Search the Community
Showing results for tags 'прошлую'.
-
На минувшей неделе внимание общественности привлекли несколько инцидентов, в том числе взлом учетной записи сервиса Vevo на YouTube, очередные обвинения РФ в кибератаках и таинственное исчезновение 438 биткойнов, принадлежащих клиентам индийской биржи Coinsecure. Подробнее об этих и других событиях в кратком обзоре. В начале прошлой недели хакеры взломали учетную запись музыкального видеохостинга Vevo на YouTube и осуществили дефейс видеороликов ряда исполнителей, в том числе Шакиры, Селены Гомез, Дрейка и Тейлор Свифт. Злоумышленники, именующие себя Prosox и Kuroi'sh, изменили названия и обложки клипов и в ряде случаев заменили некоторые названия видео своими сообщениями, включая собственные псевдонимы наряду с призывом к «освобождению Палестины». По признанию одного из хакеров, дефейс был осуществлен «просто ради веселья». Глава Федеральной службы защиты конституции Германии Ханс-Георг Маасен заявил о «высокой вероятности» причастности российских властей к кибератакам на компьютерные сети правительства ФРГ в декабре минувшего года. При этом чиновник заявил, что у немецких властей нет доказательств причастности к атаке русскоязычной хакерской группировки APT28 (она же Fancy Bear, Sofacy, Pawn Storm и Sednit), подозреваемой в нападении на компьютерные сети нижней палаты Германии в мае 2015 года. Как стало известно в конце прошлой недели, индийская криптовалютная биржа «потеряла» 438 биткойнов (свыше $3 млн), принадлежащих ее пользователям. Согласно пояснению представителей компании, директор по безопасности биржи Амитабх Саксена снял некую сумму с целью перевести деньги клиентам, но «в процессе они куда-то пропали». Инцидент произошел 9 апреля нынешнего года. Пользователи заподозрили неладное, когда сайт Coinsecure внезапно перестал работать, а затем биржа прекратила принимать депозиты, сославшись на установку обновлений. Эксперты компании Menlo Security обнаружили интересную кампанию по распространению вредоносного ПО для хищения паролей FormBook, нацеленную на сектор финансовых и информационных услуг на Ближнем Востоке и в США. Отличительной особенностью данной кампании является использование многоступенчатого метода заражения, не требующего активации макроса в документах Microsoft Word, через которые распространялся вредонос. На прошедшей неделе владельцы серверов, использующих хостинг-панель VestaCP, начали массово сообщать об атаках на свои серверы. Проэксплуатировав уязвимость в VestaCP, злоумышленники осуществляли DDoS-атаки с помощью взломанных виртуальных серверов, направляя на жертв большой поток трафика. Специалистам компаний Abuse.ch, BrillantIT и Proofpoint удалось перехватить контроль над управляющей инфраструктурой одной из крупных сетей дистрибуции вредоносного ПО EITest. В состав сети вошло свыше 52 тыс. зараженных серверов. Эксперты BrillantIT смогли раскрыть метод подключения инфицированных сайтов к управляющей инфраструктуре и перехватить домен stat-dns.com, что позволило им захватить контроль над всей операцией EITest. Ежедневно ботнет обрабатывал трафик с более чем 52 тыс. зараженных сайтов, в основном ресурсов на WordPress.
-
- обзор
- инцидентов
-
(and 3 more)
Tagged with:
-
Прошедшая неделя ознаменовалась рядом инцидентов в области безопасности, в числе которых сообщения об атаках на критическую инфраструктуру различных стран, появление нового IoT-ботнета, кибертака на сеть криптовалюты Verge, возможная утечка данных клиентов авиакомпании Delta Air Lines и пр. Об этих и других событиях в кратком обзоре. На минувшей неделе специалисты команды Cisco Talos предупредили об атаках на объекты критической инфраструктуры по всему миру с использованием уязвимости в сетевых коммутаторах Cisco с поддержкой технологии SMI (Smart Install). По мнению экспертов, некоторые из этих атак были проведены группировкой, известной как Dragonfly, Crouching Yeti и Energetic Bear. Первые случаи эксплуатации данной уязвимости были зафиксированы в феврале 2017 года. В пятницу, 6 апреля, хакерская группировка JHT атаковала критическую инфраструктуру ряда стран, включая Иран и Россию, что привело к сбою в работе некоторых интернет-провайдеров, дата-центров и нескольких web-сайтов. Хакеры перезаписывали образ системы Cisco IOS и меняли конфигурационный файл, оставляя в нем сообщение с текстом: «Don't mess with our elections....» (Не вмешивайтесь в наши выборы) и изображением американского флага. Свои действия представители группировки пояснили тем, что «устали от атак поддерживаемых государством хакеров на США и другие страны». 3 апреля в системе управления перелетами Европейской организации по безопасности воздушной навигации (Евроконтроля) произошел масштабный сбой, из-за которого значительное количество рейсов были задержаны. Причины сбоя Евроконтроль не пояснил. На минувшей неделе эксперты Recorded Future сообщили о появлении нового ботнета, состоящего из более чем 13 тыс. устройств, в том числе «умных» телевизоров, web-камер и маршрутизаторов (в основном производства латвийской компании MikroTik). Жертвами ботсети уже стали три финансовые компании. Ботнет является разновидностью IoTroop и используется для осуществления DDoS-атак на финансовые фирмы. Как отметили специалисты, это самая масштабная кибератака со времен атаки ботнета Mirai в сентябре 2016 года. 4 апреля сеть криптовалюты Verge (XVG) подверглась мощной кибератаке, повлекшей за собой проблемы с майнингом у большинства пользователей. Воспользовавшись ошибкой в коде криптовалюты, неизвестный хакер смог обойти ограничение на выпуск блока раз в 30 секунд и добавлять новый блок в сеть каждую секунду. По оценкам пользователей, за три часа злоумышленник смог добыть криптовалюту на сумму более $1 млн, однако разработчики опровергли данное предположение, заявив, что непосредственно в блокчейн попала лишь часть блоков. Крупный авиаперевозчик Delta Air Lines предупредил о возможной утечке небольшой части платежных данных своих клиентов. Информация могла оказаться в руках хакеров в результате атаки на электронные системы одного из партнеров компании в сентябре-октябре 2017 года.
-
- обзор
- инцидентов
-
(and 3 more)
Tagged with:
-
Скандал вокруг новых уязвимостей в процессорах AMD, официальное обвинение РФ в атаках на электростанции в США, а также заявление премьер-министра Великобритании Терезы Мэй о возможном принятии мер (в числе которых могут быть и кибератаки) в отношении России стали наиболее обсуждаемыми событиями на минувшей неделе. Кроме того, не обошлось без сообщений о новых майнинговых кампаниях и ботнетах. Об этих и других инцидентах в кратком обзоре за период с 12 по 18 марта 2018 года. Не успела слегка утихнуть шумиха вокруг проблем Spectre и Meltdown, как эксперты в области безопасности огорошили общественность известием об обнаружении похожих уязвимостей в процессорах AMD Ryzen и EPYC. Исследователи израильской компании CTS-Labs выявили в чипах 13 уязвимостей, позволяющих получить доступ к высокочувствительной информации и установить вредоносное ПО. При этом исследователи отступили от общепринятой практики и предоставили производителю всего 24 часа на изучение проблемы и выпуск соответствующих патчей, чем вызвали немалое возмущение сообщества, заподозрившего CTS-Labs в обмане. Специалисты компании Trail of Bits, проводившие независимую экспертизу уязвимостей в процессорах AMD, подтвердили , что они действительно существуют, однако представляют меньшую опасность по сравнению со Spectre и Meltdown, так как их эксплуатация - сложный многоступенчатый процесс, который под силу только государственным хакерам, обладающим временем и значительными ресурсами. На минувшей неделе Министерство внутренней безопасности США и Федеральное бюро расследований предупредили об атаках «русских хакеров» на американские правительственные и коммерческие организации, а также на объекты критической инфраструктуры. Согласно отчету, опубликованному на сайте Компьютерной группы реагирования на чрезвычайные ситуации США (US-CERT), «русские хакеры» атакуют американские электростанции и другие объекты критической инфраструктуры по крайней мере с марта 2016 года. При этом ведомства не привели в докладе ни названия пострадавших компаний, ни размер причиненного им ущерба. Премьер-министр Великобритании Тереза Мэй потребовала от России объяснений, каким образом на британскую территорию попало сильнодействующее химическое оружие, использовавшееся в покушении на убийство полковника ГРУ Сергея Скрипаля и его дочери Юлии в Солсбери. Мэй дала России 24 часа на предоставление объяснений, в противном случае Великобритания намерена предпринять соответствующие меры, которые также могут включать в себя кибератаки. Киберпреступники продолжают проводить кампании по добыче криптовалют. В частности, специалисты компании Imperva сообщили о вредоносной кампании, в ходе которой злоумышленники атакуют серверы с СУБД PostgreSQL, устанавливая на них майнеры криптовалюты Monero. В качестве «приманки» они используют изображение голливудской актрисы Скарлетт Йоханссон. Кроме того, исследователи из Avast зафиксировали необычную кампанию, в рамках которой злоумышленники используют копии проектов на портале для разработчиков GitHub для распространения майнера криптовалюты. В Сети замечен новый ботнет, состоящий из порядка 5 млн Android-устройств. Для создания ботсети злоумышленники применяют вредоносное ПО RottenSys. По скорости заражения RottenSys превосходит большинство вредоносных программ для Android-устройств. Этим вредонос обязан двум проектам с открытым исходным кодом, опубликованным на GitHub. Первый проект, Small, представляет собой фреймворк для виртуализации приложений, а второй, MarsDaemon, делает приложения «бессмертными». На прошедшей неделе эксперты Forcepoint зафиксировали новую вредоносную кампанию, нацеленную на организации по всему миру. В ходе атак злоумышленники используют новый опасный троян Qrypter. В общей сложности исследователи выявили три таких кампании, затронувшие 243 организации по всему миру. Qrypter предоставляет злоумышленникам широкий спектр возможностей, в том числе подключение к удаленному рабочему столу, доступ к web-камерам, манипулирование файловой системой, установка дополнительных файлов и управление диспетчером задач. Авторы трояна предлагают вредонос в рамках модели «вредоносное-ПО-как-услуга» (Malware-as-a-Service, MaaS). Стоимость месячной аренды составляет $80. В качестве возможных способов оплаты указаны PerfectMoney, Bitcoin-Cash и Bitcoin. Помимо этого, можно приобрести трехмесячную или годовую подписку по сниженной цене.
-
- обзор
- инцидентов
-
(and 3 more)
Tagged with:
-
Прошедшая неделя ознаменовалась рядом событий, наиболее громкими из которых стали очередное обвинение в адрес пресловутых «русских хакеров», обнаружение майнинговой кампании с использованием вычислительных мощностей производителя электромобилей Tesla и хищение порядка $2 млн у индийского банка City Union Bank. Об этих и прочих инцидентах в кратком обзоре. Ситуация вокруг хакерской атаки на компьютеры зимней Олимпиады-2018, прошедшей в южнокорейском Пхенчхане, набирает обороты. Как сообщило издание The Washington Post, по мнению американской разведки, «российские военные хакеры» взломали несколько сотен компьютеров на зимних Олимпийских играх, причем попытались обставить атаку так, чтобы подозрение упало на КНДР. Мотивом атаки представители спецслужб назвали месть за решения Международного олимпийского комитета, отстранившего национальную сборную России от участия в Олимпийских играх. Как полагают эксперты из американских спецслужб, в начале февраля российские военные из ГРУ (Главное разведывательное управление) имели доступ к 300 компьютерам на Олимпиаде в Южной Корее. Добытчики криптовалюты не устают искать новые пути заработка, и все чаще под их прицел попадают крупные компании. В частности, неизвестные хакеры проникли в облачную среду компании Tesla через незащищенную консоль Kubernetes и, воспользовавшись учетными данными для сервисов Amazon Web Service компании, запустили скрипты для тайного майнинга криптовалюты. Как отметили исследователи из RedLock, обнаружившие криптомайнинговую операцию, жертвами майнеров стали не только Tesla, но и крупная британская страховая компания Aviva, а также крупнейший в мире производитель SIM-карт Gemalto. К слову, эксперты израильской компании Votiro обнаружили еще один метод майнинга криптовалюты – с помощью файлов Microsoft Word. Речь идет о функционале, позволяющем добавлять в файлы Word видео из интернета без необходимости встраивать собственно видео в документ. Злоумышленники могут проэксплуатировать этот механизм для загрузки JS-скриптов для майнинга криптовалюты Monero. Невзирая на захлестнувшую мир криптовалютную лихорадку, в сфере основных интересов хакеров по-прежнему остаются банки. В частности, из-за неизвестных киберпреступников индийский банк City Union Bank лишился $1,8 млн. Злоумышленникам удалось вывести средства с помощью банковской системы SWIFT. Мошеннические транзакции были обнаружены 7 февраля в процессе сверки. Один из переводов в размере $500 тыс. удалось своевременно выявить и заблокировать. Однако злоумышленникам удалось успешно провести два других платежа, перечислив средства на счета в банках Турции и Китая. Как стало известно на минувшей неделе, жертвами хакеров стали пользователи дистрибутива Mageia. Злоумышленники скомпрометировали сервер Mageia, похитили базу данных, включавшую логины, хэши паролей и электронные адреса пользователей, и опубликовали ее в Сети. Как именно преступникам удалось прочитать содержимое LDAP-каталога в обход настроек ограничения доступа, в настоящее время неизвестно.
