На фоне ушатывания владельцев ransomware Darkside американцами с ноги прямо в щщи забеспокоились их коллеги по вымогательскому бизнесу.

Unknown, представитель группировки REvil, заявил, что вымогатели вводят новые ограничения на допустимые для атаки цели:
- запрещается атаковать объекты социальной сферы (здравоохранение, учебные заведения);
- запрещается атаковать государственные организации.

И это, пардон, те самые REvil, которые в интервью Смилянцу в марте важно заявляли, что их операторы имеют доступ к системе запуска баллистических ракет, к крейсеру ВМС США, к атомной электростанции и к оружейному заводу. А также "мы в силах начать войну, но это нам не выгодно".

Положительно, хакеры не переносят возможной угрозы физического насилия. Особенно со стороны замотивированных и не обращающих внимание на моральные стороны вопроса представителей государственных спецслужб (что западных, что российских).

P.S. Заметим, что Colonial Pipeline, из-за которого, собственно, вся буча и началась, не является ни объектом социальной сферы, ни государственным учреждением. Так что REvil тут пальнули мимо. Хотя, с другой стороны, возможно они так отреагировали на выступление британского министра иностранных дел Рааба.

Французские инфосек исследователи из консалтинговой компании Sogeti выпустили отчет по результатам своих экзерсисов в отношении скандального ransomware Babuk, владельцы которого на днях выкинули в сеть украденные у Управления полиции Вашингтона данные (не сторговались с копами).

Кроме явных интересных находок, например ошибок в настройках их сайта для утечек (которые, правда, ничего толком не дали), французы попытались в OSINT. И, само собой, кроме "тысячи чертей" ничего не вышло.

Исходя из того, что на Raidforums представитель банды использует ник biba99, исследователи нашли аналогичный Telegram-ID пользователя "Бейбарыс Султан". А потом нашли кучу Бейбарыс Султанов в сети, что характерно - среди казахов. Один из таких Инстаграм-аккаунтов, владелец которого служит в казахской военной полиции, неизвестно чем привлек их внимание, в результате чего они решили, что это может быть тот самый biba99 из Babuk. Хотя там невооруженным взглядом видно, что он даже на Бейбарыс Султана из Телеграма не похож, не говоря уж про Бибу с Raidforums. В общем плохо французы разбираются в казахских аспектах физиогномики.

Дополнительным "подтверждением" того, что вымогатели это мусульмане родом из Казахстана, послужил факт их нелюбви к ЛГБТ и BLM (о чем мы ранее неоднократно паисали). В общем, в OSINT исследователи из Sogeti не умеют. Так что если вы увидите в новостях, что владельцы Babuk - казахи, не верьте.

А вот что действительно любопытно, так это то, что в Babuk французы не обнаружили функции, предотвращающей заражение русскоязычных пользователей, которая часто встречается среди ransomware.

​​На прошлой неделе Microsoft выпустили очередной месячный апдейт безопасности, которым, среди прочего, закрыли критическую уязвимость CVE-2021-31166, которую оценили в 9,8 по шкале критичности CVSS.

Ошибка находится в стеке HTTP Microsoft IIS и при эксплуатации может привести к повреждению памяти и, как следствие, к удаленному выполнению кода в ядре ОС.

Microsoft заявили, что эта уязвимость может привести к созданию сетевого червя, который будет распространяться по серверам IIS.

А вчера исследователь Алекс Суше представил Proof of Concept для CVE-2021-31166, а значит до рабочего эксплойта в руках хакеров осталось всего ничего.

Поэтому если у вы используете Microsoft IIS - обновитесь, нечего червей плодить.

​​В оборот группы вымогателей Avaddon попал страховой гигант AXA. Филиалы страхового гиганта, расположенные в Таиланде, Малайзии, Гонконге и на Филиппинах, подверглись кибератаке.

ОБ инциденте заявили сами хакеры на своем сайте, сообщив о хищении более 3 ТБ конфиденциальных сведений азиатских подразделений компании, а также обрушив на ее сайты массированный DDoS. О своей тактике склонения к диалогу жертв группировка официально предупреждала еще в январе 2021 года.

Скомпрометированные Avaddon данные включают медицинские отчеты клиентов (раскрывающие диагноз сексуального здоровья), копии удостоверений личности, выписки с банковского счета, платежные записи, контракты и многое другое.

Внимание злоумышленников AXA привлекла своим громким объявлением об отказе возмещения ущерба от неправомерных действий с использованием ransomware по полисам киберстрахования во Франции.

