карточки "NASA" + Токен авторизации RSA + индикатор пользователя агентства
3️⃣ Систему авторизации Lockheed Martin для дочерних и зависимых компаний («LM»)
«Лучшая в мире система защиты Akamai отвалилась от Lockheed Martin. Возможно, они поняли, что не нужно помогать террористам!» — написали хакеры в одном из своих постов.
🥌 Также стало известно, что к масштабной блокировке электронных идентификационных систем Lockheed Martin подключились и другие группы: "PHOENIX", "Анонимус Россия" и "CarbonSec".
«Системные администраторы Lockheed Martin все в поту стараются остановить миллиардные запросы к своим серверам» — комментируют кибератаку KillNet.
👉 Чуть позже появилось сообщение о том, что 🇺🇸Lockheed Martin смогли восстановиться после атаки, но похоже потеряли данные. KillNet получили дамп всех 👨💻кандидатов на работу в Lockheed Martin и даже 🤔идентификаторы пользователей агентства.
🧾Новость стала одной из самых топовых в 🇷🇺российской ленте новостей. Также сегодня отметились пророссийские хакеры "NoName057", которые поломали сайт парламента 🇫🇮Финляндии, после чего на них завели дело.
👆Самой хайповой новостной статьёй про KillNet оказалась сегодня статья от Life.ru с заголовком: "В Госдуме дали русским хакерам наводку для новых атак после взлома сайта производителя HIMARS".
"🙂Зампредседателя Комитета Госдумы по информационной политике, информационным технологиям и связи Олег Матвейчев в беседе с Лайфом призвал русских хакеров из Killnet обратить свой взор на более серьёзные структуры, комментируя атаку группировки на сайт производителя HIMARS" - пишут Life у себя в статье.
"Интересны всевозможные базы данных, разведывательная информация, которая помогает узнать планы противников, перемещение тех же HIMARS по территории Украины. Если хочешь привнести реальную пользу, вскрой какие-то чаты, средства связи украинских спецслужб или военных, чтобы узнать, куда и как те же HIMARS дислоцированы, где они сейчас находятся и какие у них координаты. Для того чтобы это сообщить нашим военным"— сказал Матвейчев, по версии Life.
👆Неплохо Лайф забайтили читателей😅
Пророссийские хакеры KillNet атаковали сетевую инфраструктуру оружейной корпорации, в результате чего хакерам удалось вырубить 3 системы, об этом сообщается в Telegram-канале.
1️⃣ Cистему авторизации для сотрудников Lockheed Martin
2️⃣ Cистему авторизации с помощью интеллектуальной карточки "NASA" + Токен авторизации RSA + индикатор пользователя агентства
3️⃣ Систему авторизации Lockheed Martin для дочерних и зависимых компаний («LM»)
«Лучшая в мире система защиты Akamai отвалилась от Lockheed Martin. Возможно, они поняли, что не нужно помогать террористам!» — написали хакеры в одном из своих постов.
🥌 Также стало известно, что к масштабной блокировке электронных идентификационных систем Lockheed Martin подключились и другие группы: "PHOENIX", "Анонимус Россия" и "CarbonSec".
«Системные администраторы Lockheed Martin все в поту стараются остановить миллиардные запросы к своим серверам» — комментируют кибератаку KillNet.
👉 Чуть позже появилось сообщение о том, что 🇺🇸Lockheed Martin смогли восстановиться после атаки, но похоже потеряли данные. KillNet получили дамп всех 👨💻кандидатов на работу в Lockheed Martin и даже 🤔идентификаторы пользователей агентства.
🧾Новость стала одной из самых топовых в 🇷🇺российской ленте новостей. Также сегодня отметились пророссийские хакеры "NoName057", которые поломали сайт парламента 🇫🇮Финляндии, после чего на них завели дело.
👆Самой хайповой новостной статьёй про KillNet оказалась сегодня статья от Life.ru с заголовком: "В Госдуме дали русским хакерам наводку для новых атак после взлома сайта производителя HIMARS".
"🙂Зампредседателя Комитета Госдумы по информационной политике, информационным технологиям и связи Олег Матвейчев в беседе с Лайфом призвал русских хакеров из Killnet обратить свой взор на более серьёзные структуры, комментируя атаку группировки на сайт производителя HIMARS" - пишут Life у себя в статье.