-
- обзор
- инцидентов
-
(and 3 more)
Tagged with:
-
В последнее время практически ежедневно появляются сообщения об инцидентах, в той или иной мере связанных с криптовалютой. Минувшая неделя также не стала исключением, в частности, в результате действий киберпреступников пострадали пользователи сервиса BeeToken и владельцы криптовалюты IOTA. Прошедшая неделя также не обошлась без сообщений об атаках северокорейских хакеров и утечках данных. Предлагаем вашему вниманию краткий обзор главных событий за период с 29 января по 4 февраля 2018 года. Криптовалюта продолжает оставаться одной из основных сфер интересов киберпреступников. Злоумышленники не только воруют криптовалюту у различных сервисов, но и создают ботнеты для добычи виртуальных денег за счет пользователей. К примеру, исследователи в области кибербезопасности обнаружили два таких ботнета. Первый включает 4,4 тыс. зараженных серверов Redis и OrientDB и используется злоумышленниками для майнинга криптовалюты Monero. С марта 2017 года ботсеть принесла свои операторам $925 тыс. Второй ботнет под названием Smominru (также известен как Ismo) активен по меньшей мере с мая минувшего года и уже успел инфицировать более полумиллиона устройств, основную часть из которых составляют серверы, работающие под управлением уязвимых версий ОС Windows. По данным специалистов Proofpoint, создателям ботнета уже удалось добыть порядка 8,9 тыс. Monero, стоимостью $3,6 млн. Примечательно, что для распространения майнера криптовалюты операторы используют эксплоит EternalBlue из арсенала хакерской группировки Equation Group, утекшего стараниями хакеров The Shadow Brokers в 2017 году. Операторы Smominru – не единственные, кто применяет данный эксплоит для распространения майнеров. Недавно EternalBlue был замечен в атаках WannaMine. Вредоносное ПО WannaMine, предназначенное для тайного майнинга криптовалюты Monero с использованием мощностей зараженных компьютеров, впервые было обнаружено специалистами Panda Security в октябре 2017 года. По сообщению специалистов CrowdStrike, за последние несколько месяцев число заражений WannaMine существенно возросло. На прошедшей неделе стало известно о двух фишинговых кампаниях, направленных на пользователей криптовалют. В ходе одной из них злоумышленники похитили у потенциальных инвесторов платформы BeeToken, позиционирующей себя как сервис для краткосрочной аренды жилья за криптовалюту, более $1 млн в криптовалюте Ethereum. В рамках второй схемы неизвестный хакер создал фишинговый сайт, с помощью которого собрал у жертв закрытые ключи их криптовалютных кошельков и украл хранящиеся в них средства. На момент взлома стоимость похищенной злоумышленником криптовалюты IOTA составляла около $3,94 млн. Как оказалось, жертвами похитителей криптовалюты могут стать не только простые пользователи, но и сами злоумышленники. К примеру, сервис Onion.top, позволяющий получить доступ к сети Тор без установки соответствующего браузера, был замечен в подмене адресов биткойн-кошельков на вымогательских сайтах. Onion.top тайно анализировал загружаемые через портал web-страницы на предмет строк, выглядящих как адреса биткойн-кошельков, после чего заменял их одним из кошельков операторов сервиса. Эксперты заметили подобное поведение на сайтах программ-вымогателей LockeR, Sigma и GlobeImposter. Недавно в Сети был замечен новый IoT-ботнет JenX (производное от Jennifer – названия вредоносного ПО, использующегося для заражения маршрутизаторов), в основном применяющийся для атак на игроков в online-игру Grand Theft Auto на определенных бесплатных серверах. Как полагают эксперты, за созданием ботнета стоит группировка Los Calvos de San Calvicie, которая эксплуатирует уязвимости в прошивках устройств RealTek и Huawei HG532 для пополнения «зомби»-сети. В настоящее время JenX включает в себя небольшие домашние и офисные маршрутизаторы. В качестве побочного бизнеса операторы JenX предлагают мощности ботнета для осуществления DDoS-атак на заказ. Хакеры из Северной Кореи продолжают оттачивать свое мастерство. Как стало известно, злоумышленники атаковали ведущего израильского поставщика электроэнергии – «Электрическую компанию Израиля» (ЭКИ). По словам представителей корпорации, реального ущерба кибератаки не нанесли, однако хакеры использовали серьезное вредоносное ПО, а уровень подготовки атакующих был весьма высоким. Предположительно, данные атаки проводились в учебных целях для отработки новейших технологий и методик взлома, поскольку считается, что ЭКИ имеет одну из лучших в мире систем по защите от киберугроз. Правительство Австралии продемонстрировало , что утечки данных могут случаться не только по вине хакеров, халатности сотрудников или неадекватной защиты компьютерных систем, но и из-за утерянных ключей от картотек. Согласно сообщениям в СМИ, сотрудники австралийского правительства сдали в магазин подержанной мебели два шкафа-картотеки, в которых находились конфиденциальные документы пяти правительств страны, так как потеряли от них ключи. Покупателю шкафов удалось открыть их с помощью электродрели. По заявлению представителей премьер-министра и Кабмина, ведется расследование инцидента.
-
- обзор
- инцидентов
-
(and 3 more)
Tagged with:
-
Прошедшая неделя оказалась довольно насыщенной событиями: в их числе хищение внушительной суммы средств у одной из крупнейших японских криптовалютных бирж Coincheck, хакерская атака на канадскую транспортную компанию Metrolinx, утечка данных более 100 тыс. клиентов канадского оператора связи Bell, появление нового IoT-ботнета и пр. Об этих и других инцидентах краткий обзор за период с 22 по 27 января 2018 года. Самым резонансным событием прошлой недели стал взлом японской криптовалютной биржи Coincheck и хищение 58 млрд иен ($533 млн) в криповалюте NEM (XEM). На сегодняшний день это самая масштабная кража средств за всю историю криптовалютных бирж. Как сообщается, руководство биржи не придавало значения советам об использовании технологии MultiSi. Речь идет о системе из нескольких ключей-паролей, которые нужны для снятия денег со счета. Помимо этого, счета клиентов хранились не на изолированном от интернета компьютере. Злоумышленники продолжают эксплуатировать тему криптовалют с целью заставить пользователей загрузить на свои устройства вредоносное ПО. В частности, исследователи в области безопасности выявили новую мошенническую схему, в рамках которой преступники распространяют вымогательское ПО под видом кошелька для криптовалюты Spritecoin. После установки программа-вымогатель шифрует файлы на компьютере жертвы и требует выкуп в размере 0,3 Monero. Примечательно, если жертва все же заплатит выкуп, на ее компьютер будет установлено дополнительное вредоносное ПО, способное собирать данные, анализировать изображения и активировать web-камеру. Эксперты рассказали о появлении нового IoT-ботнета Hide 'N Seek (HNS), включающего порядка 14 тыс. устройств, в основном IP-камер. В отличие от остальных IoT-ботнетов, появившихся за последние несколько недель, HNS не имеет отношения к Mirai и больше похож на Hajime. По словам исследователей, HNS – вторая после Hajime ботсеть с пиринговой архитектурой. Однако, если у Hajime в основе P2P-архитектуры лежит протокол BitTorrent, то у HNS она базируется на кастомизированном P2P-механизме. Как сообщили СМИ на прошлой неделе, от действий хакеров пострадали сразу две крупные канадские компании – Metrolinx и Bell Canada. В частности, транспортное предприятие Metrolinx стало жертвой северокорейских хакеров, инфицировавших компьютеры компании вредоносным ПО, запущенным через Россию. В результате инцидента ни одна система скомпрометирована не была, утечка данных также не имела место. В целях безопасности подробности атаки не разглашаются. Во втором случае хакеры похитили персональные данные более 100 тыс. клиентов телекоммуникационной компании Bell Canada, включая сведения об именах, адресах электронной почты, номерах телефонов и регистрационных номерах. Финансовая информация клиентов оператора в результате инцидента не пострадала. Минувшая неделя не обошлась и без громких обвинений в адрес РФ. Министр обороны Великобритании Гэвин Уильямсон заявил о том, что в настоящее время Россия якобы изучает британскую критическую инфраструктуру, в частности, как она связана с электростанциями на материке. Это нужно для осуществления атак с целью посеять в стране «панику» и «хаос», отметил министр. В беседе с The Sunday Times источники издания в британской разведке отметили, что в своем заявлении министр мог использовать засекреченные сведения, полученные от союзников Великобритании, а также назвали слова Уильямсона «дилетантскими», так как «никто никогда не заходил так далеко в количественных оценках потенциального риска смерти людей в случае разрушительной атаки на британскую инфраструктуру со стороны России или любой другой враждебно настроенной страны». В конце недели издание deVolkskrant опубликовало материал, в котором утверждалось, что сотрудники нидерландской разведки порядка 2,5 лет шпионили за российской хакерской группировкой Cozy Bear (она же APT29), подозреваемой в атаке на серверы Демократической партии США во время предвыборной кампании в 2016 году. Агенты AIVD проникли в компьютерную сеть Cozy Bear и в период с 2014 по 2017 годы передавали полученную информацию Агентству национальной безопасности (АНБ) и Федеральному бюро расследований (ФБР) США. Как утверждает издание, переданные ФБР данные стали одной из причин, по которой в США было инициировано расследование по поводу предполагаемого вмешательства РФ в президентскую гонку.
