​​В сети появилась информация, что вчера слили исходники Windows XP.

Однако, судя по фоткам, пока мы видим солянку из старых сливов исходников. Посмотрим, появится ли что-то новое.

⚡️ Путин в официальном обращении предложил США сотрудничество в сфере международной информационной безопасности (МИБ). Главное:

— восстановить двусторонний регулярный межведомственный диалог по ключевым вопросам обеспечения МИБ на высоком уровне;

— поддерживать непрерывную и эффективную работу каналов связи между компетентными ведомствами стран;

— совместно разработать и заключить соглашение о предотвращении инцидентов в информационном пространстве;

— обменяться гарантиями невмешательства во внутренние дела друг друга, включая избирательные процессы

Американское Агентство кибербезопасности (CISA) опубликовало отчет о киберинциденте, в котором описало факт компрометации сети неназванного федерального агентства со стороны высококвалифицированных хакеров.

Предполагается, что злоумышленники первоначально скомпрометировали учетные записи пользователей Office 365 и учетную запись администратора домена через уязвимый сервер Pulse VPN. В дальнейшем они исследовали сеть, закрепились в ней, прокинули туннель для связи с управляющим центром и стали собирать интересующую их информацию.

В процессе взлома хакеры использовали авторское вредоносное ПО Inetinfo, которое ухитрились скрыть от антивирусной защиты.

Подробное описание атаки содержится в отчете CISA, правда никакой информации о том, кто и когда был атакован, нет.

Нет сомнения, что эта атака - результат активности прогосударственной APT, которая таким образом осуществляла свою кибершпионскую деятельность.

Ну а мы в очередной раз передаем привет всем эффективным управленцам (государственным и коммерческим), которые полагают что информационную безопасность можно организовать за мелкий прайс. Ведь главное дать строгое указание (нет).

Немного инфосек юмора (Agent Tesla - троян удаленного доступа с функцией кейлогера).

Тебя взломали, мы знаем, что ты посещал сайты для взрослых. У тебя есть ровно шесть часов, чтобы найти 1000$, и мы уничтожим эту информацию. В противном случае о твоих тайных увлечениях узнают все: коллеги, друзья, супруга и дети. Время пошло.

Звучит убедительно? Социальная инженерия — самый популярный способ атак на пользователей. Автор канала @Social_Engineering объяснит, какие существуют методы атак с использованием социальной инженерии а так же расскажет, как обезопасить себя от таких атак.

Но это еще не всё. @Social_Engineering расскажет, как сохранить приватность и не оставлять лишних следов.

Бонус — методы поиска информации, вы найдете инструкции, как составить на пользователя досье, используя только открытые источники.

@Social_Engineering

Что-то из Германии плотно пошло.

Немецкий инфосек журналист сообщает в Twitter, что предположительно 15 сентября Национальное антидопинговое агентство Германии (NADA) было взломано.

И хотя расследование пока еще на ранней стадии, уже появился подозреваемый - это российская APT 28 aka Fancy Bear, которая, как считается, работает на ГРУ. Правда тут же допускается оговорка - "пока слишком рано что-то утверждать точно".

Что же, подождем TTPs. Хотя их, скорее всего, не будет.

​​Оператор ransomware Sodinokibi (REvil) демонстрирует, что денег у него - как известной субстанции за баней.

Sodinokibi, как и многие другие вымогатели, работает по схеме RaaS (Ransomware-as-a-Service), предлагая хакерам воспользоваться своей вредоносной инфраструктурой для атаки на сеть жертвы. В целях расширения своей деятельности стоящая за Sodinokibi группировка размещает объявления на хакерских форумах, приглашая к сотрудничеству талантливых хакеров, которые могут взломать сети крупных компаний, с которых можно потребовать большой выкуп.

В качестве подтверждения серьезности своих намерений представитель хакерской группы под псевдонимом Unknown внес на депозитный биткоин-кошелек, привязанный к одному из форумов, 99 BTC, что эквивалентно приблизительно 1 млн. долларов США.

Этим REvil показали, что не особо сильно беспокоятся о судьбе таких денег, поскольку доступ к кошельку имеют администраторы форума.