Avaddon предоставил 10-дневный срок для урегулирования вопроса по выплате выкупа, в противном случае банда намерена начать публиковать похищенные клиентские данные.

Тем временем, в AXA очень серьезно отнеслись к случившемуся и подключили к расследованию специальную рабочую группу с привлечением внешних экспертов, проинформировали надзорные инстанции и партнеров. AXA пока не называли сумму выкупа, которую требует Avaddon.

Примечательно, что на этой неделе Федеральное бюро расследований (ФБР) и Австралийский центр кибербезопасности (ACSC) предупреждали о потенциальной активности программ-вымогателей Avaddon. Надо было прислушаться, как минимум застраховать риски.

Полагаем, что компания после инцидента будет проявлять большую солидарность к жертвам банд вымогателей, а если нет - то, вероятно, их научат это делать Робины Гуды современности.

Правительство Японии решило отреагировать на возрастающий уровень киберугроз, в том числе в качестве реакции на взлом Colonial Pipeline, и объявило что введет новые правила для 44 частных и государственных секторов.

В их число входят - телекоммуникации, электроэнергетика, финансы, железные дороги, госуслуги, здравоохранение и пр.

Основное нововведение - отныне японское правительство сможет устанавливать требования для коммерческих компаний в части использования иностранного оборудования и сервисов (например, облачных решений). И, если госорганам что-то не понравится, напрямую запрещать их применение.

Все происходящее вполне в духе стремительного развития Кластернета. Но, с другой стороны, желание японцев максимально сократить количество неподконтрольных им железок и услуг в критически важных областях народного хозяйства, с учетом последних тенденций развития киберугроз, вполне себе понятно.

Что же касается самой "деспотичной диктатуры в Европе" (это мы про Россию, если кто не понял, а не про Бацьку), то тут, в отличие от демократичных японцев, наши телеком операторы, например, на счет раз вышвыривают из тендеров российские инфосек компании ради их иностранных конкурентов. И если кто-то подумал про конкретную организацию, то вы ошибаетесь, - мы знаем подобных случаев минимум 4.

Кровавая гэбня и тоталитаризм, куле.

​​Администратор XSS снял с депозита владельцев ransomware Darkside больше 22 BTC (около 1 млн. долларов).

Это произошло из-за жалобы сотрудничавшего с вымогателями оператора, который взломал сеть неназванной компании и разместил в ней Darkside, после чего жертва выплатила его владельцам выкуп. Однако те не смогли перевести оператору 80% от полученной в криптовалюте суммы согласно договоренности из-за того, что средства с их кошелька были выведены (вероятнее всего американцами).

Трест, который лопнул.

Вышел новый выпуск еженедельных новостей от SecurityLab.

Из того, что бросилось в глаза нам - главный маркетолог Позитивов Заполянский пообещал на PHD представить новую концепцию информационной безопасности, в честь чего мероприятие назвали "Начало". Правда ничего не объяснил толком, напустил тумана и позвал всех на PHD.

Главное - чтобы пространство не сворачивали.

Словаки из ESET опубликовали исследование, посвященное безопасности т.н. stalkerware для Android.

Stalkerware - это мобильное ПО, которое устанавливается на целевое устройство с использованием физического доступа и втихаря мониторит его активность. Используется, как правило, для контроля детей и неверных супругов. В иных случаях установка такого ПО - вполне себе подсудное дело (по крайней мере, в России) и, тем не менее, его пытаются использовать и для других целей. Несмотря даже на то, что многие антивирусные решения помечают сталкерское ПО как нежелательное или вредоносное.

Исследователи проанализировали 86 stalkerware для Android. В 58 из них были обнаружены в общей сложности 158 уязвимостей, которые в случае их эксплуатации позволили бы хакеру получить контроль над устройством, захватить учетную запись сталкера или осуществить удаленное выполнение кода.

К примеру, некоторые приложения передают данные мониторинга на сервер ПО по открытому каналу, другие хранят их на внешнем носителе также в открытом виде и пр. и пр. А одно из приложений использует Metasploit для мониторинга.

Теперь к самому печальному - ESET сообщили о выявленных уязвимостях производителям ПО. Только 6 из них исправили ошибки, 7 пообещали, но не исправили, а 44 просто отморозились. Поскольку три месяца с момента направления данных производителям прошло, то словаки решили раскрыть часть данных в своем полном отчете, который можно посмотреть по ссылке.

Компания Elliptic, специализирующаяся на аналитике блокчейна в целях борьбы с финансовыми преступлениями, посчитала сколько владельцы ransomware Darkside получили выкупа за 9 месяцев своей активности.

Сразу заметим, что эта сумма не полностью уходит владельцу, а делится в определенной пропорции - по данным экспертов доля владельца может варьироваться от 10 до 25%.

Ранее Elliptic идентифицировала кошелек Darkside, на который ушли 75 BTC выкупа от Colonial Pipeline. А затем исследователи проанализировали движение криптовалюты через этот кошелек.

В общей сложности Darkside получили выкуп от 47 жертв, общая сумма - более 90 млн. долларов. Из них 15,5 млн. долларов ушли владельцам вымогателя, а 74,7 млн. долларов получили операторы.

Хорошая прибавка к зарплате. Купят женам сапоги.

Позитивная обраточка. Никому ничего объяснять не надо?

P.S. Будете еще санкции вводить - ДНК Гейтса отсеквенируем.

Вчера Google рассказали про новые фишки Android 12, который планируется к выходу осенью.

Всякие обновления дизайна нам не интересны, как и несколько улучшенное быстродействие ОС. Ну серьезно, кто-то просчитывает на смартфонах математические модели?

А вот на что мы всегда обращаем внимание - так это на вопросы безопасности и конфиденциальности. И в случае с Android 12 Google были вынуждены пойти на некоторые меры по усилению приватности пользователей, потому что Apple уже сделали это в iOS 14.

Во-первых, Google наконец-то добавили индикаторы работы микрофона и камеры. Кроме того, в панели быстрых настроек появились переключатели, позволяющие отключить доступ к микрофону или камере для всей системы (кроме АНБ, конечно).

Во-вторых, Android будет показывать уведомления, когда приложения используют буфер, кроме случаев, когда это происходит внутри одного приложения.

В-третьих, также с iOS скопирована функция "приблизительной геолокации", чтобы не передавать лишний раз приложениям, например о погоде, точные координаты нахождения устройства.

Конфиденциальность это хорошо. А еще лучше, что у нас есть такая конкуренция между Apple и Google.

Блокчейн трекер Whale Alert сообщает о произошедшем сегодня платеже в размере 500000 ETH от криптовалютной платформы Binance в адрес неизвестного кошелька.

Все бы ничего, но по текущему курсу это эквивалентно более чем 1,7 млрд. долларов. Кто-то просто перевел больше половины годового бюджета Молдавии.

Правда в комментах народ делает предположение, что это возможно внутренний перевод Binance. Но это не точно.

​​Исследователи из китайской Tencent Security Keen Lab на протяжении последних лет успешно потрошат электронную начинку автомобилей различных производителей. На их счету - BMW, Toyota и Lexus, а также Tesla.

На сей раз не ушел от цепких китайских рук Mercedes-Benz. Исследователи выпустили отчет (собственно, сам отчет - в конце материала по ссылке), в котором описали процесс взлома медиасистемы MBUX - Mercedes-Benz User Experience. С 2018 года MBUX применяется во всей линейке автомобилей немецкого концерна.

Китайские эксперты обнаружили 5 уязвимостей в MBUX, 4 из которых могут привести к удаленному выполнению кода (RCE). Три уязвимости было найдено в головном устройстве, а две - в т.н. модуле TCU, который отвечает за LTE связь.

Используя комбинацию эксплойтов этих ошибок исследователи осуществили удаленный доступ к MBUX, после чего получили рутовые права и смогли внедрить постоянный бэкдор. Они взяли под контроль головное устройство автомобиля, смогли разблокировать противоугонную систему, а также получили доступ к CAN-шине и выполнили некоторые действия по управлению вторичными функциями автомобиля.

К примеру, они смогли управлять освещением салона, открывать солнцезащитный козырек, изменять изображение на всех экранах машины. К основным функциям управления автомобилем пробиться не удалось

Кто-то может сказать, что в таком случае атака не представляет опасности для водителя и пассажиров, но мы не согласимся. Когда у вас на скорости 120 км/ч на загородной ночной трассе солнцезащитные козырьки начнут косплеить флюгер, освещение салона станет хаотично меняться, а на экранах и в колонках с максимальной громкостью включится какой-нибудь Cannibal Corpse, то вы уйдете в кювет на раз-два.