-
- обзор
- инцидентов
-
(and 3 more)
Tagged with:
-
Киберпреступники не сидят сложа руки и продолжают организовывать вредоносные кампании, преследующие различные цели. На минувшей неделе стало известно сразу о нескольких подобных операциях, включая кампании по распространению мощного инфостилера для Android и вредоносного ПО Zyklon. После новогоднего затишья также активизировались ботнеты Satori и Necurs, причем последний был замечен в несколько необычной для него деятельности. Об этих и других событиях, произошедших в мире ИБ в период с 15 по 21 января 2018 года, в данном обзоре. В начале минувшей недели исследователи из «Лаборатории Касперского» сообщили об обнаружении мощного шпионского ПО для Android-устройств, окрещенного Skygofree по одному из доменных имен, использовавшихся в кампании. ПО обладает исключительными возможностями, такими как получение прав суперпользователя с помощью нескольких эксплоитов, сложная структура полезной нагрузки, а также нигде ранее не встречавшаяся функция записи звука в заранее определенных местах. Все обнаруженные ЛК кампании по распространению Skygofree проводились исключительно в Италии, а его жертвами стали только итальянские пользователи. Как полагают эксперты, создателем вредоносной программы может быть итальянская компания, специализирующаяся на разработке инструментов для слежения. Исследователи из Trend Micro раскрыли подробности масштабной кампании по распространению вредоносного ПО для Android-устройств, похищающего учетные данные пользователей Facebook и агрессивно отображающего рекламу. Вредонос, названный GhostTeam по одной из обнаруженных в коде строк, распространялся через Google Play Store и мог быть загружен сотнями тысяч ничего не подозревавших пользователей. Во второй половине минувшего года исследователи в области кибербезопасности описали ряд уязвимостей в пакете Microsoft Office, которые киберпреступники немедленно взяли на вооружение. Специалисты FireEye выявили кампанию по распространению бэкдора Zyklon, в рамках которой злоумышленники эксплуатируют сразу три проблемы - CVE-2017-8759 в .NET Framework, CVE-2017-11882 в редакторе формул Microsoft Equation, а также функцию Dynamic Data Exchange (DDE). Вредоносная программа способна записывать нажатия клавиш, собирать пароли, а также загружать и устанавливать дополнительные плагины для майнинга криптовалют и извлечения паролей. Правозащитная организация Electronic Frontier Foundation и компания по кибербезопасности Lookout опубликовали совместный отчет, в котором пролили свет на деятельность группировки Dark Caracal, похитившей сотни гигабайт данных у жертв по всему миру с помощью фишинговых кампаний и несложного вредоносного ПО. Объектами атак ливанских хакеров стали чиновники, военные, сотрудники коммунальных компаний, финансовых учреждений, промышленных компаний, а также оборонные подрядчики. Группировка использовала как хорошо известные вредоносные программы для ОС Windows, так и специальное шпионское ПО FinFisher. Хакеры также разработали собственный вредонос для Android, получивший название Pallas. После праздничного перерыва возобновили свою активность ботнеты Satori и Necurs, причем оба вовлечены в деятельность, связанную с криптовалютой. Новый вариант вредоносного ПО Satori инфицирует оборудование для майнинга криптовалюты с установленным ПО Claymore и заменяет пул и адрес кошелька владельца на адрес и пул злоумышленников. Что касается Necurs, на минувшей неделе ботнет был замечен в распространении огромного количества спама в рамках мошеннической схемы pump-and-dump («накачка и сброс»), продвигающей малоизвестную криптовалюту SwissCoin. Прошедшая неделя не обошлась без кражи средств у очередного криптовалютного сервиса. На сей раз жертвой стал сервис BlackWallet.co, предоставляющий web-кошельки для криптовалюты Stellar Lumen (XLM). Неизвестные взломали DNS-сервер BlackWallet и похитили более $400 тыс. со счетов пользователей. Полицейская служба безопасности Норвегии (Politiets sikkerhetstjeneste, PST) заподозрила хакеров, работающих на иностранные разведслужбы, во взломе компьютерной сети регионального управления здравоохранения в начале января нынешнего года. В ведомстве не уточнили, удалось ли злоумышленникам получить доступ к данным о состоянии здоровья граждан страны или другой конфиденциальной информации.
-
- обзор
- инцидентов
-
(and 3 more)
Tagged with:
-
На минувшей неделе внимание общественности привлек ряд событий, в числе которых публикация хакерской группировкой Fancy Bears переписки нескольких членов Международного олимпийского комитета (МОК), новые кампании по распространению банковских троянов ZeuS и FakeBank и прочие инциденты. Предлагаем вашему вниманию краткий обзор главных происшествий в мире ИБ в период с 8 по 14 января 2018 года. На прошедшей неделе хакерская группировка Fancy Bears вновь заявила о себе громкой публикацией переписки ряда членов Международного олимпийского комитета (МОК). Согласно обнародованным документам, между МОК и Всемирным антидопинговым агентством (World Anti-Doping Agency, WADA) ведется борьба за влияние на мировой спорт. Хакеры также выяснили, что расследование употребления российскими спортсменами допинга носило политический характер и должно было дискредитировать МОК. Вскоре после публикации эксперты ИБ-компании ThreatConnect предупредили о возможных атаках группировки на Олимпиаду-2018 в Пхенчхане (Южная Корея). На минувшей неделе также появилась информация о двух новых кампаниях по распространению банковского вредоносного ПО ZeuS и FakeBank. В рамках первой злоумышленники распространяли одну из разновидностей ZeuS через сайт украинского разработчика программного обеспечения для бухгалтерского учета Crystal Finance Millennium (CFM). Эксперты компании Cisco отметили сходство данного инцидента со взломом серверов компании «Интеллект-сервис» летом 2017 года, в ходе которого в бухгалтерское ПО M.e.doc был внедрен бэкдор, позволивший осуществить атаки с использованием вымогательского ПО NotPetya. Однако, в отличие от NotPetya, данная версия ZeuS распространялась не через уязвимый сервер, а через сайт компании CFM с помощью загрузчика вредоносного ПО, который жертва получала в виде вложения по электронной почте. Вторая кампания, в ходе которой распространялось новое вредоносное ПО FakeBank, была направлена на российских пользователей, в основном клиентов «Сбербанка», «Лето Банка», «ВТБ24» и других российских банков. FakeBank маскируется под набор приложений для управления SMS/MMS и перехватывает SMS-сообщения для последующего хищения средств пользователей. В новом году тема майнинга криптовалюты продолжает быть актуальной. В частности, специалисты компании AlienVault сообщили об обнаружении нового загрузчика, устанавливавшего майнер криптовалюты, который отправлял добытые средства на серверы в Университете имени Ким Ир Сена в Пхеньяне (Северная Корея). Вредоносный загрузчик, впервые выявленный в конце декабря 2017 года, предназначен для установки xmrig – майнера криптовалюты Monero с открытым исходным кодом. Прошедшая неделя не обошлась без обвинений в адрес российских хакеров. Так, в Центральной разведывательном управлении США заподозрили Россию в кибератаке с использованием шифровальщика NotPetya на Украину в июне 2017 года. Тогда от атаки пострадали не только украинские, но и российские компании. Согласно публикации издания The Washington Post, сославшегося на секретные документы ЦРУ, ведомство с «высокой степенью достоверности» считает, что за атакой вируса NotPetya на Украину стоят хакеры российского Минобороны, а именно внешней разведки — Главного управления Генштаба (бывшее ГРУ). По мнению основателя компании по кибербезопасности Rendition Infosec Джейка Уильямса, целью атаки NotPetya был «подрыв финансовой системы Украины».
-
- обзор
- инцидентов
-
(and 3 more)
Tagged with:
-
Минувшая неделя ознаменовалась рядом инцидентов в России и в мире, в числе которых первая в РФ успешная атака на банк с использованием международной межбанковской системы SWIFT, ставшие уже привычными атаки на криптовалютные биржи, арест членов группировки, распространявшей вымогательское ПО, а также масштабные утечки данных. Об этих и других событиях в мире ИБ в период с 18 по 24 декабря 2017 года пойдет речь в кратком обзоре. В начале прошедшей недели в СМИ появилась информация о первой в России успешной кибератаке на банк, в ходе которой хакерская группировка Cobalt для вывода средств использовала международную систему передачи финансовой информации SWIFT. Как выяснилось позже, атака оказалась успешной лишь частично , так как в банке своевременно заметили подозрительные транзакции на большие суммы (в том числе в валюте). «Глобэкс» оказался не единственным банком, оказавшимся под прицелом Cobalt. В минувшие выходные стало известно, что хакеры также атаковали «Севастопольский Морской банк». По одним данным, злоумышленники похитили более 10 млн рублей, по другим - 24 млн рублей. Хакеры не теряют интерес к криптовалюте и всему, что с ней связано. 20 декабря децентрализованная криптовалютная биржа EtherDelta сообщила о хакерской атаке, в результате которой злоумышленникам удалось получить доступ к ее DNS-серверу. Кроме того, возросла активность северокорейских хакеров, в последнее время также переключившихся на криптовалютные биржи и пользователей криптовалюты. В частности, исследователи безопасности из Proofpoint обнаружили новую вредоносную кампанию, направленную против организаций, компаний и частных пользователей, владеющих криптовалютой, в рамках которой злоумышленники загружали на системы жертв бэкдор Gh0st RAT. По мнению экспертов, за атаками стоит киберпреступная группировка Lazarus, предположительно связанная с правительством КНДР. Киберпреступники не устают изобретать новые способы распространения программ для добычи криптовалюты, в одной из кампаний они использовали мессенджер Facebook для установки вредоносного ПО Digminer, предназначенного для майнинга Monero. По данным специалистов Trend Micro, кампания в основном направлена на пользователей из Украины, Азербайджана, Вьетнама, Южной Кореи, Филиппин, Таиланда и Венесуэлы. В рамках другой операции злоумышленники атаковали сайты на WordPress по всему миру в целях установки майнера криптовалюты Monero. Для взлома ресурсов атакующие использовали брутфорс. Согласно словам экспертов компании WordFence, злоумышленники атаковали свыше 190 тыс. сайтов, в рамках кампании им удалось заработать порядка $100 тыс. в криптовалюте. В минувшую среду Европол сообщил об аресте участников группировки, занимавшейся распространением вымогательского ПО CTB-Locker и Cerber. Хакеры арендовали программы по бизнес-модели «вымогательское ПО как услуга» (Ransomeware as-a-Service, RaaS) и распространяли их посредством электронной рассылки, замаскированной под накладные. 70% от суммы выкупа оставалось в руках злоумышленников, остальные 30% они отправляли разработчикам вредоносов. На прошедшей неделе стало известно сразу о нескольких масштабных утечках данных. В частности, из-за некорректно настроенного сервера Amazon S3, принадлежащего компании по сбору и анализу данных Alteryx, в открытом доступе оказалась информация о 123 млн американских домохозяйств. На сервере хранились данные, принадлежащие партнерам Alteryx, в том числе кредитного агентства Experian и Бюро переписи населения США. Некорректно настроенный сервер был расположен на поддомене alteryxdownload. В частности в Сети оказалась маркетинговая база данных Experian ConsumerView и информация переписи населения США 2010 года. 21 декабря японский автопроизводитель Nissan предупредил об утечке персональных данных 1,13 млн своих клиентов. Утечка произошла в результате взлома компьютерной сети финансового отдела канадского подразделения компании. Исследователи безопасности из компании Kromtech сообщили об утечке данных более 19 млн американских избирателей из штата Калифорния. Данные оказались в открытом доступе в Сети из-за некорректно настроенной базы MongoDB и впоследствии были похищены злоумышленниками. Хакеры использовали автоматический скрипт для сканирования интернета на предмет незащищенных баз данных MongoDB, после чего удаляли их содержимое и требовали выкупв размере 0,2 биткойна за восстановление данных. Прошедшая неделя не обошлась и без курьезов. Австралийская федеральная полиция (Australian Federal Police, AFP) случайно транслировала в сервис Periscope обсуждение операции по аресту человека, подозреваемого в шпионаже для северокорейского правительства. Трансляция продлилась около минуты и не содержала подробностей, позволяющих идентифицировать фигуранта расследования, однако журналистам все же удалось услышать ряд важных подробностей брифинга.
-
- обзор
- инцидентов
-
(and 3 more)
Tagged with:
-
На минувшей неделе внимание общественности привлекли несколько событий, в том числе кибератака на крупнейшую криптовалютную биржу Bitfinex, предупреждение о возможной атаке на Украину, сообщение о новой криптографической атаке ROBOT, к которой уязвимы более двух десятков популярных сайтов, включая Facebook и PayPal, утечка учетных данных 200 тыс. эстонцев и пр. Предлагаем краткий обзор главных событий в мире ИБ за период с 11 по 17 декабря 2017 года. На фоне стремительного подорожания криптовалюты Bitcoin не ослабевает и интерес злоумышленников к криптовалютным компаниям. В частности, 12 декабря крупнейшая гонконгская криптовалютная биржа Bitfinex сообщила о серии мощных DDoS-атак, приведших к сбоям в работе сервиса. Злоумышленники также запускают фишинговые кампании, ориентированные на трейдеров. Например, специалисты Fortinet зафиксировали новую фишинговую операцию, в рамках которой преступники распространяют троян для удаленного доступа (RAT) Orcus через вредоносную рекламу, предлагающую установить легитимный бот Gunbot, предназначенный для торговли на бирже. На минувшей неделе эксперт Роберт Ли предупредил о возможной кибератаке на энергосистемы Украины, аналогичной инцидентам, произошедшим в 2015 и 2016 годах. В последние несколько недель Ли наблюдал всплеск активности разработчиков вредоносного ПО, использовавшегося в атаке в 2016 году. Как полагает специалист, хакеры могут провести новую атаку в декабре 2017 года. О хакерской атаке на ряд своих клиентов сообщила нидерландская компания Fox-IT. Согласно уведомлению, неизвестный злоумышленник осуществил атаку «человек посередине» и следил за ограниченным числом пользователей. Хакер перехватывал трафик, предназначавшийся для домена Fox-IT, с помощью SSL-сертификата читал передаваемые по HTTPS данные, а затем перенаправлял пользователей на настоящий сервер Fox-IT. На минувшей неделе группа экспертов описала новый вариант криптографической атаки Даниэля Бляйхенбахера, позволяющий получить закрытые криптографические ключи для расшифровки HTTPS-трафика при определенных условиях. К новой атаке под названием ROBOT, уязвимы некоторые продукты ряда производителей, в том числе Cisco, Citrix, F5 и Radware, а также 27 сайтов из рейтинга Alexa Top 10, включая Facebook и PayPal. Прошедшая неделя не обошлась без сообщений об утечках данных. CERT Эстонии (Сomputer Emergency Response Team, компьютерная группа реагирования на чрезвычайные ситуации) заявила об утечке учетных данных, затронувшей порядка 200 тыс. эстонских пользователей. В ходе утечки в Сеть попали адреса электронной почты и пароли для аутентификации на различных online-ресурсах. Большинство взломанных учетных записей составляют аккаунты социальной сети LinkedIn.