"Интересны всевозможные базы данных, разведывательная информация, которая помогает узнать планы противников, перемещение тех же HIMARS по территории Украины. Если хочешь привнести реальную пользу, вскрой какие-то чаты, средства связи украинских спецслужб или военных, чтобы узнать, куда и как те же HIMARS дислоцированы, где они сейчас находятся и какие у них координаты. Для того чтобы это сообщить нашим военным"— сказал Матвейчев, по версии Life.
👆Неплохо Лайф забайтили читателей😅
🇮🇷Иран впервые оплатил импорт товаров на сумму $10 миллионов с использованием криптовалюты
Иран сделал свой первый официальный заказ на импорт товаров с использованием криптовалюты на этой неделе, сообщает агентство Tasnim.
🔑 Заказ на сумму $10 миллионов стал первым шагом к тому, чтобы позволить стране торговать с помощью цифровых активов, которые помогут обойти мировую финансовую систему в которой доминирует 💲доллар. Агентство не уточнило, какая криптовалюта использовалась в транзакциях.
Президент по развитию торговли Ирана Алиреза Пейманпак сообщил в своём Twitter, что местные компании в сентябре начнут широко использовать цифровые активы и смарт-контракты в международной торговле.
Иран сделал свой первый официальный заказ на импорт товаров с использованием криптовалюты на этой неделе, сообщает агентство Tasnim.
🔑 Заказ на сумму $10 миллионов стал первым шагом к тому, чтобы позволить стране торговать с помощью цифровых активов, которые помогут обойти мировую финансовую систему в которой доминирует 💲доллар. Агентство не уточнило, какая криптовалюта использовалась в транзакциях.
Президент по развитию торговли Ирана Алиреза Пейманпак сообщил в своём Twitter, что местные компании в сентябре начнут широко использовать цифровые активы и смарт-контракты в международной торговле.
🤹♀️Хакеры Yanluowang (ransomware) заявили о похищении 2,75 Гб данных у компании Cisco
Cisco подтвердили Bleeping Computer факт компрометации систем. Хакеры Yanluowang заявили о похищении 2,75 ГБ данных, состоящих примерно из 3'100 файлов. Многие из этих файлов представляют собой конфиденциальные документы, дампы данных и инженерные чертежи.
👮В ходе расследования было установлено, что учетные данные сотрудника Cisco были скомпрометированы после того, как злоумышленник получил контроль над личным аккаунтом Google, где синхронизировались учетные данные (хранились в браузере жертвы).
🐳 "Злоумышленник провел серию сложных голосовых фишинговых атак под видом различных доверенных организаций, пытаясь убедить жертву принять push-уведомления многофакторной аутентификации (MFA). В конечном итоге злоумышленникам удалось добиться принятия MFA push-уведомления, что и дало им доступ к VPN в контексте целевого пользователя" - пишут Cisco Talos в своём отчёте.
"На основании полученных артефактов, выявленных тактик, методов и процедур (ТТП), использованной инфраструктуры и тщательного анализа бэкдора, использованного в этой атаке, мы с умеренной или высокой степенью уверенности считаем, что эта атака была проведена злоумышленником, который ранее был идентифицирован как брокер начального доступа (IAB), связанный с UNC2447, Lapsus$ и Yanluowang ransomware".
🔐❌ Cisco утверждают, что хакерам не удалось ничего пошифровать.
Отчёт - https://blog.talosintelligence.com/2022/08/recent-cyber-attack.html
"В соответствии с действиями, которые мы ранее наблюдали в других отдельных, но похожих атаках, злоумышленник создал административного пользователя под именем "Z" в системе, используя встроенные команды Windows "net.exe". Затем эта учетная запись была добавлена в локальную группу администраторов. Мы также наблюдали случаи, когда злоумышленник изменял пароль существующих учетных записей локальных пользователей на значение, показанное ниже:
👆"Z", значит точно злой "русский хакер" под админкой в системе, 🙂🤦♂️инфа 100%, запомним. 🇺🇸Cisco Talos, окрасившие своё лого в жовто-блакитный 🇺🇦, связывают UNC2447 с группой из 🇷🇺России. Можно ли доверять отчёту и верить в его непредвзятость - решать только читателю.
