Microsoft избавит владельцев аккаунтов от паролей
Microsoft планирует отучить пользователей от использования паролей для защиты аккаунта и задействовать более прогрессивные методы. По словам корпорации, в ближайшие недели владельцы Microsoft-аккаунтов смогут выбрать альтернативу паролям. В распоряжении пользователей окажутся следующие опции: использование ключей безопасности, коды верификации, доставляемые в СМС-сообщениях, система биометрической аутентификации Windows Hello, мобильное приложение Microsoft Authenticator. На самом деле, техногигант из Редмонда уже давно пытается отойти от парольной защиты, считая её устаревшим способом защиты учётных записей. Например, в марте Microsoft предоставила корпоративным пользователям Azure возможность использовать более продвинутые альтернативы. Системные администраторы, кстати, тоже осознают недостатки паролей, поскольку давно просят корпорацию лучше защитить аккаунты от брутфорса. Последний отлично работает в реальных кибератаках после публикации скомпрометированных данных на различных форумах. В блоге Microsoft представители компании отмечают рост числа атак на пользовательские пароли, которые на данный момент дошли до 579 в секунду. Ежегодно такие кибернападения могут доходить до 18 миллиардов попыток подбора учётных данных. Специалисты винят во всём сам принцип использования паролей, ведь пользователю приходится всё запоминать. Само собой, довольно часто человек не хочет ломать голову, а предпочитает использовать одинаковый пароль для разных учёток. К сожалению, так делать категорически нельзя.
Источник: https://www.anti-malware.ru/news/2021-09-15-111332/36945
Adobe устранила уязвимости в ColdFusion, Photoshop, Acrobat и Reader
Сентябрьский набор обновлений от Adobe содержит заплатки для 70 уязвимостей. Совокупно разработчик пропатчил 15 продуктов, в том числе Acrobat / Reader, Photoshop, ColdFusion и Experience Manager. Данных об использовании какой-либо из новых проблем в атаках на настоящий момент нет. Больше половины уязвимостей Adobe пометила как критические. Согласно принятому в компании ранжированию, это означает, что успешный эксплойт позволит незаметно для пользователя выполнить в системе вредоносный код. В программах семейства Acrobat таких дыр объявилось 13; по шкале CVSS они получили от 7,2 до 8,8 балла. Наиболее опасной признана ошибка переполнения буфера в куче (CVE-2021-39863). Суммарно обновления для Acrobat и Reader устраняют 26 уязвимостей; заплаткам присвоен приоритет 2, то есть их рекомендуется установить в течение месяца. В приложениях Photoshop 2020 и 2021 для Windows и macOS была выявлена лишь одна уязвимость — переполнение буфера, позволяющее выполнить любой код с правами текущего пользователя (7,8 балла по CVSS). Эксплойт осуществляется с помощью вредоносного файла, загруженного на сайт или высланного по почте. Поскольку злоумышленники обычно обходят вниманием этот продукт, обновление можно произвести в сроки по своему усмотрению. В платформе ColdFusion закрыты две уязвимости, грозящие обходом средств защиты. Производитель счел проблемы критическими; их оценки по CVSS одинаковы — 7,4 балла. Из прочих наиболее опасны ошибки доступа к памяти за концом буфера, найденные в следующих продуктах: InCopy, InDesign, Framemaker, Premiere Elements. В каждом случае уязвимость была оценена в 8,8 балла CVSS. Чуть менее критична (8,6) возможность инъекции команд в коде программы Adobe для чтения электронных книг — Digital Editions.
Источник: https://www.anti-malware.ru/news/2021-09-15-114534/36946
Инфостилер Formbook обошёл Trickbot в списке самых активных вредоносов
Специалисты команды Check Point Research (CPR) рассказали о самых распространённых вредоносных программах, атаки которых были отмечены в августе 2021 года. Свою статистику исследователи представили в отчёте Global Threat Index. В этот раз зловред Formbook, заточенный под кражу конфиденциальных данных, обошёл знаменитого Trickbot, который занимал первое место предыдущие три месяца. Интересно, что банковский троян Qbot, ранее также находившийся в рейтинге, теперь вышел из него. А всё потому, что операторы этой вредоносной программы летом значительно сбавили активность. А зловред Remcos, предназначенный для удалённого доступа, впервые попал в список Check Point и сразу занял шестое место. Что касается новичка — Formbook — его впервые обнаружили в 2016 году. Основная задача этого зловреда — добывать учётные данные из различных браузеров, также он умеет снимать скриншоты и фиксировать нажатия клавиш (функциональность кейлогера). Помимо этого, операторы Formbook могут использовать вредонос для загрузки и запуска файлов. Основной вектор доставки инфостилера — фишинговые письма, спекулирующие на теме коронавирусной инфекции COVID-19.
Источник: https://www.anti-malware.ru/news/2021-09-15-111332/36947
Техногигант Olympus подвергся атаке шифровальщика BlackMatter
Японская компания Olympus, крупный производитель оптического оборудования и фототехники, расследует киберинцидент, затронувший ее операции в Европе, Африке и на Ближнем Востоке. Как оказалось, в региональную сеть проник шифровальщик BlackMatter, и зараженные им системы пришлось временно отключить. Опубликованное Olympus заявление предельно лаконично. О том, что это была атака с использованием BlackMatter, узнал репортер TechCrunch. Он также выяснил, что вторжение произошло рано утром 8 сентября.
Источник: https://www.anti-malware.ru/news/2021-09-13-114534/36918
ИТ-инфраструктура MskHost взломана, данные клиентов украдены
Вчера, 12 сентября, хостинг-провайдер MskHost объявил о взломе. Хакеры пояснили, что это акт возмездия за игнорирование жалоб на абьюзы, и пообещали опубликовать в Telegram данные недобросовестных клиентов компании. Сервис MskHost существует уже два года, предоставляя подписчикам возможность приобрести виртуальные или выделенные серверы, а также зарегистрировать свой домен. Последнее время эти услуги стали все чаще вызывать у клиентов нарекания. Проблемы с доступом к хостингу, по данным «Хабр», начались после семи утра в воскресенье. На сайте MskHost взломщики установили редирект на свою страницу, где указаны причины поступка. Они также пообещали выложить в открытый доступ содержимое ящика abuse@msk.host(ссылка для отправки email) — как оказалось, там скопилось больше сотни непрочитанных жалоб на злоупотребления.
Источник: https://www.anti-malware.ru/news/2021-09-13-114534/36920
Google устранила две 0-day в Chrome, одиннадцать с начала 2021 года
Разработчики Google выпустили обновление браузера Chrome, в котором устраняются в общей сложности 11 уязвимостей. Но наибольшего внимания заслуживают две 0-day бреши, которые злоумышленники используют в реальных кибератаках. Уязвимости нулевого дня получили идентификаторы CVE-2021-30632 и CVE-2021-30633. Первая представляет собой проблему записи за пределами границ в JavaScript-движке V8, а вторая — “use after free” в API DB. О багах сообщили сторонние специалисты, пожелавшие остаться неназванными. В Google заявили, что корпорация в курсе наличия активных эксплойтов для CVE-2021-30632 и CVE-2021-30633, однако пока никто не спешит раскрывать детали этих кибератак и имя использующей эти дыры группировки. Таким образом, браузер Google Chrome получил заплатки уже для одиннадцати уязвимостей нулевого дня с начала 2021 года. Пользователям рекомендуют обновить интернет-обозреватель до версии 93.0.4577.82 в операционных системах macOS, Windows, Linux. Напомним, что в апреле на площадке Твиттера выложили информацию ещё об одной 0-day. В июне разработчики устранили седьмую уязвимость нулевого дня, а в июле — восьмую.
Источник: https://www.anti-malware.ru/news/2021-09-14-111332/36921
NPM-пакет с 3 млн еженедельных установок содержал опасную уязвимость
Популярный NPM-пакет «pac-resolver» затрагивала серьёзная уязвимость, приводящая к удалённому выполнению кода. Учитывая количество загрузок этого пакета — более трёх миллионов только за одну неделю, — масштабы бреши можно назвать огромными. В результате проблема затрагивала приложения, использующие Node.js и полагающиеся на зависимости с открытым исходным кодом. Согласно описанию разработчиков, pac-resolver представляет собой модуль, допускающий использование файлов конфигурации, написанных на JavaScript, и генерирующий специальную функциональность приложения. С помощью этой функции пользователь может настроить определённые домены на использование прокси. Опасную уязвимость в пакете pac-resolver обнаружил Тим Перри, который также уточнил, что выявленный баг позволяет злоумышленнику запустить произвольный код в локальной сети (в процессе Node.js). Уязвимость получила собственный идентификатор — CVE-2021-23406. По словам Перри, корень проблемы должен быть как-то связан с обработкой файлов формата Proxy Auto-Config (PAC). Эти файлы состоят из JavaScript-кода, с помощью которого указывается конфигурация прокси. Тим Перри опубликовал PoC-код для обнаруженной уязвимости, наглядно демонстрирующий, как потенциальный атакующий может выбраться за пределы песочницы модуля. Брешь особенно актуальна для версий pac-resolver ниже 5.0.0.
Источник: https://www.anti-malware.ru/news/2021-09-03-111332/36838
FIN7 атакует ритейлеров зловредными .doc, якобы созданными на Windows 11
Автором вредоносных рассылок, нацеленных на клиентов поставщика PoS-терминалов Clearmind Technology, вероятно, является криминальная группировка FIN7. К такому выводу пришли в Anomali, изучив содержимое вложений в письма злоумышленников с рекламой Windows 11 Alpha. Судя по именам зловредных файлов, их рассылка стартовала в конце июня и продолжалась весь июль. Конечной целью атакующих являлась установка JavaScript-бэкдора, позволяющего красть финансовую информацию. При открытии документа Microsoft Word, якобы призванного продемонстрировать возможности Windows 11, пользователю предлагалось для просмотра включить активный контент. Это действие запускало сильно обфусцированный макрос, загружающий на машину вредоносный JavaScript — вариант бэкдора, который FIN7 использует как минимум с 2018 года.
Источник: https://www.anti-malware.ru/news/2021-09-03-114534/36839
Positive Technologies: в России DevSecOps применяют более трети айтишников
По данным Positive Technologies, 45% российских ИТ-специалистов считают безопасную разработку кода (DevSecOps) полезной практикой, 56% готовы изучать этот подход даже на досуге, а 36% уже имеют определенные наработки в этой области. Опрос, показавший такие результаты, проводился среди посетителей интернет-портала Habr, тематических сообществ и Telegram-каналов, посвященных разработке программного обеспечения, технологиям, информационной безопасности. В нем приняли участие сотрудники отечественных компаний из сфер ИТ (69%), финансов (17%), промышленности (7%), а также государственных и других учреждений разной величины. Хотя пользу DevSecOps-практики признала почти половина респондентов, многие при этом отметили, что она подходит не всем компаниям. Ключевым элементом защиты любой организации DevSecOps назвали лишь 18% участников опроса.
Источник: https://www.anti-malware.ru/news/2021-09-03-114534/36840
Хитрый хакер украл 620 000 фото из iCloud, выдавая себя за сотрудника Apple
Житель города Ла Пуэнт в Лос-Анджелесе смог взломать тысячи аккаунтов iCloud и собрать в общей сложности более 620 тыс. фотографий и видеозаписей интимного характера. Правоохранители уже вычислили злоумышленника и предъявили ему обвинения. 40-летний Хао Ку Чи признал себя виновным по четырём статьям, включая несанкционированный доступ к устройству. Оказалось, что находчивый хакер выдавал себя за сотрудника службы поддержки Apple, что позволяло ему в электронной переписке с жертвами склонять их к выдаче Apple ID и пароля от него. В итоге Чи получил доступ к аккаунтам как минимум 306 пользователей, большую часть которых представляли девушки. Как отметил сам обвиняемый, взлом около 200 учётных записей ему заказали незнакомые люди в Сети. Действуя под псевдонимом «icloudripper4you», Чи предлагал свои услуги по проникновению в аккаунты iCloud. Правоохранителям он признался, что несанкционированный доступ был нужен для кражи фотографий и видеозаписей. Также подозреваемый подчеркнул, что опасается за свою дальнейшую жизнь и карьеру и не хочет, чтобы эта история серьёзно навредила ему. Чи раскаялся и отметил, что у него есть семья.
Источник: https://www.anti-malware.ru/news/2021-08-25-111332/36752
СёрчИнформ FileAuditor добавил разметку документов в MS Office
Компания «СёрчИнформ» представила обновление DCAP-системы «СёрчИнформ FileAuditor». Теперь система позволяет указать уровень конфиденциальности документов прямо в интерфейсе офисных приложений Microsoft Office. Например, если топ-менеджеры не хотят, чтобы документ с внутренними регламентами совета директоров смогли прочитать рядовые сотрудники, то смогут пометить соответствующие файлы – и система применит к ним требуемые ограничения. Задачу решают метки, которые можно присвоить файлу при работе с ним в Word, Excel, PowerPoint и т.д. Метки FileAuditor проставляются в один клик в панели управления офисным редактором и позволяют вручную задать один из пяти уровней конфиденциальности: «Общедоступный», «Для служебного пользования», «Секретно», «Совершенно секретно» и «Особой важности». Для каждой категории ручных меток доступны гибкие критерии защиты, которые в консоли FileAuditor централизованно настраивает служба ИБ. Например, можно установить правило, чтобы документы с меткой «Для служебного пользования» стало невозможно пересылать в Outlook, Telegram или любых других приложениях. Или запретить читать файл с меткой «Совершенно секретно» всем, кроме выбранных пользователей и групп. Также программа позволяет ограничить, на каких ПК и кому будет доступна расстановка таких меток – например, только высшему руководству компании
Источник: https://www.anti-malware.ru/news/2021-08-25-111332/36753
Детали эксплойта для Zoom, за который заплатили $200 000, доступны в отчёте
Исследователи в области кибербезопасности раскрыли подробности эксплойта для цепочки уязвимостей в Zoom, популярном сервисе для видеоконференций. Этот эксплойт позволял злоумышленникам удалённо выполнять код без взаимодействия с пользователем. Впервые эксплуатацию цепочки дыр специалисты компании Computest показали на конференции Pwn2Own, которая прошла 7 апреля 2021 года. Исследователи получили за это 200 тысяч долларов. После Pwn2Own информация о проблеме сразу же отправилась вендорам, а разработчики Zoom начали работать над патчем. Согласно сообщению, которое представители Zoom опубликовали 13 августа, уязвимость под идентификатором CVE-2021-34407 была устранена с выходом Zoom версии 5.6.3. Эксплойт Zoom также включал два дополнительных бага, один из которых был связан с обработкой GIPHY-сообщений, а другой приводил к раскрытию информации. Чтобы использовать их в атаке, киберпреступнику придётся отправить жертве серию специально созданных сообщений. При этом эксплойт активируется автоматически, а целевому пользователю для этого не обязательно предпринимать какие-либо действия. Исследователи и разработчики Zoom добавили, что для успешной атаки придётся заставить жертву принять запрос на стороннее подключение. На этой неделе специалисты Computest опубликовали технические детали выявленных уязвимостей и рассказали, как им удалось их обнаружить. Этот отчёт поможет другим исследователям в своих начинаниях.