-
- обзор
- инцидентов
-
(and 3 more)
Tagged with:
-
Прошедшая неделя ознаменовалась рядом событий, в числе которых ликвидация крупнейшей сети ботнетов Andromeda, взлом сервиса для майнинга криптовалют Nicehash, предупреждение о масштабной кибератаке со стороны мусульманской хакерской группировки Electronic Ghosts, а также утечка данных 31 млн пользователей популярной виртуальной клавиатуры AI.type. С этими и другими событиями предлагаем ознакомиться в кратком обзоре. Стремительный рост курса биткойна вполне ожидаемо повлек за собой повышенный интерес злоумышленников к криптовалютным сервисам. В последнее время практически ни одна неделя не обходится без сообщений о взломе той или иной площадки и краже электронной валюты. Минувшая неделя также не стала исключением, в этот раз жертвой хакеров стал крупнейший web-сервис для майнинга криптовалют Nicehash, лишившийся более 4 тыс. биткойнов. Злоумышленникам удалось похитить только средства, хранящиеся на локальных кошельках NiceHash. Клиенты криптовалютных сервисов могут стать жертвами не только хакеров, но и ошибок со стороны администрации ресурсов. К примеру, криптовалютная биржа Bittrex случайно разослала данные пользователей по электронной почте. В частности, пользователи, прошедшие проверку KYC, но отклоненные самим сервисом Bittrex, получили от службы поддержки электронные письма, содержащие уведомление об отклонении не только их заявки, но и заявок нескольких других пользователей. Также к письму прилагалось вложение в виде изображений документов неодобренных пользователей. На минувшей неделе сотрудники Европола, Евроюста и ФБР при участии ИБ-экспертов пресекли деятельность крупнейшей сети ботнетов Andromeda, распространявшей вредоносное ПО Gamarue, также известное как Wauchos. Сеть состояла из 464 отдельных ботнетов и заражала порядка 1,1 млн компьютеров ежемесячно. В рамках правоохранительной операции было отключено около 1,5 тыс. доменов и IP-адресов, использовавшихся в C&C-инфраструктуре. По сообщению пресс-службы Следственного комитета Республики Беларусь, сотрудники правоохранительных органов задержали одного из участников группировки Andromeda, занимавшегося продажей вредоносного ПО на подпольных форумах и являвшегося администратором некоторых из них. Несмотря на усилия правоохранительных органов, в Сети продолжают появляться новые ботнеты. В частности, эксперты компании Qihoo 360 Netlab зафиксировал и всплеск активности ботнета Satori (одного из вариантов Mirai), включающего порядка 280 тыс. активных устройств. Вредоносное ПО Satori сканирует порты 37215 и 52869. Вредонос отличается от предыдущих вариантов Mirai. Если ранее различные версии Mirai заражали уязвимые устройства, а затем загружали компонент Telnet для сканирования интернета на предмет новых жертв, то Satori использует вместо данного компонента два встроенных эксплоита для удаленного подключения к устройствам. Таким образом Satori можно классифицировать как IoT-червя, способного распространяться самостоятельно без необходимости в загрузке отдельных компонентов. Порядка 31 млн пользователей популярной виртуальной клавиатуры AI.type стали жертвами утечки данных из-за разработчика приложения, который не защитил сервер должным образом. Сервер работал без парольной защиты, в результате доступ к клиентской базе данных компании, включавшей свыше 577 ГБ конфиденциальной информации, мог получить кто угодно. Как выяснилось, компания собирает немало конфиденциальной информации о пользователях, в том числе данные о полном имени владельца устройства, номере телефона, названии и модели гаджета, названии мобильной сети, данные о разрешении экрана и установленных языковых пакетах, версии ОС Android, идентификаторах IMSI и IMEI, связанном с номером телефона адресом электронной почты, месте жительства, фотографии, а также ссылки и информацию, связанную с профилями в социальных сетях. В конце минувшей недели участники связанной с ДАИШ (террористическая организация, запрещена в РФ) хакерской группировки Electronic Ghosts заявили о намерении «развязать масштабную войну против врагов Халифата» и провести масштабную кибератаку на правительства и военные ведомства по всему миру 8 декабря 2017 года. Хакеры также добавили, что первой их целью станет США.
-
- обзор
- инцидентов
-
(and 3 more)
Tagged with:
-
Прошедшая неделя ознаменовалась рядом инцидентов и утечек данных, привлекших внимание общественности. В их числе утечки конфиденциальных данных Агентства национальной безопасности (АНБ) США и компании National Credit Federation, таинственное исчезновение $655 тыс. в валюте Verge из универсального криптовалютного кошелька CoinPouch, публикация в Сети 1,3 тыс. паролей армянских пользователей Facebook и пр. Ниже представлен краткий обзор главных событий в мире ИБ за период с 27 ноября по 3 декабря текущего года. Наиболее резонансным событием минувшей недели стало сообщение об обнаружении в открытом доступе на сервере Amazon Web Services конфиденциальных данных АНБ США, относящихся к засекреченному проекту Командования разведки и безопасности Армии США под названием Red Disk. Проект задумывался как легко кастомизируемая облачная система, способная удовлетворить требования масштабных и сложных военных операций. Предполагалось, что система Red Disk должна предоставлять американским солдатам в горячих точках данные прямиком из Пентагона, включая спутниковые снимки и видеотрансляцию с беспилотных летательных аппаратов. Однако в связи с медлительностью системы и сложностями в использовании проект так и не был реализован. Некорректно настроенные серверы Amazon Web Services также стали причиной утечк и 111 ГБ конфиденциальной информации компании National Credit Federation (NCF), в том числе включающей кредитные истории ее клиентов. Утечка затронула сравнительно небольшое число клиентов NCF (40 тыс.), однако на сервере содержались конфиденциальные сведения, в том числе отчеты трех крупных бюро кредитных историй - Equifax, Experian и TransUnion. В начале прошедшей недели эксперт по информационной безопасности Самвел Мартиросян сообщил о публикации в Сети адресов электронной почты и номеров телефонов армянских пользователей соцресурса Facebook. По словам специалиста, скорее всего, хакеры смогли украсть пароли. Хотя злоумышленники заявили о взломе 4 тыс. паролей, в обнародованном списке представлены данные только 1,3 тыс. пользователей. На минувшей неделе также стало известно о краже бывшими сотрудниками Министерства внутренней безопасности США персональной информации (включая имена, номера социального страхования и даты рождения) порядка 246 тыс. служащих ведомства. Данную информацию злоумышленники намеревались использовать для разработки и тестирования поддельной системы для управления делами, которую планировали продавать другим госорганам. Операторы универсального криптокошелька CoinPouch обнародовали некоторые подробности недавнего взлома и хищения электронной валюты Verge (XVG) на общую сумму в размере $655 тыс. История началась в начале ноября нынешнего года, когда один из пользователей сообщил о краже средств из его кошелька. После проведенного расследования команда поддержки Verge пришла к выводу, что речь не идет о взломе. Однако после того, как разработчики CoinPouch приняли меры по обеспечению безопасности узла CoinPouch для криптовалюты Verge (Verge Specific Node), пользователи вновь начали сообщать о некорректной работе кошельков. Как выяснилось в ходе повторного расследования, узел все же был скомпрометирован. Ни разработчикам CoinPouch, ни создателям Verge пока не удалось понять, как именно произошел взлом. На прошлой неделе жертвой хакеров стал крупнейший в мире судовой брокер, британская компания Clarksons. Злоумышленник или группа злоумышленников взломали компьютерные системы, похитили конфиденциальные данные и потребовали выкуп, угрожая в противном случае обнародовать похищенную информацию. Компания отказалась платить шантажистам. В конце недели Европол сообщил о пресечении деятельности международной сети скиммеров и конфискации более 1 тыс. поддельных кредитных карт, принадлежавших злоумышленникам. В ходе совместной операции были арестованы четыре гражданина Болгарии, предположительно являвшихся лидерами группировки. По имеющимся данным, они руководили установкой скиммеров в банкоматы и использовали похищенную информацию для создания фальшивых карт и вывода средств из банкоматов, находящихся за пределами Европы, включая Белиз, Индонезию и Ямайку.
-
- обзор
- инцидентов
-
(and 3 more)
Tagged with:
-
Минувшая неделя запомнится рядом событий в мире ИБ, в числе которых сообщения об опасных уязвимостях в Intel ME, утечке данных 57 млн клиентов и водителей Uber, очередной кибератаке на Украину и пр. Предлагаем вашему вниманию краткий обзор инцидентов безопасности за период с 20 по 26 ноября 2017 года. Пожалуй, наиболее резонансным событием на прошедшей неделе стало известие об утечке данных Uber, затронувшей клиентов и водителей компании. В руках у злоумышленников оказались имена и электронные адреса 50 млн пассажиров и личные данные 7 млн водителей, в том числе 600 тыс. номеров выданных в США водительских прав. По уверению Uber, до номеров соцстрахования, дат рождения, истории поездок и данных банковских карт хакерам добраться не удалось. Хотя инцидент произошел еще в октябре 2016 года, компания скрыла этот факт от общественности и предпочла выплатить $100 тыс. хакерам, угрожавшим опубликовать похищенную информацию. Довольно громким событием стало и сообщение о серии уязвимостей в подсистеме Management Engine (ME) и связанных с ней компонентах Intel Trusted Execution Engine (SPS) и Server Platform Service (TXE). Уязвимости позволяют злоумышленникам загрузить и выполнить произвольный код, вызвать отказ в обслуживании устройства, а также извлекать информацию, обрабатываемую процессором. Проблемы затрагивают более 900 моделей персональных компьютеров и ноутбуков различных производителей. На данный момент патчи доступны только ряда моделей устройств Lenovo и HPE. На минувшей неделе специалисты компании Trend Micro раскрыли некоторые подробности деятельности хакерской группировки Cobalt, известной своими атаками на банки. Если раньше злоумышленники атаковали клиентов банков, то сейчас их целью стали сами финорганизации. Более того, в отличие от других российских или русскоязычных хакерских группировок, как правило, избегающих страны постсоветского пространства, Cobalt, по всей видимости, использует данный регион в качестве тестовой площадки для испытания новых техник и вредоносного ПО. Журналисты BBC опубликовали результаты расследования, связанного с деятельностью хакерской группировки Fancy Bear. Как выяснилось, хакеры в течение трех лет арендовали серверы у британской компании Crookservers, которые использовались для кибератаки на компьютерную сеть немецкого парламента, перехвата трафика сайта нигерийского правительства и взлома устройств Apple. В конце прошлой недели стало известно об утечке данных 8,5 тысяч бывших и нынешних сотрудников Министерства социальных служб Австралии. Скомпрометированными оказались данные кредитных карт, имена служащих, логины, рабочие номера телефонов, рабочие электронные адреса, системные пароли и пр. Как отметили в ведомстве, утечка произошла исключительно по вине подрядчика и не связана с какими-либо нарушениями в работе систем министерства. 24 ноября Киберполиция Украины предупредила об атаках с использованием нового вымогательского ПО Scarab, распространявшегося с помощью одного из самых масштабных ботнетов Necurs. Электронные письма были замаскированы под архивы с отсканированными изображениями. После шифрования файлов на системе жертвы Scarab размещает соответствующее уведомление без указания суммы выкупа за восстановление информации. Однако злоумышленники обращают внимание пострадавшего на то, что сумма выкупа будет увеличиваться до тех пор, пока жертва не свяжется с вымогателями по указанному адресу электронной почты или через BitMessage.