А мы давно говорили, что скоро операторы ransomware будут богаче наркокартелей.

Ну и, чтобы почтенная публика могла просто представить масштаб активности ransomware, дадим краткое перечисление событий, которые случились в мире шифровальщиков всего за одну неделю (используя материалы BleepingComputer).

1. Успешно атакована итальянская компания Luxottica, которая является крупнейшим в мире производителем очков.

2. Успешно атакована американская компания Tyler Technoligies, один из крупнейших поставщиков программного обеспечения и ИТ-услуг для государственного сектора США.

3. Найден новый вымогатель Egregor, оставляющий записку с требованием выкупа под названием RECOVER-FILES.txt.

4. Найден новый вариант вымогателя LeakThemAll, добавляющий расширение .montana к зашифрованным файлам.

5. Найдено новое ransomware (названия пока не дали), добавляющее расширение .zhen к зашифрованным файлам.

6. Обнаружен новый вариант ransomware STOP, добавляющий расширение .kolz к зашифрованным файлам.

7. Инфосек компания Tesorion опубликовала отчет о новом семействе вымогателей ThunderX, а также анонсировала бесплатный дешифратор.

8. Найдено новое ransomware (название пока не дали), добавляющее расширение .encrypted к зашифрованным файлам.

9. Выявлен новый вариант вымогателя Matrix, добавляющий расширение .JB88 к зашифрованным файлам.

10. Обнаружен новый вариант ransomware Nefilim, добавляющий расширение .TRAPGET к зашифрованным файлам.

11. Выявлен новый вариант вымогателя Matrix, добавляющий расширение .FG69 к зашифрованным файлам.

12. Выявлен новый вариант вымогателя Matrix, добавляющий расширение .AW46 к зашифрованным файлам.

13. Обнаружено новое ransomware (названия пока нет), добавляющее расширение .CRPTD к зашифрованным файлам.

14. Group-IB опубликовала отчет о русскоязычном операторе ransomware OldGremlin, атакующем исключительно российские компании.

15. Найден новый вымогатель, выдающий себя за ransomware Sodinokibi. Скорее всего это просто wiper.

16. Описано новое семейство ransomware MountLocker, нацеленное на сети крупных коммерческих организаций.

17. Выявлен новый вымогатель Dusk v1.0.

18. Обнаружено новое ransomware Exorcist 2.0.

19. Найден новый вариант вымогателя STOP, добавляющий расширение .copa к зашифрованным файлам.

20. Найдено новый вариант вымогателя Matrix, добавляющий расширение .DEUS к зашифрованным файлам.

И все это за одну неделю! У нас тут кроме эпидемии коронавируса нарисовалась, похоже, еще и эпидемия ransomware. Только про нее никто не говорит.

История со взломом Tyler Technologies, одного из крупнейших поставщиков программного обеспечения и ИТ-услуг для государственного сектора США, оператором ransomware RansomExx, о которой стало известно на прошлой неделе, получает неожиданное продолжение.

Оказалось, что мы были правы, когда писали про то, что такие компании как Tyler могут стать целью атак на цепочку поставок. Только мы имели в виду атаки, которые осуществляются прогосударственными APT для дальнейшего внедрения своих бэкдоров в используемое правительственными структурами технологические системы. А в данном случае, как стало известно в выходные, атаку на цепочку поставок провела именно стоящая за вымогателем хакерская группа.

Клиенты Tyler Technologies стали сообщать, что в их сетях появились подозрительные учетные записи, а также установленное третьими лицами ПО удаленного доступа (например, BeyondTrust). После этого, сети некоторых клиентов были атакованы ransomware.

Представители Tyler Technologies в выходные признали, что их взломанные ресурсы могли стать отправной точкой для дальнейшей атаки на сети их партнеров - "мы настоятельно рекомендуем сбросить учетные записи удаленного доступа сотрудников Tyler".

На нашей памяти это первая атака операторов ransomware на цепочку поставок. Очередной ящик Пандоры оказался открыт. Впрочем, этого следовало ожидать.

И еще одна интересная деталь, политическая. По данным Reuters, производимое Tyler ПО планируется использовать на предстоящих президентских выборах в США для передачи результатов голосования с участков в избирательные комиссии. Как быстро появится версия о причастности России к взлому Tyler Technologies?