"UNC2447 is a financially-motivated threat actor with a nexus to Russia that has been previously observed conducting ransomware attacks"
🤔Cisco не говорят конкретно кто является зачинщиком UNC2447, Lapsus$ и Yanluowang ransomware. Странно то, что Talos в своём executive summary умалчивают кто им написал письмо из злоумышленников, а вот Bleeping Сomputer, которые общались ранее с Cisco, указали отправителя письма: "Yanluowang email to Cisco" (скрин ниже). Ничего непонятно, но интересно.
Cisco подтвердили Bleeping Computer факт компрометации систем. Хакеры Yanluowang заявили о похищении 2,75 ГБ данных, состоящих примерно из 3'100 файлов. Многие из этих файлов представляют собой конфиденциальные документы, дампы данных и инженерные чертежи.
👮В ходе расследования было установлено, что учетные данные сотрудника Cisco были скомпрометированы после того, как злоумышленник получил контроль над личным аккаунтом Google, где синхронизировались учетные данные (хранились в браузере жертвы).
🐳 "Злоумышленник провел серию сложных голосовых фишинговых атак под видом различных доверенных организаций, пытаясь убедить жертву принять push-уведомления многофакторной аутентификации (MFA). В конечном итоге злоумышленникам удалось добиться принятия MFA push-уведомления, что и дало им доступ к VPN в контексте целевого пользователя" - пишут Cisco Talos в своём отчёте.
"На основании полученных артефактов, выявленных тактик, методов и процедур (ТТП), использованной инфраструктуры и тщательного анализа бэкдора, использованного в этой атаке, мы с умеренной или высокой степенью уверенности считаем, что эта атака была проведена злоумышленником, который ранее был идентифицирован как брокер начального доступа (IAB), связанный с UNC2447, Lapsus$ и Yanluowang ransomware".
🔐❌ Cisco утверждают, что хакерам не удалось ничего пошифровать.
Отчёт - https://blog.talosintelligence.com/2022/08/recent-cyber-attack.html
"В соответствии с действиями, которые мы ранее наблюдали в других отдельных, но похожих атаках, злоумышленник создал административного пользователя под именем "Z" в системе, используя встроенные команды Windows "net.exe". Затем эта учетная запись была добавлена в локальную группу администраторов. Мы также наблюдали случаи, когда злоумышленник изменял пароль существующих учетных записей локальных пользователей на значение, показанное ниже:
C:\Windows\system32\net user z Lh199211* /addПримечательно, что мы наблюдали создание учетной записи "z" этим агентом в предыдущих операциях, предшествовавших началу спецоперации России на Украине"
C:\Windows\system32\net localgroup administrators z /add
👆"Z", значит точно злой "русский хакер" под админкой в системе, 🙂🤦♂️инфа 100%, запомним. 🇺🇸Cisco Talos, окрасившие своё лого в жовто-блакитный 🇺🇦, связывают UNC2447 с группой из 🇷🇺России. Можно ли доверять отчёту и верить в его непредвзятость - решать только читателю.
"UNC2447 is a financially-motivated threat actor with a nexus to Russia that has been previously observed conducting ransomware attacks"
🤔Cisco не говорят конкретно кто является зачинщиком UNC2447, Lapsus$ и Yanluowang ransomware. Странно то, что Talos в своём executive summary умалчивают кто им написал письмо из злоумышленников, а вот Bleeping Сomputer, которые общались ранее с Cisco, указали отправителя письма: "Yanluowang email to Cisco" (скрин ниже). Ничего непонятно, но интересно.
Forwarded from Пул N3
Премьер Эстонии Кая Каллас: Прекратите выдавать туристические визы россиянам. Посещение Европы – это привилегия, а не право человека. Авиасообщение с Россией закрыто. Это значит, что пока страны Шенгенской зоны выдают визы, бремя ложится на соседние с Россией страны (Финляндия, Эстония, Латвия – единственные точки въезда). Пора покончить с туризмом из России.