-
- обзор
- инцидентов
-
(and 3 more)
Tagged with:
-
Прошедшая неделя не ознаменовалась громкими инцидентами в области кибербезопасности, однако не обошлась без очередных обвинений в адрес «российских» хакеров и ряда утечек информации. Предлагаем вашему вниманию краткий обзор главных событий в мире ИБ в период с 13 по 19 ноября текущего года. В начале прошлой недели Национальный центр по борьбе с киберпреступностью Великобритании заявил об атаках «русских хакеров» на электроэнергетические, телекоммуникационные и медиакомпании страны. По словам главы британского Национального центра по борьбе с киберпреступностью (National Cyber Security Centre, NCSC) Киарана Мартина, атаки на британские предприятия осуществлялись в течение года. Минувшая неделя ознаменовалась утечками данных клиентов двух крупных компаний – ритейлера Forever 21 и Австралийской вещательной компании (Australian Broadcasting Corporation, ABC). В первом случае злоумышленникам удалось получить доступ к данным платежных карт клиентов Forever 21, оплачивавших покупки в ряде торговых точек компании. Представители ритейлера не раскрыли информацию о числе пострадавших в результате инцидента, а также о том, какие магазины затронула утечка. Во втором случае компания ABC случайно допустила утечку данных, хранившихся на по меньшей мере двух незащищенных серверах AWS S3. По данным исследователей компании Kromtech Security Center, в открытом доступе находились тысячи электронных писем, логинов и хешей паролей пользователей, запросы на лицензионный контент от продюсеров, закрытые ключи и учетные данные для доступа к другим репозиториям, видеоконтент, а также 1,8 тыс. ежедневных резервных копий базы данных MySQL (с 2015 года по текущее время). В последнее время практически ни одна неделя не обходится без сообщений об обнаружении некорректно сконфигурированных серверов Amazon S3, на которых в открытом доступе хранятся данные тех или иных компаний или ведомств. К примеру, исследователь безопасности Крис Викери обнаружил три некорректно сконфигурированных сервера Amazon S3, принадлежащие Министерству обороны США. Серверы содержали 1,8 млрд публикаций, сделанных в интернете пользователями по всему миру. Несмотря на многочисленные сообщения об утечках данных, компании по-прежнему не уделяют должное внимание собственной безопасности. Так, американская IT-компания DXC Technologies потеряла $64 тыс. после того, как один из сотрудников по ошибке загрузил ее закрытый ключ AWS в открытый репозиторий на GitHub, а ключи цифрового сертификата для сайта китайского производителя дронов DJI в течение четырех лет были доступны на GitHub. На прошедшей неделе мусульманские активисты Di5s3nSi0N в рамках кампании #silencetheswords атаковали связанное с ДАИШ (террористическая организация, запрещена в РФ) информационное агентство Amaq и опубликовали список, включающий адреса электронной почты почти 2 тыс. подписчиков ресурса, в ответ на заявление информагентства о том, что почтовый сервис Amaq стал практически неуязвим ко взлому. Минувшая неделя не обошлась без «курьезов» - американская ИБ-компания McAfee заблокировала доступ к вредоносному ПО, распространявшемуся, как оказалось, из сети самой организации. Вредонос содержался на стороннем сайте, но распространялся через домен, связанный с сервисом McAfee ClickProtect. Интересно, что данный сервис предназначен для защиты пользователей электронной почты от фишинговых писем и ссылок, распространяющих вредоносное ПО.
-
- обзор
- инцидентов
-
(and 3 more)
Tagged with:
-
На прошлой неделе обошлось без масштабных утечек данных, однако снова появились обвинения в адрес «русских хакеров», а криптовалютное сообщество всколыхнули сразу два серьезных инцидента. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 6 по 12 ноября 2017 года. В начале прошлой недели появились сообщения о кибератаке на сайт британского криптовалютного стартапа Electroneum, сумевшего собрать в ходе краудфандинговой кампании и процедуры ICO порядка $40 млн. Electroneum - криптовалюта, добываемая с помощью смартфонов. Запуск официального сайта и мобильного приложения для майнинга был намечен на 2 ноября, однако его пришлось отложить из-за DDoS-атаки. В ходе работ по восстановлению сервиса более 140 тыс. пользователей не могли войти в свои учетные записи. 6 ноября неизвестный проэксплуатировал уязвимость в исходном коде Ethereum-кошелька Parity, в результате чего хранящаяся на многопользовательских счетах криптовалюта оказалась заблокированной. Уязвимость возникла из-за патча, выпущенного разработчиками Parity 20 июля для другой проблемы безопасности. Эксперты компании ThreatConnect сообщили об атаках хакерской группировки Fancy Bear, часто связываемой с российскими спецслужбами, на экспертно-журналисткую группу Bellingcat. В ходе атак для рассылки фишинговых сообщений киберпреступники использовали принадлежащий Google сервис Blogger (blogspot[.]com). Первые атаки были зафиксированы еще в 2015 году. Кроме того, «русские хакеры» могут быть причастны к скандальным утечкам данных пользователей Yahoo!. Об этом заявила бывший директор компании Марисса Майер. О вмешательстве «русских хакеров» в дела Европейского союза и в частности Испании сообщил испанский министр иностранных дел Альфонсо Дастис. По его словам, задачей киберпреступников была дестабилизация ситуации в Европе. Каких-либо доказательств своим словам министр не привел. С 2015 года в киберпространстве действует хакерская группировка SowBug, атакующая дипломатов в Южной Америке и Юго-Восточной Азии. На прошлой неделе эксперты Symantec опубликовали отчет о деятельности преступников. «Группировка располагает большим количеством ресурсов, способна одновременно атаковать несколько целей и часто работает вне рабочего времени целевых организаций», - говорится в отчете. На прошлой неделе глава «Лаборатории Касперского» Евгений Касперский заявил , что компания не имеет никакого отношения к разработанному ЦРУ вредоносному ПО. «Мы провели расследование после выпуска доклада Vault 8 и подтверждаем, что сертификаты, выпущенные под нашим именем, являются фальшивыми. Наши клиенты, закрытые ключи и сервисы находятся в безопасности и не были затронуты», - сообщил Касперский. Речь идет об опубликованном 9 ноября проекте Vault 8 организации WikiLeaks. В нем описывается разработанная ЦРУ вредоносная платформа Hive, позволяющая незаметно похищать данные с зараженных компьютеров. Малоопытные хакеры, желавшие создать собственный ботнет Reaper, попались на удочку более умелого кибермошенника. По данным компании NewSky Security, в Сети распространяется IP-сканер, для поиска уязвимых устройств, которые потенциально могут стать частью ботнета. Однако, помимо обещанного функционала, инструмент оснащен дополнительными функциями. Как оказалось, с помощью IP-сканера мошенник загружал на системы скачавшего его пользователей вредоносное ПО Kaiten.
-
- обзор
- инцидентов
-
(and 3 more)
Tagged with:
-
С точки зрения кибербезопасности прошедшая неделя оказалась весьма беспокойной. В частности, увеличилось число инцидентов, связанных с майнингом криптовалюты. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 30 октября по 5 ноября 2017 года. Начало прошлой недели ознаменовалось очередными обвинениями в адрес «русских хакеров». Шведский телеканал SVT сообщил об атаках на пользователей по всему миру с применением неназванного вымогательского ПО. Подробности об атаке журналисты не привели, однако сообщили, что в одной лишь Швеции фишинговые вредоносные письма получили 1,6 млн человек. Как показывают недавние исследования, вымогательское ПО может использоваться не только по своему прямому назначению (для получения выкупа от жертв), но также для сокрытия кибершпионских операций. К примеру, программы-вымогатели ONI и MBR-ONI использовались в ходе кампании против ряда японских организаций с единственной целью – уничтожить следы хакеров. На прошлой неделе появились новые сведения о деятельности киберпреступной группировки Fancy Bear (APT 28), часто связываемой с российскими спецслужбами. По данным Associated Press, хакеры пытались взломать электронные ящики украинских политиков, российских оппозиционеров и американских военных подрядчиков. В распоряжении информагентства оказался список объектов для атак, основная часть которых находилась в США, Украине, России, Грузии и Сирии. Список датируется периодом с марта 2015 года по май 2016 года. Помимо прочего, стали известны новые подробности о причастности «русских хакеров» ко взлому Национального комитета Демократической партии США в 2016 году. Напомним, виновной в атаке считается все та же Fancy Bear. Как сообщило издание Wall Street Journal, ФБР собрало доказательства о причастности ко взлому шести представителей российских властей. Как стало известно на прошлой неделе, мошенники зарегистрировали 250 доменных имен от лица компании Trump Organization. В 2013 году хакерам удалось получить доступ к учетной записи Trump Organization в сервисе GoDaddy, используемой организацией для регистрации доменных имен. Мошенники зарегистрировали множество теневых поддоменов, используемых ими для распространения вредоносного ПО. Помимо русских, на прошлой неделе о себе дали знать северокорейские хакеры. Как сообщило информагентство Reuters, в апреле прошлого года киберпреступники взломали базу данных южнокорейской судостроительной компании Daewoo Shipbuilding & Marine Engineering и похитили чертежи военных кораблей. Утечка была обнаружена подразделением Минобороны Южной Кореи, специализирующимся на расследовании киберпреступлений. Вывод о причастности КНДР основывается на использовании в данной атаке методов взлома, применявшихся и в других атаках, с которыми связывают северокорейских хакеров. Говоря об утечках, стоит упомянуть утечку данных абонентов всех крупнейших операторов связи Малайзии. Инцидент, в результате которого неизвестные похитили информацию более 46 млн малазийцев, имел место в 2014-2015 годах. Хакерская группировка The Dark Overlord, ранее взявшая на себя ответственность за компрометацию компьютерной сети Netflix и утечку данных клиентов престижной лондонской клиники пластической хирургии, пригрозила опубликовать клиентскую базу данных голливудской студии звукозаписи Line 204. Список клиентов студии включает Apple, Netflix, Funny or Die, ABC, HBO, Hulu и пр. Хакеры пригрозили опубликовать похищенные данные, если Line 204 не выполнит их требования. Эксперты «Лаборатории Касперского» сообщили о новых целевых атаках на финансовые организации. В основном это российские банки, однако жертвами хакеров также стали некоторые банки в Армении и Малайзии. В атаках используется троян Silence, распространяемый посредством вредоносных электронных писем. Как уже упоминалось выше, прошедшая неделя ознаменовалась рядом инцидентов, связанных с майнингом криптовалюты. В начале недели стало известно о трех приложениях в Google Play, содержащих скрытые майнеры Monero. Как только пользователь открывал приложение, майнер начинал использовать ресурсы его устройства для добычи криптовалюты. Скрытый майнер Monero также был обнаружен на сайте D-Link. При каждом открытии страницы загружался отдельный домен со скрытым элементом iframe, содержащий скрипт для генерирования криптовалюты непосредственно в браузере пользователя. Помимо скрытого майнинга за счет чужих ресурсов исследователи безопасности рассказали еще об одной проблеме. По данным «Лаборатории Касперского», троян CryptoShuffler ворует криптовалюту прямиком из кошельков. Целью вредоноса являются Bitcoin, Ethereum, Zcash, Dash, Dogecoin и другие криптовалюты. Киберпреступники научились воровать криптовалюту не только из кошельков. Как сообщают специалисты из Bitdefender, злоумышленники умеют похищать монеты еще до их попадания в кошелек. Киберпреступники сканируют интернет в поисках оборудования для майнинга Ethereum, работающего под управлением ethos с заводскими учетными данными SSH. С помощью этих данных они получают доступ к оборудованию и заменяют адрес Ethereum-кошелька его владельца на свой собственный. В результате вся полученная криптовалюта отправляется не владельцу оборудования, а киберпреступникам.