Исследователи из индийской инфосек компании Quick Heal опубликовали материал в отношении кибероперации SideCopy, проводимой с начала 2019 года в отношении индийских вооенных учреждений.

Индийцы выявили три вектора атаки, во всех в качестве первичного заражения использовался целевой фишинг. В качестве приманки использовался документ, посвященный политике оборонного производства Индии.

В принципе, ничего выдающегося в SideCopy нет - стандартные приемы APT, кроме одной особенности. Согласно утверждениям индийцев, хакерская группа, стоящая за операцией, частично копирует TTPs индийской же APT SideWinder. В то же время, управляющая инфраструктура и набор инструментов (в том числе описанный ранее Касперскими Crimson RAT) указывают на пакистанскую APT Transparent Tribe. Мы рассказывали про проделки пакистанских хакеров здесь.

По всей видимости, пакистанцы решили потроллить своих индийских визави.

#APT #TransparentTribe

​​И снова больницы.

Сеть американской компании Universal Health Services (UHS), которая является одним из крупнейших поставщиков медицинских услуг в США, в в ночь с субботы на воскресенье подверглась атаке ransomware. Всего под управлением компании более 400 больниц в США и Великобритании.

С утра 27 октября часть больниц UHS работает без компьютерной поддержки. Прекращены лабораторные исследования, пациенты перенаправляются в другие медицинские учреждения.

Как пишут пользователи Reddit, в некоторых психиатрических больницах UHS пациентам перестали выдавать лекарства, поскольку все назначения хранились в цифровом виде.

В соцсетях пишут, что за атакой стоит ransomware Ryuk. Это достаточно старый штамм, который был впервые замечен еще в 2018 году. Более того, в последние месяцы он был не активен и считалось, что Ryuk исдох и на сцену вышел его преемник - Conti. Однако, здравствуйте.

Кстати, операторам Ryuk приписывают произошедшую в декабре 2019 года атаку на больницу в чешском городе Бенешове.

Изначально Ryuk приписывали северокорейской APT Lazarus. Но затем некоторые инфосек компании стали связывать его с российскими коммерческими хакерскими группами, в частности с Wizard Spider (оператор банковского трояна TrickBot).

Более того, в последнее время в западном инфосек появилось несколько материалов о "связи российских коммерческих хакерских групп и северокорейских кибертеррористов". Так что при желании атаку на UHS можно использовать в качестве основания для очередных санкций против России.

И не можем не вспомнить воззвание Микко Хиппонена, главного исследователя F-Secure, обращенное к операторам ransomware:

"Отъе*итесь от медицинских организаций. Если вы начнете атаковать больничные сети в период пандемии, то мы используем все наши ресурсы, чтобы найти вас".

Похоже, что не подействовало.

Вам не кажется, что в новостной ленте стало слишком много ransomware? Нам, например, кажется, но ничего поделать мы не можем, это срез сегодняшней ситуации в инфосек.

ZDNet сообщает, что после свежей новости об успешной атаке ransomware на ресурсы французского судоходного гиганта CMA CGM тему вымогателей в отрасли морского судоходства можно закрывать. Поскольку это была последняя (один из наших редакторов настаивает на формулировке "крайняя", но мы его не слушаем, он три раза из самолета катапультировался, причем "крайний" раз неудачно) из четырех ведущих мировых судоходных компаний, ставшая жертвой ransomware.

В июне 2017 A.P. Moller-Maersk словил NotPetya.
В июле 2018 оператор ransomware успешно атаковал COSCO.
В апреле этого года неназванный вымогатель остановил ЦОДы Mediterranean Shipping Company.

И вот вчера CMA CGM в результате атаки Ragnar Locker отключили часть своих сервисов, в том числе систему бронирования контейнеров.

А Ragnar Locker - это друзья и партнеры по "картелю" русскоязычного владельца Maze, с которым они даже поделились техникой развертывания вымогателя в виртуальной машине, что помогает скрыть его активность по шифрованию файлов от антивирусных систем. А еще Ragnar Locker успешно зарансомили европейского энергетического гиганта Energias de Portugal, но мы про это не раз уже писали.