Остается добавить, что основной причиной возможности проведения атаки послужило использование в MBUX устаревшего ядра Linux. Само собой, что вся информация об уязвимостях была сообщена в Mercedes-Benz и к данному моменту они автопроизводителем исправлены. Ну, конечно, только у тех автовладельцев, которые своевременно обновляют свою MBUX.

Администрация швейцарского мессенджера Threema выиграла дело в высшем суд страны против Министерства юстиции и полиции Швейцарии (FDJP). Таким образом, Федеральный суд Швейцарии подтвердил решение суда низшей инстанции.

Если бы FDJP победило, то Threema была бы признана "поставщиком телекоммуникационных услуг" и была бы обязана идентифицировать всех пользователей и вести соответствующие логи их активности. Но, к счастью, швейцарские судьи не приняли сторону полиции. Можно спокойно продолжать пользоваться Threema дальше.

Небольшая, но важная победа в вопросах конфиденциальности пользователей. Особенно на фоне заявления Австралийской комиссии по преступности (ACIC), что "у законопослушного гражданина нет законных оснований для владения и использования зашифрованной коммуникационной платформы".

Новые стандарты информационной безопасности. Теперь от Израиля.

Как сообщает TheRecord, авиация Израиля разбомбила два объекта на территории сектора Газа, которые использовались ХАМАС для проведения киберопераций.

Об этом израильские ВВС официально заявили в Twitter. Первый объект являлся ЦОДом, а второй - "квартирой-убежищем, которая использовалась террористами для наступательных киберопераций против израильских целей".

Особый цинизм действиям разнузданной израильской военщины придает фраза "Атакованная квартира была размещена рядом с детским садом, что еще раз доказывает, что ХАМАС намеренно подвергает опасности мирных жителей размещая свою военную инфраструктуру в гражданских районах".

Теперь как, можно по NSO Group, которая весь мир ломает, не стесняясь Калибрами заряжать? И может ли Иран с полным осознанием свое правоты разбомбить Подразделение 8200 Управления военной разведки Армии обороны Израиля в качестве ответа на совершенную в мае 2020 года евреями кибератаку на информационные ресурсы иранского портового города Бендер-Аббас, которую бывший глава военной разведки Израиля генерал Амос Ядлин назвал "четким посланием Ирану в ответ на кибератаки на водные ресурсы Израиля" (в чем Иран, кстати, никогда не признавался).

P.S. Оказывается, это не первая физическая атака в качестве ответа на кибероперации. Первую тоже осуществил Израиль в 2019 году, когда взорвал здание, в котором размещалось киберподразделение ХАМАС.

​​Intel вместе с Microsoft решили подкинуть пасхальных яиц в обновления драйверов.

После установки ваш Core i7 превратится в 4-x битный Intel 4004.

Очередная жертва ransomware - люксембургская компания Ardagh Group, имеющая годовой доход под 8 млрд. евро и являющаяся одним из мировых лидеров по производству стеклянной и металлической упаковки.

В своем заявлении Ardagh Group сообщают, что недавно с их сетью произошел киберинцидент, в результате которого были отключены некоторые IT-системы и сервисы. И хотя непосредственно производство затронуто не было, некоторые операции цепочки поставок были нарушены, что привело к задержкам в поставках продукции клиентам (то есть, по итогу таки производство было таки затронуто).

Выступления PR-служб пострадавших от ransomware организаций напоминают речи сенатора сибирского округа по вопросам пожаротушения и природоохраны Анатолия Шапакина (в исполнении Гарика Харламова) - "Все под контролем! Все в абсолютной безопасности! Никакой паники нет!". По факту же наблюдается совершенно противоположная картина - информационной безопасности нет, техподдержка и инфосек в момент атаки не знают что делать и рвут на себе волосы, конфиденциальные данные утекают, а производственные цепочки перестают работать.

И, пожалуй, нам надо прекращать писать об успешных атаках вымогателей на компании с revenue меньше 10 млрд. долларов - это уже банальность.

Dragos опубликовали промежуточные результаты расследования произошедшего в феврале киберинцидента, в ходе которого хакер получил доступ к системе управления водоочистительного объекта города Олдсмар, что в американском штате Флорида.

Злоумышленник подобрал пароль к TeamViewer, который стоял на машине, управляющей системой водоочистки, и повысил концентрацию едкого натра, поступающего в воду, более чем в 100 раз. К счастью, оператор, следивший за системой водоочистки, обнаружил удаленную активность на рабочем столе взломанного компьютера и предотвратил вмешательство.

Исследователи обнаружили, что на сайте фирмы-подрядчика водоочистных сооружений из Флориды размещен вредоносный код, вроде бы типичная "атака на водопой" (спойлер - на самом деле нет). Судя по всему, целями были предприятия водоснабжения. Но что еще интереснее - в день взлома с компьютера водоочистного объекта Олдсмар был заход на зараженный сайт.

Хакер использовал дырку в одном из плагинов WordPress для размещения кода, который собирал fingerprints посетителей сайт, включая данные об ОС и процессоре, браузере и используемых раскладках, видеокарте, настройках операционки, наличия периферийных устройств и др.

Сайт был заражен в течение 58 дней вплоть до 16 февраля 2021 года.

Аналогичный вредоносный код Dragos нашли еще на одном сайте - подпольном Интернет-магазине DarkTeam Store. Исследователи обнаружили, что и сайт компании-подрядчика из Флориды и DarkTeam Store были взломаны в один и тот же день 20 декабря 2020 года.

Dragos полагают, что вредоносный код предназначен для сбора браузерных отпечатков в целях их дальнейшего использования в ботнете Tofsee, чтобы более успешно имитировать реальных пользователей. Связан ли взлом сайта компании-подрядчика с взломом водоочистительной системы в Олдсмаре - не понятно. Еще большей загадкой является то, почему владелец ботнета выбрал для сбора информации именно этот сайт.

Гайдай какой-то!

​​Одна из актуальнейших проблем современного инфосека.

Все еще верите в свою конфиденциальность?

Забудьте, ведь согласно исследованию Check Point 23 приложения на базе Android могут лишить своей приватности более 100 миллионов пользователей.

Во многом такая ситуация обусловлена ненадлежащим вниманием разработчиков к обеспечению безопасности данных своих клиентов.

В некоторых случаях разработчики не используют защиту паролем своих серверных баз данных, оставляют токены и ключи доступа в исходном коде приложения или применяют некорректные настройки для сторонних облачных сервисов (облачное хранилище, push-уведомления и пр.).

Команда Check Point в результате изучения 23 случайных приложений смогла расчехлить 13 из них и получить доступ к их внутренним базам, содержащим адреса электронной почты, пароли, личные чаты, координаты местоположения, идентификаторы пользователей, записи экрана, учетные данные социальных сетей и личные изображения. При этом исследователи утверждают, что в ходе работы они не встретили никакого противодействия со стороны средств защиты.

Кроме того, Check Point удалось получить ключи доступа и скомпрометировать функцию push-уведомлений ряда приложений, которую потенциальный злоумышленник мог использовать для проведения эффективных фишинговых атак на пользователей приложения.

Учитывая, что Check Point озвучили не всех аутсайдеров исследования (Logo Maker ,  Astro Guru ,  T'Leva ,  Screen Recorder и  iFax) можно предположить, что реальный масштаб бедствия не раскрывается, ведь в списке могут оказаться куда более популярные среди пользователей платформы.

На самом деле негативная тенденция сохраняется еще с 2010-х годов, показатели уязвимости инфраструктуры мобильных приложений не меняется уже последние три года, что подтверждается отчетами Zimperium (в марте этого года обнаруживших неправильно настроенные облачные серверы в тысячах приложений для Android и iOS) и Appthority

​​В марте мы писали про атаку ransomware Phoenix CryptoLocker на сеть американского страхового гиганта CNA Financial, имеющего 10 млрд. долларов годового дохода. Журналисты Bleeping Computer, со ссылкой на свои источники, утверждали тогда, что этот новый штамм ransomware принадлежит российской Evil Corp. Основой для этого, якобы, служило сходство в коде с вымогателем Hades.

Два месяца прошло и вот Bloomberg сообщает, что через две недели после взлома страховщики, не сумев восстановить доступ к своим ресурсам, заплатили вымогателям 40 млн. долларов выкупа. Это подтвердил официальный представитель CNA Financial.

Таким образом, если нам не изменяет склероз, на сегодняшний день это самый крупный выкуп, который был официально подтвержден жертвой.

Кроме того, CNA Financial заявили, что действовали в соответствии с американскими законами, поскольку Phoenix CryptoLocker не подпадает под санкции американского Минфина. Таким образом хакеры Evil Corp, находящиеся под подобными санкциями, добились своей цели - с помощью создания новых штаммов ransomware, которые документально не ассоциируются с Evil Corp, создать для жертвы возможность легально заплатить выкуп, не опасаясь правовых последствий со стороны американских госорганов.

Кто-то купит себе новый Ламбо.