-
- обзор
- инцидентов
-
(and 3 more)
Tagged with:
-
Последние две недели оказались довольно неспокойными как для общественности, так и для ИБ-экспертов. Если неделей ранее широкий резонанс вызвали серьезные уязвимости в протоколе WPA2, ставящие под угрозу практически все существующие на данный момент сети Wi-Fi, то самым громким событием минувшей недели стала новая волна атак с использованием вымогательского ПО Bad Rabbit, затронувшая средства массовой информации, государственные ведомства и компании в ряде стран мира, в основном в России и Украине. Предлагаем вашему вниманию краткий обзор главных событий в мире ИБ в период с 23 по 29 октября 2017 года. 24 октября нынешнего года российские и украинские организации подверглись атаке шифровальщика Bad Rabbit. Вредонос атаковал три российских СМИ (в том числе «Интерфакс» и «Фонтанку») и российские банки из топ-20, а также ряд украинских компаний и государственных ведомств. По данным исследователей компании Group-IB, Bad Rabbit распространялся посредством метода drive-by download (некоторые эксперты сообщали, что применялся метод watering hole), для доставки вредоносного ПО использовалось несколько популярных информационных сайтов в России и Украине. Как полагают специалисты, за атаками NotPetya и Bad Rabbit может стоять одна и та же хакерская группировка, не исключено, что речь идет о группе Black Energy. Как выяснили исследователи безопасности из Cisco Talos и F-Secure, для распространения Bad Rabbit использовалась модифицированная версия эксплоита EternalRomance, похищенного группировкой The Shadow Brokers у группы Equation Group, предположительно связанной с Агентством национальной безопасности США. Спустя два дня после начала атак несколько ИБ-экспертов сообщили о прекращении операции Bad Rabbit. Активисты Anonymous продолжают атаки на испанские правительственные ресурсы в знак протеста против действий испанских властей, направленных на урегулирование каталонского кризиса. В этот раз атаке подвергся сайт официального издания испанского правительства Boletin Oficial del Estado (BOE). На прошедшей неделе хакеры под псевдонимами str0ng и n3tr1x взломали официальный блог одной из самых популярных JavaScript-библиотек - jQuery. Злоумышленники взломали учетную запись одного из разработчиков и осуществили дефейс блога. По всей видимости, для компрометации аккаунта использовался пароль, похищенный в результате утечки данных. К слову, это не единичный случай на минувшей неделе, когда злоумышленники использовали утекшие пароли для доступа к учетной записи.К примеру, неизвестный хакер взломал учетную запись Coinhive в CloudFlare, что позволило ему модифицировать DNS-серверы компании и заменить легитимный код JavaScript, встроенный в тысячи web-сайтов, вредоносной версией. По всей видимости, для доступа к учетной записи атакующий использовал старый пароль, утекший в результате взлома платформы Kickstarter в 2014 году. Минувшая неделя не обошлась без сообщений об утечках данных. В частности, бермудская консалтингово-юридическая компания Appleby предупредила своих клиентов о возможной масштабной утечке конфиденциальной информации. По имеющимся данным, утечка затронула ряд богатейших людей Великобритании. На прошедшей неделе Азиатско-Тихоокеанский сетевой информационный центр (Asia-Pacific Network Information Center, APNIC) принес извинения владельцам сетей за утечку своей базы данных, помимо прочего, содержащей ненадежно хешированные пароли. Любой желающий мог загрузить БД, внести в нее изменения или взломать блоки IP-адресов. На прошлой неделе также стало известно о хакерской атаке на престижную клинику пластической хирургии London Bridge Plastic Surgery (LBPS), в результате которой злоумышленникам удалось похитить персональные медицинские данные знаменитостей, в том числе снимки интимной пластики. Ответственность за атаку взяла на себя группировка The Dark Overlord, ранее уже заявлявшая о причастности ко взломам ряда медицинских центров и школ в США, а также компрометации компьютерной сети Netflix. Как утверждают хакеры, в их распоряжении имеются «терабайты» данных, в том числе сведения о королевской семье. В минувшее воскресенье в СМИ появилась информация о том, что служба безопасности лондонского аэропорта Хитроу проводит расследование возможной утечки данных после того, как безработный мужчина нашел на улице Лондона флеш-накопитель, содержавший незащищенные сведения о системе безопасности воздушной гавани. «Флешка» содержала 76 папок с картами, видеороликами и документами, связанными с обеспечением безопасности крупнейшего лондонского аэропорта и проведения антитеррористических мероприятий. Некоторые данные были помечены как конфиденциальные, но доступ к ним никак не был защищен.
-
- обзор
- инцидентов
-
(and 3 more)
Tagged with:
-
В последнее время все нашумевшие инциденты безопасности можно разделить на две основные категории – утечки данных банковских карт клиентов гостиниц и ресторанов и атаки «русских хакеров». Однако наибольший резонанс на прошлой неделе получили серьезные уязвимости в протоколе WPA2, ставящие под угрозу практически все существующие на данный момент сети Wi-Fi. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 16 по 22 октября 2017 года. Начало прошлой недели ознаменовалось сообщением об уязвимостях в протоколе WPA2, позволяющих осуществить атаку реинсталляции ключей (Key Reinstallation Attack, KRACK). С ее помощью злоумышленник может перехватить трафик и получить доступ к информации, считающейся надежно зашифрованной (номерам кредитных карт, паролям, переписке, фотографиям и пр.). На прошлой неделе появилось сразу два сообщения об атаках с использованием Adobe Flash Player. Компания Adobe выпустила исправление для уязвимости нулевого дня, эксплуатировавшейся несколькими хакерскими группировками. По данным «Лаборатории Касперского», уязвимость использовалась ближневосточной группировкой Black Oasis для доставки на компьютеры жертв шпионского ПО FinSpy. В ходе вредоносной кампании группировка рассылала документы MS Office со встроенным объектом ActiveX, содержащим эксплоит для уязвимости. Как сообщают эксперты из Proofpoint, вышеупомянутая уязвимость также эксплуатировалась хакерами из Fancy Bear – группировки, часто связываемой с российским правительством. Целями злоумышленников были государственные ведомства и частные компании США и Европы, связанные с аэрокосмической промышленностью. С помощью уязвимости в Adobe Flash Player хакеры распространяли вредоносное ПО DealersChoice. На прошлой неделе Fancy Bear «отличилась» еще одной вредоносной кампанией. По данным Cisco Talos, недавно группировка начала рассылать фишинговые письма, связанные с конференцией по вопросам кибервойны CyCon U.S. Мероприятие пройдет в следующем месяце в Вашингтоне при участии представителей НАТО и оборонных сил США. В отличие от других кампаний, на этот раз хакеры из Fancy Bear не эксплуатировали уязвимость нулевого дня, а использовали вредоносный документ Microsoft Word. Вложение содержало макросы, загружающие и устанавливающие на атакуемую систему вредоносное ПО Seduploader. Эксперты из Proofpoint также сообщили о вредоносной кампании, проводимой хакерской группировкой Leviathan. Злоумышленников интересуют предприятия и организации, связанные с кораблестроением и военно-морским флотом. Как и «коллеги» из Fancy Bear, для атак Leviathan использует фишинговые письма с вредоносными документами Microsoft Excel и Word. Министерство внутренней безопасности США совместно с ФБР опубликовало отчет о кибератаках на ряд ядерных, энергетических, авиационных и промышленных предприятий, а также на системы водоснабжения. Атаки осуществлялись по меньшей мере с мая текущего года предположительно хакерской группировкой Dragonfy. На прошлой неделе бывшие сотрудники Microsoft рассказали о взломе корпоративной базы данных компании, содержащей информацию об уязвимостях в продуктах Microsoft. Инцидент произошел в 2013 году. В то время руководство компании приняло решение не раскрывать полный масштаб атаки. Традиционно не обошлось и без утечек данных банковских карт. На этот раз жертвами хакеров стали посетители ресторанов Domino Pizza в Австралии и Pizza Hut в США. Кроме того, крупнейшая за всю историю страны утечка данных произошла в ЮАР. Как сообщает исследователь безопасности Трой Хант, в Сети оказались миллионы персональных записей о гражданах, имеющих выданный в ЮАР идентификационный номер.
-
- обзор
- инцидентов
-
(and 3 more)
Tagged with:
-
Прошедшая неделя прошла под девизом «Даешь утечку данных!». Жертвами утечки стали сразу две консалтинговые компании и сеть отелей класса «люкс», КНДР предположительно похитила военные секреты Южной Кореи и США, группировка APT ALF украла у австралийского правительственного подрядчика документацию о военных самолетах, а данные миллионов пользователей Bitly и Kickstarter оказались в открытом доступе. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 9 по 15 октября 2017 года. В начале прошлой недели стало известно об утечке данных консалтинговой компании Forrester. Злоумышленникам удалось получить доступ к учетным данным для авторизации на сайте компании и похитить заказанные клиентами маркетинговые исследования. Доступ к этим данным позволяет определить используемые клиентами Forrester технологии и готовящиеся к выпуску продукты. Хакеры могут продать информацию подобного рода на черном рынке или конкурентам, либо использовать ее для выбора объектов для будущих атак. Второй консалтинговой компанией, ставшей жертвой утечки, является Accenture. Однако в данном случае инцидент произошел не по вине киберпреступников, а из-за халатности системных администраторов компании. Данные клиентов Accenture находились в открытом доступе на незащищенных облачных серверах Amazon Web Services S3 (AWS). Напомним, ранее кибератаке подверглась одна из крупнейших в мире консалтинговых компаний Deloitte. На прошлой неделе появилась информация о том, что масштабы инцидента гораздо шире, чем предполагалось ранее. В частности, в результате атаки могли пострадать данные Госдепартамента США и трех министерств. Второй раз за два года утечку данных платежных карт своих клиентов допустила сеть отелей класса «люкс» Hyatt. В руках злоумышленников могли оказаться такие сведения, как имена держателей карт, номера карт, даты истечения срока действия и внутренние проверочные коды. Исследователь безопасности Трой Хант обнаружил в открытом доступе данные пользователей Bitly и Kickstarter, скомпрометированные в результате кибератак в 2014 году. В общей сложности была обнаружена информация более 14,2 млн пользователей. Промышленным шпионажем, халатностью сисадминов и жадными до денег киберпреступниками утечки не ограничились. Северокорейские хакеры предположительно похитили большой объем секретных документов, включая оперативный план совместных военных действий США и Южной Кореи. Также стало известно о том, что хакерская группировка APT ALF взломала сеть австралийского военного подрядчика и похитила порядка 30 ГБ секретной военной документации о боевых самолетах, бомбах и военно-морских судах. Восточноевропейская хакерская группировка FIN7 (также известная как Carbanak) взломала американские правительственные серверы для распространения вредоносных фишинговых писем, якобы отправленных Комиссией по ценным бумагам и биржам США. По словам исследователя безопасности Крейга Уильямса, данная вредоносная кампания ориентирована на избранную группу предприятий в США, принадлежащих к различным отраслям, включая финансовую и страховую сферы, а также сектор информационных технологий. Как бы то ни было, не всех взломщиков интересуют данные. К примеру, хакеры взломали облачные сервисы многомиллионных компаний Aviva и Gemalto с целью использовать их компьютерные мощности для майнинга криптовалюты. При этом данные компаний не пострадали. На прошлой неделе традиционно не обошлось без обвинений в адрес «русских хакеров». На этот раз журналисты CNN заподозрили Россию в попытках использовать игру Pokemon Go для вмешательства в политику США. Исследователи безопасности Palo Alto Networks обнаружили новую фишинговую кампанию, получившую название FreeMilk. В ходе кампании хакеры перехватывают электронную переписку для последующего распространения вредоносного ПО в корпоративных сетях. Подделанные письма выглядят настолько правдоподобно, что жертва не догадывается о подвохе. Жертвами фишеров также стали клиенты ВТБ 24 в России. Преступники действуют очень просто – массово рассылают в Viber уведомления якобы от ВТБ 24 об операции, которую пользователь не совершал. Для того чтобы получить дополнительные сведения, жертва должна позвонить по указанному в сообщении номеру. Когда пользователь звонит, преступники на другом конце называются сотрудниками банка и под предлогом идентификации выманивают у него данные банковской карты. Исследователи Trustwave SpiderLabs сообщили о мошеннической схеме, в результате которой у ряда восточноевропейских банков было похищено в общей сложности более $40 млн. Злоумышленники использовали сложную схему, сочетавшую кибератаки на компьютерные сети банков, манипулирование лимитами овердрафта дебетовых карт и массовый вывод средств из банкоматов. 11-12 октября транспортные управления Швеции стали жертвами DDoS-атак, приведших к задержке поездов. По мнению экспертов, атаки носили тестовый характер, а целью атакующих было выяснить реакцию Швеции на подобные инциденты.