Такая вот драма. Шекспир и племянники (с)

Forbes просмотрели отчет о новой экономике в даркнете команды Armor TRU и раскопали информацию про хакерский университет HackTown, предлагающий в даркнете курсы по киберпреступности.

Изначально HackTown предлагает несколько бесплатных базовых курсов, но за плату в размере 125 долларов дает доступ к широкому набору "лекций", посвященных разным аспектам киберпреступной деятельности - как взламывать Wi-Fi, как развернуть RAT, как вывести украденные деньги, как брутфорсить, как организовать атаку MITM и пр. Причем курсы, согласно описанию HackTown, рассчитаны на людей, слабо разбирающихся в современных ИТ-технологиях. Эдакий "Хакинг для чайников".

Мы, значит, людей по CISSP сертифицируем, а мамкины хакеры в HackTown бегут. Хотя, скорее всего, это тупо разводка на деньги. Лох не мамонт даже в даркнете.

​​Мы кое-что очень интересное нашли.

Если помните - мы писали отдельный обзор, посвященный американской APT Equation, которая фактически является подразделением в составе Управления по компьютерным сетевым операциям (CNO) АНБ.

Еще тогда мы упоминали, что, судя по косвенным данным, Equation либо принимали непосредственное участие, либо оказывали техническую поддержку израильским спецслужбам в проведении операции Stuxnet против иранских центрифуг по обогащению урана. Этими данными было найденное Касперскими сходство между Stuxnet и принадлежащим американским хакерам вредоносом Fanny, а также утверждение хакеров из Shadow Brokers, сливших в сеть в 2016-2017 годах кучу внутренней информации Equation, в том числе пресловутые эксплойт EternalBlue и бэкдор DoublePulsar, использовавшиеся потом в WannaCry.

И вот аргентинский исследователь Факундо Муньос поподробнее изучил данные Сноудена, информацию Shadow Brokers, а также материалы расследования Касперских в отношении Equation, и сделал интересные выводы.

В двух частях своего исследования (раз и два) ресерчер показывает, что примерно в 2008-2009 годах Equation разработала два эксплойта, которые в дальнейшем были переданы разработчикам Stuxnet для усиления его возможности по распространению в атакованных сетях.

Шах и мат, аметисты! Все тайное рано или поздно становится явным.

Новостей про ransomware появляется так много, что приходится писать только про самые-самые. Например, про атаку на американскую страховую компанию Arthur J. Gallagher мы писать не будем, хотя у нее дохода под 7 млрд. долларов.

Мы напишем про всем известную швейцарскую часовую компанию Swatch Group. А если она кому-то неизвестна, то скажем, что кроме собственно марки Swatch швейцарцам принадлежит большинство известных у нас швейцарских же часовых брендов - Breguet, Omega, Longines, Blancpain, Tissot, Rado и другие. Выручка в 2019 году - почти 10 млрд. долларов (чуть меньше чем бюджет Молдавии).

В выходные Swatch Group обнаружили атаку на их ресурсы и были вынуждены отключить часть своих ИТ-систем для предотвращения ее развития.

Естественно, что такое отключение "повлияло на некоторые операции", как говорят представители Swatch.

С почти 100%-й вероятностью можно утверждать, что это атака ransomware. Какого конкретно, полагаем, станет известно в ближайшее время, поскольку Swatch заявили о своем намерении подать заявление в правоохранительные органы.

А между тем это уже пятая компания-миллиардер, которая была успешно атакована вымогателями за неделю. Кажется, владельцы ransomware полетят на Марс раньше Маска.

Напутали в прошлом посте. С учетом атаки ransomware Ragnar Locker на судоходного гиганта CMA CGM, Swatch - это не пятая, а шестая компания-миллиардер, атакованная вымогателями за неделю.

ESET анонсировали выступление на онлайн конференции VB2020 localhost, в котором обещают подробно рассказать про выявленный весной этого года вредонос Ramsay, предназначенный для атак на физически изолированные сети.