Источник: https://www.anti-malware.ru/news/2021-08-25-111332/36755
После установки iOS 14.7.1 на iPhone пропадает сотовая связь
На форуме, посвящённом технической поддержке пользователей продукции Apple, появилось сразу несколько тем, в которых люди жалуются на минорное обновление iOS 14.7.1. Как отметили обратившиеся на форум лица, их устройства iPhone не могут подключиться к сотовой сети. Пользователи, которых затронул баг iOS 14.7.1, видят сообщение «нет сети». По этой проблеме также появились топики на форуме Apple для разработчиков. Пока ни сама корпорация, ни пользователи не могут сказать, по какому именно принципу баг актуален для одних смартфонов, но при этом обошёл стороной другие. Из сообщений обратившихся на форум техподдержки можно сделать вывод, что затронуты самые разные модели девайсов — от iPhone 6s до iPhone 12. При этом нет никаких сомнений в том, что причиной недоступности сети стало именно обновление до iOS 14.7.1. У Apple на этот случай есть самые разные советы: перезагрузить устройство, вытащить и обратно вставить сим-карту, сбросить настройки сети. Тем не менее ничего из вышеперечисленного не работает. Операторы сотовой связи приводят приблизительно те же рекомендации, однако выход, похоже, есть только один — ждать оперативного патча от Apple. Если вы ещё не устанавливали iOS 14.7.1, стоит отложить апдейт до выхода более стабильного релиза.
Источник: https://www.anti-malware.ru/news/2021-08-23-111332/36733
Готов бесплатный дешифратор для файлов, пострадавших от SynAck
Как всегда, специалисты компании Emsisoft радуют пользователей и организации выпуском дешифраторов, помогающих восстановить файлы после атак программ-вымогателей. В этот раз эксперты опубликовали утилиту для расшифровки файлов, пострадавших от SynAck. Чуть больше недели назад киберпреступная группировка, ранее управлявшая шифровальщиком SynAck, прекратила свои операции и параллельно выложила ключи для расшифровки пострадавших файлов. Операторы SynAck, отныне именующиеся El_Cometa, уточняют, что ключи подходят лишь для тех жертв, файлы которых были зашифрованы в период между июлем 2017 года и началом 2021-го. Проанализировав информацию, которую опубликовали злоумышленники, специалист в области кибербезопасности Майкл Гиллеспи пришёл к выводу, что ключи расшифровки настоящие — они действительно подходят для возврата файлов в прежнее состояние. Более того, операторы SynAck даже опубликовали инструкцию, которая должна помочь пользователям расшифровать файлы. Теперь любой желающий может скачать бесплатный дешифратор от Emsisoft, который полностью совместим со всеми вариантами программы-вымогателя. Воспользоваться дешифратором достаточно просто, нужно лишь соблюсти два условия: Подготовить записку с требованием выкупа. Обеспечить дешифратору доступ в Сеть.
Источник: https://www.anti-malware.ru/news/2021-08-23-111332/36735
Analyst1: Российские спецслужбы сотрудничают с операторами шифровальщиков
Компания Analyst1, занимающаяся кибербезопасностью, заявила, что российские спецслужбы взаимодействуют с известными операторами программ-вымогателей (шифровальщиков), которые помогают взломать государственные органы США. В частности, обвинения коснулись Федеральной службы безопасности России (ФСБ) и Службы внешней разведки России (СВР). Согласно отчёту Analyst1, ФСБ и СВР сотрудничают с участниками «многочисленных киберпреступных группировок». По словам исследователей, эти группы помогают российским спецслужбам создавать и разворачивать кастомные вредоносные программы, которые впоследствии используются в атаках на американские компании. Кибергруппировки якобы используют вариацию печально известной программы-вымогателя Ryuk, получившую собственное имя — Sidoh. Эксперты Analyst1 утверждают, что этот вредонос специально адаптирован под кибершпионаж. По данным исследователей, код зловреда был запущен в период между июнем 2019 года и январём 2020-го. Сама программа работала в фоновом режиме на компьютерах под управлением операционной системы Windows. Параллельно вредонос незаметно собирал конфиденциальные документы и фиксировал нажатия клавиш на клавиатурах. Одна из атак, описываемых исследователями, датируется октябрём 2020 года. По данным Analyst1, за этой кампанией стояла киберпреступная группировка EvilCorp. А спустя два месяца эту же цель поразила ещё одна группа — SilverFish, причём она использовала ту же инфраструктуру, те же скрипты и инструменты для взлома. Официальные представители Кремля пока никак не отреагировали на заявления Analyst1. Да и как тут можно реагировать, когда в очередной раз такие вот исследователи не предоставляют конкретных доказательств участия российских спецслужб в атаках на США.
Источник: https://www.anti-malware.ru/news/2021-08-16-111332/36684
Facebook ввёл сквозное шифрование для звонков в Messenger
Facebook ввёл сквозное шифрование (end-to-end encryption, E2EE) для голосовых и видеозвонков в Messenger. Примечательно, что текстовые чаты в этом же мессенджере получили E2EE ещё пять лет назад. Без сквозного шифрования не обходится общение ни в одном из современных сервисов. Платформы вроде Zoom, Microsoft Teams, а также мессенджеры вроде WhatsApp, Telegram, Signal — все они шифруют переписки пользователей. Как считают эксперты, сквозное шифрование на сегодняшний день способно наиболее надёжно защитить чаты, голосовые вызовы и видеозвонки пользователей от посторонних глаз. Не раз утверждалось, что даже сами владельцы и сотрудники сервисов обмена сообщениями не могут прочитать сообщения юзеров. Именно об этом заявила Рут Кричели, отвечающая за продвижение продукта Facebook Messenger:
Источник: https://www.anti-malware.ru/news/2021-08-16-111332/36685
Баги STARTTLS угрожают популярным почтовым клиентам: Mail.ru, Gmail, Exim
Исследователь в области кибербезопасности на этой неделе опубликовал интересный инструмент, способный зафлудить серверы Cobalt Strike, которые часто используются киберпреступными группировками. В процессе эксплуатации софт может исказить внутренние базы данных злоумышленников. Инструмент получил имя CobaltSpam, характерно отражающее его назначение. А за созданием тулзы стоит специалист по кибербезопасности Марио Хенкель https://twitter.com/HarioMenkel. Эксперт поведал изданию The Record, что за основу он взял проект компании SentinelOne — CobaltStrikeParser. Напомним, что последний создан для считывания информации с настроек серверов Cobalt Strike. Как объяснил Хенкель, его инструмент пингует сервер Cobalt Strike и регистрирует там новые «маяки» (beacons). Термин «beacons» используется в документации Cobalt Strike для обозначения системы, заражённой бэкдором Cobalt Strike. Основной замысел CobaltSpam заключается в противодействии атакующим, с его помощью у экспертов будет дополнительный инструмент для борьбы с кибергруппами. Например, специалисты после выявления сервера Cobalt Strike могут «забросать» его фейковыми данными, которые введут злоумышленников в заблуждение. По словам Хенкеля, инструмент работает достаточно быстро и при этом может генерировать 1-2 фейковых маяка в секунду. Таким образом, за ночь исследователи могут зафлудить вредоносный сервер десятками тысяч поддельных данных. Напомним, что в начале месяца эксперты выявили несколько DoS-уязвимостей в Cobalt Strike. С помощью этих дыр, как отметили специалисты, можно заблокировать каналы связи с командным сервером (C2) атакующих.
Источник: https://www.anti-malware.ru/news/2021-08-13-111332/36671
Эксперт создал CobaltSpam для флуда вредоносных серверов Cobalt Strike
Исследователь в области кибербезопасности на этой неделе опубликовал интересный инструмент, способный зафлудить серверы Cobalt Strike, которые часто используются киберпреступными группировками. В процессе эксплуатации софт может исказить внутренние базы данных злоумышленников. Инструмент получил имя CobaltSpam, характерно отражающее его назначение. А за созданием тулзы стоит специалист по кибербезопасности Марио Хенкель https://twitter.com/HarioMenkel. Эксперт поведал изданию The Record, что за основу он взял проект компании SentinelOne — CobaltStrikeParser. Напомним, что последний создан для считывания информации с настроек серверов Cobalt Strike. Как объяснил Хенкель, его инструмент пингует сервер Cobalt Strike и регистрирует там новые «маяки» (beacons). Термин «beacons» используется в документации Cobalt Strike для обозначения системы, заражённой бэкдором Cobalt Strike. Основной замысел CobaltSpam заключается в противодействии атакующим, с его помощью у экспертов будет дополнительный инструмент для борьбы с кибергруппами. Например, специалисты после выявления сервера Cobalt Strike могут «забросать» его фейковыми данными, которые введут злоумышленников в заблуждение. По словам Хенкеля, инструмент работает достаточно быстро и при этом может генерировать 1-2 фейковых маяка в секунду. Таким образом, за ночь исследователи могут зафлудить вредоносный сервер десятками тысяч поддельных данных. Напомним, что в начале месяца эксперты выявили несколько DoS-уязвимостей в Cobalt Strike. С помощью этих дыр, как отметили специалисты, можно заблокировать каналы связи с командным сервером (C2) атакующих.
Источник: https://www.anti-malware.ru/news/2021-08-13-111332/36671
СБУ ликвидировала сеть криптобирж, используемых для отмывания дене
Служба безопасности Украины (СБУ) ликвидировала сеть криптовалютных бирж, которые использовались для анонимизации транзакций с начала 2021 года. По данным оперативников, подпольными биржами пользовались более тысячи «клиентов». Нелегальные услуги, как правило, помогали недобросовестным гражданам отмывать средства, хранящиеся в российских электронных платёжных системах: Яндекс.Деньги, Qiwi и Webmoney. «Подпольные криптобиржи пользовались спросом, поскольку предоставляли возможность отмыть денежные средства при полной анонимности транзакций», — пишет сама СБУ. Ежемесячный объём отмываемых таким способом средств составлял 11 миллионов долларов. Стоит учитывать, что администраторы могли зарабатывать более $500 тысяч, поскольку за каждую транзакцию брали от 5 до 10%. Правоохранители провели обыски по пяти адресам, расположенным в Киеве. В результате сотрудники СБУ изъяли следующие устройства: Компьютеры и серверные машины, на которых находились доказательства нелегальной деятельности; Мобильные устройства с установленными VPN-клиентами; Документы и печати фиктивных компаний, зарегистрированных в Украине и используемых для отмывания денег; 37 330 долларов в наличных. «Среди клиентов подпольных криптобирж были одни из организаторов массовых протестов в Украине. Они получали деньги для оплаты услуг провокаторов», — добавили представители СБУ. В июле мы писали, что СБУ остановила крупнейшую криптомайнинговую операцию в стране. Полицейские изъяли 5 тыс. компьютеров и 3800 игровых консолей, участвовавших в этой операции.
Источник: https://www.anti-malware.ru/news/2021-08-13-111332/36675
Операторы SynAck выложили ключи для расшифровки файлов своих жертв
Киберпреступная группировка El_Cometa, ранее известная как SynAck опубликовала мастер-ключ, подходящий для расшифровки файлов жертв, системы которых были атакованы в период между июлем 2017 года и началом 2021-го. О ключах сообщило неизвестное лицо, представившееся одним из участников группы SynAck. Напомним, что эта группа стояла за распространением одноимённой программы-вымогателя. Исследователь вредоносных программ Майкл Гиллеспи, работающий в компании Emsisoft, подтвердил подлинность слитых ключей дешифровки. Гиллеспи рассказал изданию The Record, что ему удалось использовать эти ключи для возврата файлов в прежнее состояние.
Тем не менее ключи не рекомендуют использовать обычным пользователям, поскольку для расшифровки старых файлов нужна техническая подготовка. В любом другом случае есть риск повредить данные. Как отметил Гиллеспи, Emsisoft планирует выпустить собственный инструмент для дешифровки, который смогут использовать пользователи с любой подготовкой. Ожидается, что дешифратор появится в ближайшие дни.
Источник: https://www.anti-malware.ru/news/2021-08-13-111332/36677
Ключ расшифровки REvil выложили на российском хакерском форуме
Вы ещё не забыли о недавней кибератаке операторов шифровальщика REvil на американскую компанию Kaseya? Так вот, в этом деле появились новые подробности, поскольку специалисты в области кибербезопасности тестируют универсальный ключ дешифровки, который кто-то недавно опубликовал на одном из хакерских форумов. Ссылку на ключ запостил один из участников русскоязычного киберпреступного форума XSS. По словам экспертов, он как раз подходит для расшифровки файлов, пострадавших в ходе атаки на Kaseya.
Напомним, что Kaseya занимается разработкой софта для удалённого мониторинга и управления. В конце июля компания сообщила, что некий источник предоставил в её распоряжение декриптор, расшифровывающий файлы. Пост на площадке XSS, на который обратили внимание исследователи, содержит ссылку, ведущую на ключ дешифровки. Сейчас остаётся только гадать, связан ли конкретно этот декриптор с тем, что попал в руки Kaseya, поскольку компания отказалась комментировать публикацию на XSS. Отдельные специалисты посчитали, что выложенный на хакерской форуме ключ дешифровки может вернуть в прежнее состояние любые файлы, пострадавшие от REvil. Однако, скорее всего, это неправда, и ключ актуален только для конкретной кибератаки. Как отметил Аллан Лиска, жертвам REvil не стоит рассчитывать на расшифровку файлов с помощью выложенного ключа. Более того, большинство жертв программы-вымогателя уже успели восстановить свои системы. Напомним, что Kaseya опровергла информацию о выплате затребованного выкупа. По словам представителей американской компании, дешифратор оказался у неё благодаря третьей стороне, которая по понятным причинам не называется.
Источник: https://www.anti-malware.ru/news/2021-08-11-111332/36647
Вышел Firefox 91 с усовершенствованным механизмом удаления cookies
На этой неделе Mozilla выпустила новую версию популярного браузера Firefox 91. Релиз отметился усовершенствованным механизмом чистки файлов cookies, активированным по умолчанию HTTPS в «частном режиме» и патчами для нескольких опасных уязвимостей. Как только пользователь установит Firefox 91, браузер сразу будет использовать HTTPS при сёрфинге в частном режиме. Если же какой-либо веб-сайт не поддерживает безопасный протокол, Firefox будет использовать обычный HTTP. Разработчики отметили, что эта политика не будет касаться встроенных в веб-страницу компонентов: изображений, стилей, скриптов. Задача интернет-обозревателя — убедиться, что сама страница загружается в безопасном режиме. В ближайшие месяцы, однако, стоит ждать доработки функции HTTPS by Default, которую Mozilla планирует распространить и на контент. Другое важное нововведение в Firefox 91 — работа с файлами cookies, направленная на конфиденциальность пользователей. Отныне любители «лисы» смогут легче и гибче удалять cookies и их более мощных собратьев — supercookies.
Источник: https://www.anti-malware.ru/news/2021-08-11-111332/36653
Некоторые образцы трояна AdLoad обходят встроенную защиту Apple macOS
Новый образец вредоносной программы AdLoad, заточенной под работу в операционной системе macOS, способен обходить встроенную защиту — XProtect. Участие AdLoad в нескольких кампаниях зафиксировали специалисты SentinelOne. AdLoad — довольно распространённый троян у киберпреступников, атакующих macOS-компьютеры. Вредонос известен как минимум с 2017 года, а проникнув в систему, он может устанавливать дополнительный зловредный софт или нежелательные программы (PUA). Помимо этого, AdLoad собирает информацию о заражённой системе, которая позже отравляется на удалённые серверы, находящиеся под контролем злоумышленников. Как отметил Фил Стоукс из SentinelOne, массовые атаки с участием AdLoad набирают обороты с ноября 2020 года. Скачок этой активности зафиксирован в июле и начале августа 2021 года. Как только AdLoad попадает в macOS, он устанавливает веб-прокси по принципу «Человек посередине» (Man-in-The-Middle, MiTM), чтобы перехватывать поисковую выдачу и внедрять туда рекламу. Именно так операторы трояна зарабатывают деньги. Также вредоносная программа устанавливает LaunchAgents и LaunchDaemons и в некоторых случаях — задачи по крону, которые запускаются каждые два с половиной часа. Такой механизм позволяет AdLoad закрепиться в системе.
Источник: https://www.anti-malware.ru/news/2021-08-11-111332/36654
После Black Hat хакеры стали активно сканировать серверы Microsoft Exchange
После того как на конференции Black Hat специалисты осветили технические детали уязвимостей, способных привести к удалённому выполнению кода на серверах Microsoft Exchange (ProxyShell), киберпреступники ринулись эксплуатировать бреши в реальных кибератаках. Это ещё один повод всем задуматься над своевременным патчингом. Напомним, что ProxyShell — общее название, под которым специалисты объединили три уязвимости, позволяющие атакующим удалённо выполнить код на серверах Microsoft Exchange. Для этого надо связать все три бреши в атаке. Эксплуатация, само собой, тоже происходит удалённо, через Client Access Service (CAS), работающий на порте 443. Так выглядит список из трёх уязвимостей: CVE-2021-34473 — приводит к обходу ACL (пропатчена в апреле с выпуском апдейта KB5001779); CVE-2021-34523 — повышение прав в Exchange PowerShell Backend (пропатчена в апреле с выпуском KB5001779) CVE-2021-31207 — возможность записи в файл с последующим удалённым выполнением кода (пропатчена в мае с выпуском KB5003435). Подробности уязвимостей на конференции Black Hat рассказал исследователь из Devcore Principal Security Оранж Тсай. В частности, эксперт указал на один из атакуемых компонентов в связке эксплойтов — службу Microsoft Exchange Autodiscover. После выступления Тсая специалисты опубликовали статью, в которой приводятся технические детали эксплуатации ProxyShell. Такой расклад позволил тёмной стороне цифрового пространства использовать специальный URL — https[://]Exchange-server/autodiscover/autodiscover.json?@foo.com/mapi/nspi/?&Email=autodiscover/autodiscover.json%3F@foo(ссылка для отправки email)[.]com — который отлично подходит для детектирования уязвимых систем. Администраторам рекомендуют проверить IIS-логи на наличие пути «/autodiscover/autodiscover.json». Если он там есть, значит, ваш сервер сканировали на наличие возможных уязвимостей.
Источник: https://www.anti-malware.ru/news/2021-08-09-111332/36624#newsload
ИИ написал более эффективные фишинговые письма, чем человек
Небольшое исследование показало, что третье поколение алгоритма обработки естественного языка GPT-3 можно использовать вместе с платформами «ИИ как сервис» для массовых рассылок целевого фишинга. Более того, специалисты пришли к выводу, что искусственный интеллект способен составлять лучшие фишинговые письма, чем человек. На самом деле, исследователи уже давно спорят, выгодно ли злоумышленникам будет натренировать алгоритмы машинного обучения таким образом, чтобы они генерировали качественные фишинговые письма. Уже сейчас массовый фишинг весьма эффективен, при этом достаточно прост в исполнении и подготовке. Тем не менее организовать нечто вроде целевого фишинга уже гораздо сложнее, поскольку там должны учитываться индивидуальные особенности и потребности жертвы. Именно эту тему обсудили эксперты на конференциях Black Hat и Defcon. В частности, специалисты представили результаты своего эксперимента, в котором они сравнивали эффективность собственных фишинговых писем с тем, что создал искусственный интеллект. Оба типа электронных писем содержали ссылки, которые не являлись вредоносными в прямом смысле этого слова. Однако такие URL фиксировали каждый клик и каждый переход, давая исследователям подробную картину эффективности. В результате специалистов удивил тот факт, что люди куда охотнее кликали на ссылки в тех письмах, которые составил ИИ. Причём отрыв от подготовленных людьми сообщений был действительно значительный.
Источник: https://www.anti-malware.ru/news/2021-08-09-111332/36624
Ботоводы Mirai эксплуатируют уязвимость, затрагивающую миллионы роутеров
Экспертам в области кибербезопасности стало известно об активной эксплуатации уязвимости, затрагивающей миллионы маршрутизаторов. Как отметили специалисты, под угрозой находятся владельцы роутеров, работающих на прошивке Arcadyan. Стоящие за атаками злоумышленники пытаются набрать уязвимые устройства в свой ботнет Mirai. Для этого атакующие эксплуатируют критическую брешь под идентификатором CVE-2021-20090. По шкале CVSS баг получил 9,9 баллов из 10, а в случае успешного использования он позволяет удалённому преступнику обойти аутентификацию. Об атаках на маршрутизаторы рассказали специалисты Juniper Threat Labs, поскольку с февраля 2021 года они «ведут» киберпреступную группировку, известную своими атаками на IoT-устройства, и мониторят всю активность, связанную с подобными кампаниями. Среди уязвимых девайсов присутствуют десятки моделей роутеров производства совершенно разных компаний: Asus, British Telecom, Deutsche Telekom, Orange, O2 (Telefonica), Verizon, Vodafone, Telstra и Telus. Поскольку брешь затрагивает многие модели и производителей маршрутизаторов, эксперты считают, что в общей сложности под угрозой могут находиться миллионы пользователей. Примечательно, что об уязвимости первой рассказала компания Tenable, которая ещё в апреле опубликовала соответствующее предупреждение. А в начале августа уже вышел полноценный PoC-код (proof-of-concept). Более того, исследователи отметили, что CVE-2021-20090 существует уже по меньшей мере десять лет, а ранее дыра просочилась приблизительно на 20 моделей роутеров через цепочку поставок.
Источник: https://www.anti-malware.ru/news/2021-08-09-111332/36624#newsload
Ученые: электрошок и кибер-чип научили парализованную макаку ходить
Стимуляция спинного мозга при помощи электрического тока и особый комплекс упражнений вернул парализованной макаке способность самостоятельно передвигаться, несмотря на перенесенный разрыв позвоночника. 03.06.2021