-
- обзор
- инцидентов
-
(and 3 more)
Tagged with:
-
Прошедшая неделя ознаменовалась сразу несколькими сообщениями об утечках данных и взломах криптовалютных платформ. Не обошлось также без очередных атак Anonymous и обвинений в сторону «русских хакеров». Предлагаем ознакомиться с кратким обзором главных инцидентов безопасности за период со 2 по 8 октября 2017 года. Как стало известно в начале прошлой недели, злоумышленники активно эксплуатируют уязвимости нулевого дня в плагинах для WordPress с целью установки бэкдоров на сайтах. Речь идет о плагинах Appointments, RegistrationMagic-Custom Registration Forms и Flickr Gallery. Все три дополнения подвержены уязвимостям, позволяющим внедрить PHP-объект. Проблемы с безопасностью были обнаружены в ходе расследования взломов ряда сайтов, проводимого экспертами компании Wordfence. Хорошая новость заключается в том, что вышеперечисленные плагины не пользуются большой популярностью. Неизвестные злоумышленники взломали web-сайт платформы Etherparty и сорвали процесс ее первичного размещения монет (ICO). Хакеры разместили на скомпрометированном ресурсе собственный адрес Ethereum, тем самым заставив инвесторов пересылать средства не на тот кошелек. Возможному взлому также подверглась китайская криптовалютная биржа OKEx. У ее пользователей пропало с кошельков свыше 600 биткойнов (порядка $3 млн по текущему курсу), однако сама компания факт атаки на свои ресурсы отрицает. Согласно официальному заявлению руководства OKEx, хакеры могли взломать лишь ряд отдельных учетных записей, чьи владельцы стали жертвами фишинга или использовали ненадежные пароли. На прошлой неделе о себе в очередной раз напомнило движение Anonymous. На этот раз активисты атаковали сайт автономного сообщества Мадрид и ряд форумов, связанных с испанской полицией. Таким образом Anonymous выразили протест против полицейского насилия в ходе референдума, прошедшего в Каталонии 1 октября. Как упоминалось выше, на прошлой неделе не обошлось без очередных обвинений в адрес «русских хакеров». Во-первых, НАТО обвинило правительство РФ в массовом взломе смартфонов солдат альянса. Во-вторых, страны НАТО и Прибалтики предположили , что Россия испытывала кибероружие на мобильных сетях Латвии. Кибератаками «русских хакеров» череда связанных с кибервойной новостей не ограничивается. Как сообщают источники в правительстве США, по меньшей мере с декабря 2016 года хакеры или иностранные правительственные структуры могли иметь доступ к переговорам главы аппарата Белого дома Джона Келли по личному мобильному телефону. Как показала экспертиза, проведенная сотрудниками отдела техобслуживания Белого дома, устройство было взломано хакерами. Что касается крупных утечек данных, стоит упомянуть взломы американской сети ресторанов быстрого питания Sonic и компании Disqus ,а также незащищенную базу данных игроков Национальной футбольной лиги и их агентов.
-
- обзор
- инцидентов
-
(and 3 more)
Tagged with:
-
Минувшая неделя ознаменовалась рядом событий, вызвавших громкий резонанс. В их числе утечка данных крупной консалтинговой компании Deloitte, сообщения о блокировке мессенджера Whatsapp в Китае, блокировка сервера обновлений Joomla! в России и пр. Предлагаем вашему вниманию краткий обзор главных событий в мире ИБ за период с 25 сентября по 1 октября нынешнего года. Пожалуй, самым громким событием прошедшей недели стала утечка конфиденциальных данных клиентов одной из четырех крупнейших мировых аудиторских компаний Deloitte. Хакеры скомпрометировали почтовый сервер компании, взломав учетную запись администратора, что предоставило им доступ ко всем ресурсам. Вход в учетную запись осуществлялся с помощью одного пароля и не требовал двухфакторной аутентификации. Deloitte обнаружила утечку в марте текущего года, однако атакующие, предположительно, имели доступ к системам компании с октября или ноября 2016 года. На минувшей неделе в Китае в течение нескольких дней наблюдались сбои в работе популярного мессенджера Whatsapp, что вызвало предположения о возможной блокировке сервиса властями КНР. Нарушения в работе WhatsApp наблюдались с 20 сентября, 25 сентября сервис полностью прекратил свою работу, однако во вторник, 26 сентября, функции отправки сообщений, аудио и изображений снова стали доступны. Российские пользователи столкнулись с проблемами с доступом к серверу обновлений популярной системы управления содержимым Joomla!. Причиной послужила блокировка Роскомнадзором используемой данной CMS поддоменов Amazon Web Services. В последнее время необычайную активность проявляют северокорейские хакеры. Как стало известно, хакеры, связанные с разведуправлением КНДР, взломали системы одного из оборонных предприятий Южной Кореи и похитили технологии запуска баллистических ракет с подводных лодок. Представители Минобороны страны не исключают, что в руки злоумышленников также могли попасть чертежи подводной лодки водоизмещением 3 тыс. тонн, которую ВМС намерены принять на вооружение в 2020 году. 28 сентября в результате сбоя в работе системы бронирования и регистрации Amadeus Altea была нарушена работа аэропортов по всему миру. Из-за неполадок пассажиры в международных аэропортах в Великобритании, США, Австралии, Франции, Сингапуре, Южной Корее, Южной Африке и ряде других стран не могли пройти регистрацию на рейсы ряда авиакомпаний, в том числе British Airways, Air France, Qantas и Lufthansa. Практически ни одна неделя не обходится без сообщений о той или иной кампании по кибершпионажу и минувшие семь дней не стали исключением. Специалисты компании Malwarebytes Labs обнаружили кампанию по кибершпионажу, направленную на одну из правительственных организаций в Саудовской Аравии. Основная особенность атак заключается в использовании скриптов вместо бинарной полезной нагрузки для сохранения присутствия на скомпрометированных компьютерах и связи с управляющим сервером. Эксперты из компании TrendMicro сообщили о появлении первого вредоносного ПО для Android, эксплуатирующего уязвимость Dirty COW, обнаруженную в октябре минувшего года. Вредонос, получивший название ZNIU, был выявлен в свыше 1,2 тыс. приложений (в основном на игровую и порнотематику). Жертвами вредоносной программы стали пользователи в 40 странах мира, в основном в Китае, Индии, США, Японии, Канаде и Индонезии.
-
- обзор
- инцидентов
-
(and 3 more)
Tagged with:
-
Киберпреступникам не ведом покой – днем и ночью они трудятся, зарабатывая «грязные» деньги с помощью вредоносных программ, фишинга и пр. На прошлой неделе хакеры проявили необычайную активность. Предлагаем ознакомиться с кратким обзором главных инцидентов безопасности, имевших место в период с 18 по 24 сентября 2017 года. На прошлой неделе исследователи безопасности зафиксировали целый ряд вредоносных кампаний. К примеру, эксперты компании FireEye раскрыли подробности о деятельности иранской кибершпионской группировки APT 33. Жертвами хакеров стали авиакомпании в США и Саудовской Аравии, а также один из южнокорейских конгломератов. Основными целями хакеров являлись предприятия аэрокосмической промышленности, энергетического сектора и военные объекты. С помощью фишинга и инструментов DropShot злоумышленники распространяли усовершенствованную версию червя Shamoon – ShapeShift. Специалисты ESET обнаружили кампанию по распространению новой версии вредоносного ПО FinFisher, также известного как FinSpy. Жертвами вредоноса стали пользователи в семи странах. По мнению экспертов, в двух случаях к атакам были причастны крупные интернет-провайдеры. Исследователи Trend Micro зафиксировали новую массовую спам-рассылку с вымогательским ПО Locky. Количество вредоносных писем уже преодолело отметку в несколько миллионов. По данным экспертов, основными целями атак злоумышленников стали пользователи в Чили, Японии, Индии и США. На долю России в среднем пришлось 6% от общего количества атак. Среди вредоносных кампаний, раскрытых на прошлой неделе, также стоит упомянуть атаки на пользователей Mac. С помощью заранее полученных учетных данных жертвы злоумышленники авторизуются в ее учетной записи iCloud, удаленно блокируют компьютер, используя функцию Find My iPhone, и требуют выкуп за восстановление доступа. После выхода 14 сентября инновационного инструмента Coinhive, позволяющего монетизировать сайты за счет майнинга криптовалюты, киберпреступники стали активно использовать его в своей деятельности. Исследователи безопасности обнаружили целый ряд взломанных сайтов, тайпсквоттинговых доменов и ресурсов, маскирующихся под техподдержку, со встроенным Coinhive. Когда жертва попадает на такой сайт, Coinhive использует мощности процессора ее компьютера для майнинга криптовалюты Monero. Большой резонанс на прошлой неделе вызвало сообщение о бэкдоре в популярной утилите CCleaner от компании Avast. Не позднее 11 сентября на серверы производителя были загружены инфицированные версии CCleaner 5.33 и CCleaner Cloud 1.07.3191. Встроенный в утилиту бэкдор собирал, шифровал и отправлял на сервер злоумышленников информацию об имени компьютера, установленном программном обеспечении и запущенных процессах. Взломавшие CCleaner злоумышленники также пытались атаковать крупнейшие технологические компании, включая Cisco, Singtel, HTC, Samsung, Sony, Gauselmann, Intel, VMWare, O2, Vodafone, Linksys, Epson, MSI, Akamai, DLink, Oracle (Dyn), Microsoft и Google (Gmail). Как полагают эксперты, к атакам причастна китайская киберпреступная группировка Axiom, также известная как APT 17, DeputyDog, Tailgater Team, Hidden Lynx, Voho, Group 72 или AuroraPanda. Еще одним громким событием на прошлой неделе стал взлом Комиссии по ценным бумагам и биржам США. Сам инцидент имел место еще в прошлом году, однако сейчас стали появляться свидетельства использования похищенной у регулятора информации для осуществления незаконных сделок. Причиной утечки является уязвимость в электронной системе подачи заявок EDGAR. На прошлой неделе о себе снова напомнили активисты Anonymous. На этот раз участники Anonymous Greece атаковали греческий правительственный сайт по продаже недвижимости должников банков. Согласно заявлению активистов, это только начало, и греческому правительству следует готовиться к дальнейшим атакам. Еще одной группировкой, снова давшей о себе знать после продолжительного затишья, стала Phantom Squad. Организация известна своими угрозами осуществить масштабную DDoS-атаку, если ей не будет уплачен выкуп. На этот раз злоумышленники угрожают 30 сентября атаковать сайты компаний, если те не заплатят им по 0,2 биткойна (приблизительно $720). Говоря о вымогательстве, нельзя не упомянуть новое вымогательское ПО nRansomware. В отличие от других программ-вымогателей nRansomware требует от жертв не деньги, а фотографии интимного характера. Исследователи безопасности из Kromtech обнаружили утечку более полумиллиона записей компании SVR Tracking, специализирующейся на отслеживании местоположения автомобилей. База данных хранилась на незащищенном облачном сервере Amazon S3. В ней содержалась информация о 540 642 учетных записях клиентов, включая адреса электронной почты, хэши паролей, IMEI GPS-трекеров, номерные знаки, идентификационные номера транспортных средств (VIN) и пр. 22 сентября сотрудники компании Adobe опубликовали в открытом доступе закрытый PGP-ключ. Утечку обнаружил исследователь по безопасности Юхо Нурминен. Ключ был опубликован в блоге PSIRT. Сообщение содержало закрытый и открытый PGP-ключи.