Мы писали про Ramsay в мае. Судя по данным, представленным тогда ESET, этот любопытный вредонос принадлежит APT DarkSeoul, предположительно работающей на южнокорейские спецслужбы. Сейчас обещают дать более широкую информацию по этому поводу.

Если у вас есть возможность - посмотрите обязательно. Ведь что может быть красивее и сложнее атак на air-gapped сети.

​​Как страшно жыть!

ESET сегодня выпустили отчет о новом вредоносном ПО для Android, которое использует APT-C-23 aka Two-tailed Scorpion (она же Desert Falcons, она же Arid Viper). Словаки назвали его SpyC23.A.

Вредонос имеет расширенный кибершпионский функционал и умеет читать мессенджеры, записывать звонки и изображение экрана, выполнять вызов при наложении черного экрана (чтобы скрыть сам факт вызова), а также обходить антивирусную защиту. Сейчас такие вредоносы модно называть MRAT - Mobile Remote Access Trojan (мы между собой решили называть их мразиш, ну вы в курсе).

Среди способов его распространения - через поддельные магазины приложений для Android. Совместно с MalwareHunterTeam словаки нашли один из таких магазинов - DigitalApps, который содержал как вредоносные, так и легальные Android-приложения.

SpyC23.A был спрятан в установщиках AndroidUpdate, Threema и Telegram. Вредонос устанавливался вместе с полнофункциональными приложениями. Интересно, что загрузка зараженных приложений была возможна только при предоставлении шестизначного кода купона - по всей видимости, для того, чтобы отфильтровать цели для взлома.

Судя по трем операторам сотовой связи (Jawwal, Wataniya, Estisalat), служебные номера которых SpyC23.A использует для получения данных о балансе SIM-карты зараженного устройства, вредонос ориентирован, в первую очередь, на пользователей из стран Ближнего Востока.

Еще из интересного - динамически изменяющиеся управляющие центры SpyC23.A маскируются под сайты, находящиеся на техническом обслуживании и все используют одно и то же изображение-заглушку.

Дадим немного информации о APT-C-23. ESET пишет, что впервые группа была выявлена китайскими исследователями в 2017 году, но это не так. AFAWK, первыми про эту палeстинскую группу, работающую предположительно на ХАМАС, написали в 2015 году исследователи из TrendMicro, когда расследовали кибероперацию Arid Viper против пяти израильских и одной кувейтской организаций.

Основная сфера заинтересованности APT-C-23, как мы уже говорили, это страны Ближнего Востока, особенно Израиль. Например, в минувшем феврале хакеры распространяли вредоносы под видом мобильного чата среди израильских солдат, для чего использовали шесть поддельных женских аккаунтов в соцсетях, среди которых - Сара Орлова и Марина Якобова. Мы писали про это здесь и, кстати, тогда тоже ошиблись, сказав, что APT-C-23 активна с лета 2018 года.

И еще один факт про Two-tailed Scorpion - в одном из источников утверждается, что хакерская группа проводила атаки, направленные на Россию. Мы с ходу подробной информации не нашли, но постараемся покопаться и если выудим что-нибудь стоящее - обязательно поделимся с подписчиками.

#APT #APTC23 #DesertFalcons

​​Британские исследователи из ClearSky нашли любопытную фишинговую приманку.

Ресерчеры обнаружили загруженный из Белоруссии на VT файл "СВЕДЕНИЯ О ПОДСУДИМОМ.rtf", содержащий дроппер, который впервые в дикой природе эксплуатирует CVE-2020-0968 в Internet Explorer.

Дальше начинаются странности. Во-первых, в качестве дефолтных языков в файле установлены Русский и Арабский (Саудовская Аравия). Во-вторых, британцы нашли подробный анализ подобного файла на китайском языке, который назван Операция Домино (не ищите, в сети на английском ничего подобного нет).

Но все-таки похоже на то, что спалили "белорусских Кибер Партизан", а скорее стоящую за ними западную спецслужбу. Тогда понятен интерес китайских исследователей к этой кибероперации.

Потому что вряд ли белорусские власти пытаются подманить оппозиционеров пустым шаблоном со сведениями о подсудимом в качестве приманки. А вот для неосторожных сотрудников органов такой фишинг - в самый раз.

А может это все наши фантазии.