-
- обзор
- инцидентов
-
(and 3 more)
Tagged with:
-
Скучать экспертам по ИБ на прошлой неделе не пришлось – уязвимость нулевого дня в Microsoft .NET Framework, новый троян для удаленного доступа Kedi, фишинговая кампания с использованием взломанных учетных записей LinkedIn и т.д. Предлагаем ознакомиться с кратким обзором главных инцидентов безопасности за период с 11 по 17 сентября. Начало прошлой недели ознаменовалось сообщением о восьми уязвимостях в реализациях Bluetooth для Android, iOS, Windows и Linux. Проблема, получившая название BlueBorne, затрагивает практически все Bluetooth-устройства (более 8 млрд) и позволяет злоумышленнику получить полный контроль над атакуемым гаджетом. Для эксплуатации BlueBorne не требуется ни участие пользователя, ни сопряжение с устройством. Единственное условие – включенный Bluetooth. Во вторник, 12 сентября, компания Microsoft выпустила ежемесячные обновления безопасности для своих продуктов, исправляющие 82 уязвимости, в том числе одну уязвимость нулевого дня. CVE-2017-8759 затрагивает программную платформу .NET Framework и уже используется хакерами в атаках. По данным экспертов FireEye, с ее помощью злоумышленники распространяют шпионское ПО FINSPY, также известное как FinFisher. В ходе плановой проверки специалисты Kromtech Security Center обнаружили на серверах ElasticSearch вредоносное ПО для PoS-терминалов. Как сообщают исследователи, более 4 тыс. серверов оказались заражены вредоносами AlinaPOS и JackPOS. Заинтересовавшись находкой, с помощью поисковой системы Shodan эксперты обнаружили еще 15 тыс. уязвимых к атакам серверов ElasticSearch, доступных в интернете без какой-либо защиты. Эксплуатируя известную уязвимость в маршрутизаторах Netgear WNR2000, русскоговорящий хакер создал ботнет для осуществления атак Credential Stuffing (вброс регистрационных данных). Речь идет об обнаруженной в декабре прошлого года уязвимости CVE-2016-10176 в web-сервере маршрутизаторов Netgear, которая позволяет злоумышленникам выполнять различные действия с правами администратора. Хакер использовал ее для загрузки и выполнения вредоносного ПО RouteX. Исследователи безопасности из Sophos сообщили о новом Windows-трояне для удаленного доступа Kedi. Вредонос может скрывать свое присутствие от антивирусов, связываться с C&C-сервером через Gmail и похищать данные пользователей. Троян распространяется через фишинговые письма, содержащие вредоносную полезную нагрузку, маскирующуюся под утилиту Citrix. В свою очередь, исследователи из Check Point сообщили о новом вредоносном ПО для Android, получившем название ExpensiveWall. Вредонос способен без ведома пользователя отправлять SMS-сообщения и снимать деньги со счета для оплаты доступа к премиум-сервисам на мошеннических сайтах. ExpensiveWall распространялся через Android-приложения, загруженные порядка 4,2 млн раз. В общей сложности Google удалила из Google Play Store около 50 таких приложений. Специалисты компании Malwarebytes рассказали о недавних атаках, в ходе которых злоумышленники использовали действительные учетные записи LinkedIn для рассылки фишинговых ссылок через личные сообщения и электронную почту. Отличительной чертой данной кампании является использование хакерами взломанных доверенных учетных записей с хорошей репутацией. Среди прочих, злоумышленники также использовали скомпрометированные премиум-аккаунты, позволяющие общаться с другими пользователями LinkedIn (даже если они не были добавлены в список контактов) по электронной почте при помощи функции InMail. Несмотря на то, что с момента похищения Эдвардом Сноуденом секретных документов Агентства национальной безопасности США прошло уже четыре года, журналисты продолжают публиковать новые подробности. На прошлой неделе издание The Intercept представило очередной выпуск внутренней новостной рассылки АНБ – SIDtoday. В документе за 2005 год сообщается о разработке метода мониторинга P2P-трафика с целью получения важных сведений. В частности, эксперты спецслужбы смогли расшифровать трафик таких некогда популярных P2P-приложений, как eDonkey и Kazaa. Не обошлось на прошлой неделе без сообщений об утечках данных. Известная хакерская группировка OurMine, ранее специализировавшаяся только на взломах учетных записей в соцсетях, теперь решила сыграть «по-крупному». Киберпреступники взломали музыкальный видеохостинг Vevo и опубликовали 3,12 ТБ внутренних документов компании. Из-за некорректной конфигурации сервера CouchDB в открытом доступе оказались данные более полумиллиона американцев. База данных является частью более крупной БД, содержащей информацию свыше 191 млн зарегистрированных избирателей. БД принадлежит консалтинговой фирме TargetSmart, которая использует ее в политических кампаниях для сбора средств, исследований и пр.
-
- обзор
- инцидентов
-
(and 3 more)
Tagged with:
-
Похоже, киберпреступность набирает обороты и не собирается их сбрасывать. Об этом свидетельствуют множественные инциденты безопасности, сообщения о которых появляются еженедельно. Предлагаем ознакомиться с кратким обзором главных событий в мире ИБ за период с 4 по 10 сентября 2017 года. Самым громким инцидентом безопасности на прошлой неделе, пожалуй, стал взлом американской компании Equifax. Неизвестным удалось похитить персональные данные 143 млн клиентов компании. В руках злоумышленников оказались номера социального страхования, даты рождения и домашние адреса. Компания не раскрывает подробностей об атаке, однако связывает ее со своим web-приложением. Согласно некоторым сообщениям, хакеры проэксплуатировали уязвимость в популярном фреймворке Apache Struts, позволяющую удаленно запускать на сервере вредоносный код. Уязвимость (CVE-2017-9805) была исправлена на прошлой неделе. Жертвами утечки данных также стали 28 млн пользователей латиноамериканской версии Reddit под названием Taringa!. Неизвестные хакеры похитили такую информацию, как имена пользователей, электронные адреса и пароли. Несмотря на то, что пароли были зашифрованы, сотрудникам сайта LeakBase удалось расшифровать более 93% из них. Инцидент не затронул номера телефонов и биткойн-адреса. Как стало известно на прошлой неделе, личные данные военнослужащих и сотрудников разведслужб США в течение нескольких месяцев находились в открытом доступе. Порядка 9,4 тыс. файлов с персональной информацией были доступны для загрузки с некорректно сконфигурированного облачного сервера Amazon. Хакерской группировке CynoSure Prime удалось расшифровать 320 млн хешей паролей. База данных была собрана из различных источников исследователем безопасности Троем Хантом и опубликована в открытом доступе в прошлом месяце. Пароли были хешированы с использованием 15 алгоритмов. Самым популярным из них оказался SHA-1. Еще одним громким событием на прошлой неделе стала публикация на сайте WikiLeaks очередной порции секретных документов ЦРУ. Данный релиз отличается от предыдущих, поскольку проливает свет не на хакерские инструменты спецслужбы, а на систему управления ракетами Protego. Система устанавливается на самолетах с двигателями производства Pratt & Whitney, оснащенных системами запуска ракет класса «воздух-воздух» и «земля-воздух». Группировка The Shadow Brokers предоставила подписчикам своего платного сервиса сентябрьский дамп похищенной информации. Среди прочего, клиенты хакеров получили инструкцию к эксплоиту UNITEDRAKE из арсенала Агентства национальной безопасности США. Инструмент упоминается в документах Эдварда Сноудена, а также был описан специалистами «Лаборатории Касперского» еще в 2015 году. Еще один хакерский инструмент, разработанный спецслужбами, обнаружили исследователи из Palo Alto Networks. По случайному стечению обстоятельств, эксперты наткнулись на новый вариант вредоносного ПО Babar. Вредонос предположительно был создан французской разведкой и использовался хакерской группировкой Animal Farm, о которой также стало известно из документов Сноудена. Большой резонанс у общественности вызвало сообщение экспертов из Symantec о новой волне кибератак на энергетический сектор Европы и Северной Америки, получившей название Dragonfly 2.0. Злоумышленники распространяли вредоносное ПО с помощью спама.
-
- обзор
- инцидентов
-
(and 3 more)
Tagged with:
-
С точки зрения информационной безопасности прошедшая неделя выдалась весьма беспокойной. Несколько масштабных утечек данных, взлом Instagram, отзыв 500 тыс. уязвимых к кибератакам кардиостимуляторов, одни из крупнейших атак шифровальщиков – лишь малая часть инцидентов, произошедших за период с 28 августа по 3 сентября 2017 года. Большой резонанс на прошлой неделе вызвал взлом Instagram. Поначалу считалось, что инцидент затронул только знаменитостей, однако, как оказалось позже, неизвестные хакеры могли похитить учетные данные 6 млн пользователей соцсети. По данным «Лаборатории Касперского», причиной утечки стала уязвимость в мобильном приложении Instagram. Проблема затрагивает выпущенную в 2016 году версию клиента 5.8.1. Инцидент с Instagram является далеко не единственной масштабной утечкой данных, зафиксированной на прошлой неделе. Французский исследователь безопасности Benkow обнаружил на одном из web-серверов в Нидерландах крупнейшую незащищенную базу данных для рассылки спама. В БД содержатся электронные адреса и пароли для доступа к почтовым ящикам 711 млн пользователей, а также перечень почтовых серверов для рассылки спама. Производитель новых смартфонов Essential по ошибке допустил утечку данных своих клиентов. 29 августа на форуме Reddit появилось обсуждение подозрительного письма, отправленного с серверов компании некоторым покупателям. В письме сотрудники Essential просили подтвердить заказ на телефоны и предоставить удостоверение личности – паспорт или водительские права. 30 августа основатель Essential Энди Рубин подтвердил наличие проблем с системой поддержки клиентов и принес свои извинения. На сайте Pastebin был обнаружен список из более 33 тыс. полностью рабочих учетных записей для доступа по протоколу Telnet к устройствам «Интернета вещей» (IoT). Данные могут использоваться для создания ботнетов и осуществления масштабных DDoS-атак. В основном список состоит из учетных данных, установленных на устройствах по умолчанию. Особенно остро проблема безопасности IoT-устройств встала после обнаружения опасных уязвимостей в кардиостимуляторах производства компании Abbott. С их помощью находящиеся неподалеку от пациента злоумышленники могут «посадить» аккумулятор устройства или ускорить сердцебиение и нанести непоправимый вред здоровью жертвы. Управление по контролю за качеством пищевых продуктов и лекарств США объявило об отзыве 500 тыс. проблемных кардиостимуляторов. Пациенты с уже установленными устройствами должны обратиться к лечащему врачу для установки патча. На прошлой неделе после временного затишья снова напомнила о себе APT-группировка Turla, связываемая с российским правительством. О возобновлении активности Turla сообщили сразу две ИБ-компании. Эксперты ESET обнаружили новый бэкдор Gazer, применяемый в шпионских кампаниях против посольств и консульств по всему миру. В свою очередь, специалисты «Лаборатории Касперского» рассказали о связанной с Turla шпионской кампании WhiteBear. Помимо «русских правительственных хакеров», в очередной раз дали о себе знать «американские правительственные хакеры». Благодаря публикации на сайте WikiLeaks новой порции документов ЦРУ, стало известно об инструменте Wolfcreek, применяемом спецслужбой для взлома Windows XP и Windows 7. Примечательно, на прошлой неделе жертвой хакеров стал сам сайт WikiLeaks. Киберпреступная группировка OurMine заявила об успешной кибератаке на ресурс, хотя на деле «взлом» оказался не более чем дефейсом. Специалисты двух ИБ-компаний независимо друг от друга обнаружили масштабные вредоносные кампании по распространению двух разных, совершенно новых образцов некогда популярного у киберпреступников вымогательского ПО Locky. 28 августа за 24 часа пользователи в США получили 23 млн вредоносных писем. Данная кампания является одной из наиболее масштабных во второй половине 2017 года. В ходе второй операции злоумышленники за три дня разослали 62 тыс. фишинговых писем.
-
- обзор
- инцидентов
-
(and 3 more)
Tagged with: