В США очередной предвыборный скандал, связанный с зарубежными хакерами.
На прошедшей неделе произошла массовая рассылка электронных писем в адрес избирателей, поддерживающих Демократическую партию. В письмах, отправителем которых значится американская праворадикальная организация Proud Boys, содержались угрозы адресату, если он не проголосует за Трампа. Proud Boys сразу же опровергли свою причастность к рассылке.
Расследование инфосек компании Proofpoint показало, что электронные письма были отправлены с ранее скомпрометированных ресурсов, принадлежащих компаниям в Саудовской Аравии и Эстонии.
А вчера на специальной пресс-конференции руководители ФБР и национальной разведки США сообщили, что, по их информации, за произошедшей электронной рассылкой стоит Иран. Заодно упомянули, что данные об избирателях также получила Россия, видимо, чтобы два раза за водкой не ходить.
Мы в таких случаях всегда задаемся вопросом "Cui prodest?" и не видим никакой выгоды для Ирана. Ну, кроме, может эфемерного негативного влияния на рейтинг Трампа, который Иран очень уж не любит.
С другой стороны, внутри американской политической тусовки потенциальных бенефициаров этой информационной кампании предостаточно и сценариев может быть несколько.
Косвенным же подтверждением такого развития событий является пламенный комментарий Джона Халквиста из FireEye, который охарактеризовал рассылку нескольких тысяч спам-писем как вмешательство в американскую демократию и пересечение "красной линии" со стороны Ирана. Вероятно, акционеры из ЦРУ попросили.
(одним из ключевых инвесторов FireEye является In-Q-Tel, официальный венчурный фонд ЦРУ).
На прошедшей неделе произошла массовая рассылка электронных писем в адрес избирателей, поддерживающих Демократическую партию. В письмах, отправителем которых значится американская праворадикальная организация Proud Boys, содержались угрозы адресату, если он не проголосует за Трампа. Proud Boys сразу же опровергли свою причастность к рассылке.
Расследование инфосек компании Proofpoint показало, что электронные письма были отправлены с ранее скомпрометированных ресурсов, принадлежащих компаниям в Саудовской Аравии и Эстонии.
А вчера на специальной пресс-конференции руководители ФБР и национальной разведки США сообщили, что, по их информации, за произошедшей электронной рассылкой стоит Иран. Заодно упомянули, что данные об избирателях также получила Россия, видимо, чтобы два раза за водкой не ходить.
Мы в таких случаях всегда задаемся вопросом "Cui prodest?" и не видим никакой выгоды для Ирана. Ну, кроме, может эфемерного негативного влияния на рейтинг Трампа, который Иран очень уж не любит.
С другой стороны, внутри американской политической тусовки потенциальных бенефициаров этой информационной кампании предостаточно и сценариев может быть несколько.
Косвенным же подтверждением такого развития событий является пламенный комментарий Джона Халквиста из FireEye, который охарактеризовал рассылку нескольких тысяч спам-писем как вмешательство в американскую демократию и пересечение "красной линии" со стороны Ирана. Вероятно, акционеры из ЦРУ попросили.
(одним из ключевых инвесторов FireEye является In-Q-Tel, официальный венчурный фонд ЦРУ).
Proofpoint
Media Coverage Doesn’t Deter Actor From Threatening Democratic Voters | Proofpoint US
On October 20, 2020, WUFT reported that Democratic-registered voters in Florida were receiving threatening emails purporting to be from the violent,
Лаборатория Касперского запилила небольшой обзор посвященный ransomware Maze. Конечно ничего нового для тех, кто читает наш канал с начала года, там нет, но если вы что-то пропустили, то краткое жизнеописание и разбор техник вымогателя будут интересны.
Единственное, в чем мы можем поправить Касперских - Maze стала не одной из первых, а действительно первой бандой ransomware, которая поставила на поток сливы украденных данных через выделенный DLS (data leak site) и сделала это своей основной фичей.
Может нам тоже начать про ransomware обзоры делать... Да не, бред какой-то.
Единственное, в чем мы можем поправить Касперских - Maze стала не одной из первых, а действительно первой бандой ransomware, которая поставила на поток сливы украденных данных через выделенный DLS (data leak site) и сделала это своей основной фичей.
Может нам тоже начать про ransomware обзоры делать... Да не, бред какой-то.
Securelist
Life of Maze ransomware
In the past year, Maze ransomware has become one of the most notorious malware families threatening businesses and large organizations.
Неделю назад мы писали про расследование ClearSky в отношении операции QuickSand иранской APT MuddyWater. Тогда британские исследователи на основании замечания компании Palo Alto Networks о том, что используемый иранцами загрузчик PowGoop имеет небольшое сходство с загрузчиком ransomware Thanos, стирающим MBR, расписали на половину отчета про хитрый план аятолл по тотальному уничтожению всех компьютеров Израиля.
Мы тогда высказали сомнение в оправданности такого предположения. И не потому что мы за Иран, а потому что мы, как Васисуалий Лоханкин, все "делаем не в интересах истины, а в интересах правды".
И вот нас поддержали Symantec. В выпущенном отчете об активности APT MuddyWater, которую они называют Seedworm, американцы также указали на несостыковку и сообщили, что никаких доказательств связи иранцев с ransomware Thanos не обнаружили.
О - объективность.
Мы тогда высказали сомнение в оправданности такого предположения. И не потому что мы за Иран, а потому что мы, как Васисуалий Лоханкин, все "делаем не в интересах истины, а в интересах правды".
И вот нас поддержали Symantec. В выпущенном отчете об активности APT MuddyWater, которую они называют Seedworm, американцы также указали на несостыковку и сообщили, что никаких доказательств связи иранцев с ransomware Thanos не обнаружили.
О - объективность.
Security
Seedworm: Iran-Linked Group Continues to Target Organizations in the Middle East
Group continues to be highly active in 2020, while tentative links to recently discovered PowGoop tool suggest possible retooling.
Немецкие исследователи из G DATA выпустили отчет, посвященный новому трояну удаленного доступа T-RAT, продаваемому на русскоязычных хакерских форумах, основным каналом управления которым является Telegram, а также через RDP с VNC.
Первым новый RAT обнаружил в сентябре ресерчер 3xp0rt, в том числе на форуме lolz. guru он нашел целую презентацию трояна.
Вредонос состоит из загрузчика, основного модуля sihost.exe, а также нескольких вспомогательных библиотек, таких как Telegram.Bot.dll и socks5.dll.
Злоумышленник может управлять T-RAT через бота Telegram, для чего последний поддерживает 98 команд, большинство из которых на русском языке. Вредонос позволяет исследовать файловую систему и красть отдельные файлы, похищать пароли, куки, переписки из Telegram, Discord, Steam, Viber, Skype и др. Он может перехватывать электронные транзакции, делать скриншоты, создавать снимки экрана, снимать информацию с микрофона и камеры, а также обладает функциями кейлоггера.
Вдобавок к этому T-RAT умеет уклоняться от обнаружения, блокировать часть активности компьютера - например, блокировать сайты обновления антивирусных программ.
T-RAT - это не первый троян с управлением посредством Telegram. Но, честно говоря, лично мы впервые увидели профессионально сделанную презентацию, рекламирующую возможности вредоноса. Большой и развитый рынок, чего уж тут сказать.
Аплодируем ЦИБ ФСБ и БСТМ МВД за эффективную борьбу с кибепреступностью (сарказм).
Первым новый RAT обнаружил в сентябре ресерчер 3xp0rt, в том числе на форуме lolz. guru он нашел целую презентацию трояна.
Вредонос состоит из загрузчика, основного модуля sihost.exe, а также нескольких вспомогательных библиотек, таких как Telegram.Bot.dll и socks5.dll.
Злоумышленник может управлять T-RAT через бота Telegram, для чего последний поддерживает 98 команд, большинство из которых на русском языке. Вредонос позволяет исследовать файловую систему и красть отдельные файлы, похищать пароли, куки, переписки из Telegram, Discord, Steam, Viber, Skype и др. Он может перехватывать электронные транзакции, делать скриншоты, создавать снимки экрана, снимать информацию с микрофона и камеры, а также обладает функциями кейлоггера.
Вдобавок к этому T-RAT умеет уклоняться от обнаружения, блокировать часть активности компьютера - например, блокировать сайты обновления антивирусных программ.
T-RAT - это не первый троян с управлением посредством Telegram. Но, честно говоря, лично мы впервые увидели профессионально сделанную презентацию, рекламирующую возможности вредоноса. Большой и развитый рынок, чего уж тут сказать.
Аплодируем ЦИБ ФСБ и БСТМ МВД за эффективную борьбу с кибепреступностью (сарказм).
Следующие фото будут не в тему инфосек, но это настолько познавательно, что мы не могли не поделиться.
В конце концов, вся наша (человечества) возня только для того, чтобы в один прекрасный день тысячи миров стали для людей досягаемыми.
Все кто считает иначе - не ходите в инфосек. Вы редиски и вам здесь не рады.
В конце концов, вся наша (человечества) возня только для того, чтобы в один прекрасный день тысячи миров стали для людей досягаемыми.
Все кто считает иначе - не ходите в инфосек. Вы редиски и вам здесь не рады.
Twitter
Latest in space
Views around Saturn 🪐 captured by the Cassini spacecraft. Enceladus geysers, Titan, Saturn's polar vortex.
Чем ближе выборы в США, тем больше обвинений в сторону российских хакерских групп. И китайских с иранскими заодно.
В начале недели американские власти вынесли обвинение шестерым гражданам России, которых обвиняют во взломах множества ресурсов в составе APT Sandworm aka BlackEnergy в интересах ГРУ.
Днем позже АНБ опубликовало отчет, в котором сообщило о 25 уязвимостях, используемых китайскими APT для взлома сетей.
А вчера американские власти обвинили Иран в рассылке спама с угрозами избирателям-демократам.
Но до выборов Президента США осталось совсем немного, поэтому надо усилить накал страстей.
Вчера стало известно, что американский Минфин ввел санкции против пяти иранских организаций, в числе которых КСИР и Иранский исламский союз радио и телевидения за вмешательство в предстоящие выборы.
И вчера же американские ФБР и Агентство кибербезопасности (CISA) сообщили о проводившихся с начала февраля по сентябрь попытках взлома государственных и муниципальных сетей со стороны российской APT Energetic Bear. Как говорят американцы, как минимум в одном случае взлом был успешен, в результате чего хакеры похитили конфиденциальную информацию. Ну и, само собой, упоминаются риски взлома задействованных в выборах информационных систем, но "утечек сведений не зафиксировано".
В качестве дижестива - Евросоюз вчера же ввел санкции против ГРУ и двух его сотрудников за взлом Бундестага в 2015 году со стороны APT 28 aka Fancy Bear.
Никаких TTPs, с помощью которых идентифицировали нападающих, как обычно нет, но мы уже и не ждем.
В начале недели американские власти вынесли обвинение шестерым гражданам России, которых обвиняют во взломах множества ресурсов в составе APT Sandworm aka BlackEnergy в интересах ГРУ.
Днем позже АНБ опубликовало отчет, в котором сообщило о 25 уязвимостях, используемых китайскими APT для взлома сетей.
А вчера американские власти обвинили Иран в рассылке спама с угрозами избирателям-демократам.
Но до выборов Президента США осталось совсем немного, поэтому надо усилить накал страстей.
Вчера стало известно, что американский Минфин ввел санкции против пяти иранских организаций, в числе которых КСИР и Иранский исламский союз радио и телевидения за вмешательство в предстоящие выборы.
И вчера же американские ФБР и Агентство кибербезопасности (CISA) сообщили о проводившихся с начала февраля по сентябрь попытках взлома государственных и муниципальных сетей со стороны российской APT Energetic Bear. Как говорят американцы, как минимум в одном случае взлом был успешен, в результате чего хакеры похитили конфиденциальную информацию. Ну и, само собой, упоминаются риски взлома задействованных в выборах информационных систем, но "утечек сведений не зафиксировано".
В качестве дижестива - Евросоюз вчера же ввел санкции против ГРУ и двух его сотрудников за взлом Бундестага в 2015 году со стороны APT 28 aka Fancy Bear.
Никаких TTPs, с помощью которых идентифицировали нападающих, как обычно нет, но мы уже и не ждем.
Cybersecurity and Infrastructure Security Agency CISA
Russian State-Sponsored Advanced Persistent Threat Actor Compromises U.S. Government Targets | CISA
This joint cybersecurity advisory—written by the FBi and CISA—provides information on Russian state-sponsored advanced persistent threat actor activity targeting various U.S. state, local, territorial, and tribal (SLTT) government networks, as well as aviation…
Уже соскучились по новым жертвам ransomware? А вот и они.
BleepingComputer сообщает, что от атаки вымогателя пострадал французский ИТ-гигант Sopra Steria, имеющий годовой доход более 4 миллиардов евро.
21 октября компания заявила о кибератаке на свои ресурсы, которая произошла днем ранее. Как всегда никаких подробностей в сообщении нет, только дежурные мантры про "прилагаемые усилия по восстановлению".
Однако журналистам удалось выяснить, что французы подверглись атаке ransomware Ryuk, а за атакой стоял тот же оператор, который ранее в сентябре успешно взломал сеть американского поставщика медицинских услуг Universal Health Services (хотя возможно журналисты путают понятия владельца и оператора ransomware, работающего по схеме as-a-Service).
Объявленный выкуп, с учетом размера дохода Sopra Steria, полагаем составляет не один миллион долларов.
BleepingComputer сообщает, что от атаки вымогателя пострадал французский ИТ-гигант Sopra Steria, имеющий годовой доход более 4 миллиардов евро.
21 октября компания заявила о кибератаке на свои ресурсы, которая произошла днем ранее. Как всегда никаких подробностей в сообщении нет, только дежурные мантры про "прилагаемые усилия по восстановлению".
Однако журналистам удалось выяснить, что французы подверглись атаке ransomware Ryuk, а за атакой стоял тот же оператор, который ранее в сентябре успешно взломал сеть американского поставщика медицинских услуг Universal Health Services (хотя возможно журналисты путают понятия владельца и оператора ransomware, работающего по схеме as-a-Service).
Объявленный выкуп, с учетом размера дохода Sopra Steria, полагаем составляет не один миллион долларов.
BleepingComputer
French IT giant Sopra Steria hit by Ryuk ransomware
French IT services giant Sopra Steria suffered a cyberattack on October 20th, 2020, that reportedly encrypted portions of their network with the Ryuk ransomware.
NVIDIA в последнее время удивляет количеством security updates, которые она выпускает к своим продуктам. С одной стороны вроде хорошо, что стараются своевременно закрыть дырки, с другой - число серьезных уязвимостей слишком велико. А с учетом того, что видеокарты NVIDIA стоят в большинстве компьютеров, масштаб проблемы становится существенно больше.
Очередное обновление безопасности было выпущено вчера, в нем содержатся исправления трех уязвимостей в GeForce Experience, которые могут привести к отказу в обслуживании, повышению локальных привилегий, раскрытию информации и, самое неприятное, к RCE.
Положительный момент - эксплуатация уязвимостей возможна только из под локального пользователя.
Как всегда - призываем своевременно обновляться.
Очередное обновление безопасности было выпущено вчера, в нем содержатся исправления трех уязвимостей в GeForce Experience, которые могут привести к отказу в обслуживании, повышению локальных привилегий, раскрытию информации и, самое неприятное, к RCE.
Положительный момент - эксплуатация уязвимостей возможна только из под локального пользователя.
Как всегда - призываем своевременно обновляться.
Голландский исследователь Виктор Геверс утверждает, что сумел подобрать пароль к Twitter-аккаунту Дональда Трампа, причем у последнего отсутствовала двухфакторная аутентификация.
Геверс являтеся т.н. "белым хакером" и возглавляет некоммерческую организацию GDI.foindation, члены которой борются с утечками данных, слабыми паролями и пр. Четыре года назад именно он совместно с двумя другими исследователями получил доступ к аккаунту Трампа в первый раз.
16 октября он попробовал подобрать пароль к Twitter американского Президента и с шестой попытки ему это удалось. Паролем оказалась фраза "maga2020!". Это не означает, что "Мага" - тайная агентурная кличка Трампа, а расшифровывается как Make America Great Again.
Для подтверждения доступа Геверс опубликовал от имени Трампа вот этот твит. В дальнейшем он попытался установить связь с окружением Трампа, ответственным за его социальные сети, однако ему это не удалось.
Тем не менее, пароль Twitter-аккаунта изменился, а двухфакторная аутентификация была включена. А уже 20 октября Геверс сообщил, что с ним все-таки связались американские специалисты по безопасности.
Геверс предполагает, что 2FA была отключена когда Трамп лежал в госпитале с коронавирусом, чтобы его помощники имели возможность публиковать твиты без его личного входа. Ну а включить просто забыли.
Самое интересное, что команда Twitter никак не отреагировала на обращение голландского исследователя. Видимо политические привязанности для них предпочтительнее вопросов безопасности пользователей, даже таких как Президент США.
Вот такая вот информационная безопасность.
Геверс являтеся т.н. "белым хакером" и возглавляет некоммерческую организацию GDI.foindation, члены которой борются с утечками данных, слабыми паролями и пр. Четыре года назад именно он совместно с двумя другими исследователями получил доступ к аккаунту Трампа в первый раз.
16 октября он попробовал подобрать пароль к Twitter американского Президента и с шестой попытки ему это удалось. Паролем оказалась фраза "maga2020!". Это не означает, что "Мага" - тайная агентурная кличка Трампа, а расшифровывается как Make America Great Again.
Для подтверждения доступа Геверс опубликовал от имени Трампа вот этот твит. В дальнейшем он попытался установить связь с окружением Трампа, ответственным за его социальные сети, однако ему это не удалось.
Тем не менее, пароль Twitter-аккаунта изменился, а двухфакторная аутентификация была включена. А уже 20 октября Геверс сообщил, что с ним все-таки связались американские специалисты по безопасности.
Геверс предполагает, что 2FA была отключена когда Трамп лежал в госпитале с коронавирусом, чтобы его помощники имели возможность публиковать твиты без его личного входа. Ну а включить просто забыли.
Самое интересное, что команда Twitter никак не отреагировала на обращение голландского исследователя. Видимо политические привязанности для них предпочтительнее вопросов безопасности пользователей, даже таких как Президент США.
Вот такая вот информационная безопасность.
Vrij Nederland
How Trump’s Twitter account was hacked - again
Four years ago, three Dutch hackers gained access to Donald Trump’s Twitter account. This week one of them managed to gain access to the account – yet again.
Праздник санкций продолжается. Не успели остыть чернила на санкционных документах Евросоюза в отношении ГРУ и его сотрудников, подозреваемых во взломе сети Бундестага в составе APT 28 aka Fancy Bear, как на сцену бодрой походкой выходит Министерство финансов США.
Вчера американский Минфин объявил о введении санкций в отношении московского Центрального научно-исследовательского института химии и механики (ЦНИИХМ) за причастность к атаке Triton на промышленные системы управления (ICS) в 2017 году. Мы эту атаку рассматривали достаточно подробно здесь и в курсе о чем конкретно идет речь.
Сразу обозначимся, что причастность ЦНИИХМ к атаке Triton следует из расследования FireEye, вышедшего через год после атаки. И мы в обзоре озвучили свою позицию, которая заключается в том, что приведенные американцами TTPs выглядели правдоподобно, хотя для полной уверенности материалов не хватало. Ну и надо учитывать, что FireEye контора все-таки сидящая под ЦРУ.
Перейдем к лукавству американского Минфина.
Во-первых, утверждается, что Triton был разработан для нанесения максимального ущерба атакуемой ICS с целью причинить значительный физический ущерб и гибель людей. Проще говоря, чтобы создать критическую аварийную ситуацию. Это, мягко говоря, не так - судя по поведению вредоноса он, в первую очередь, был создан для глубокого проникновения в атакуемую ICS и сбора с этих позиций конфиденциальной информации.
Более того, в функционале вредоноса было поддержание штатного режима работы Triconex SIS, атакуемого им промышленного контроллера. Этого вредоносу сделать не удалось, в силу несоответствия некоторых кодов приложений, из-за чего ICS, собственно говоря, и вывалилась в аварийный режим, после чего Triton и был обнаружен.
Также в 2019 году те же FireEye заявили, что обнаружили атаку Triton на еще один промышленный объект, и целью атакующих было долгое и глубокое присутствие в целевой системе, что подтверждает версию о случайности инцидента с остановкой производства на саудовском нефтехимическом объекте в 2017.
Во-вторых, поскольку единственно точно установленная атака вредоноса Triton была направлена на нефтехимический завод саудовской компании Tasnee, а в отношении второй атаки в 2019 американцы данных о принадлежности жертвы не давали (видимо так же не из США), надо было как-то обосновать тот факт, почему американцы накладывают санкции за атаку на саудитов.
В этом случае, само собой, помогают волшебное словосочетание "highly likely" и его производные. В этот раз использовалось "were also reported". По данным американского Минфина, "сообщалось" (кем? где? когда?), что стоящая за Triton хакерская группа сканировала сети не менее 20 электроэнергетических компаний США.
Собственно, этого достаточно для обвинения ЦНИИХМ в нападении на США и их союзников и применении санкций в его отношении.
А ну и еще атака Triton названа Минфином США "самой опасной из известных угроз" по мнению частной индустрии инфосек. Не знаем, нас не спрашивали, а то мы назвали бы самой опасной угрозой атаку Stuxnet, которая потенциально могла привести к радиоактивной катастрофе. Но не израильское же Управление военной разведки американцам наказывать, тем более, что им АНБ помогали.
Ну и напоследок, подозреваем, что санкции в отношении ЦНИИХМ связаны с войнами коронавирусных вакцин, но это не наша епархия, поэтому никаких заключений делать не будем.
Вчера американский Минфин объявил о введении санкций в отношении московского Центрального научно-исследовательского института химии и механики (ЦНИИХМ) за причастность к атаке Triton на промышленные системы управления (ICS) в 2017 году. Мы эту атаку рассматривали достаточно подробно здесь и в курсе о чем конкретно идет речь.
Сразу обозначимся, что причастность ЦНИИХМ к атаке Triton следует из расследования FireEye, вышедшего через год после атаки. И мы в обзоре озвучили свою позицию, которая заключается в том, что приведенные американцами TTPs выглядели правдоподобно, хотя для полной уверенности материалов не хватало. Ну и надо учитывать, что FireEye контора все-таки сидящая под ЦРУ.
Перейдем к лукавству американского Минфина.
Во-первых, утверждается, что Triton был разработан для нанесения максимального ущерба атакуемой ICS с целью причинить значительный физический ущерб и гибель людей. Проще говоря, чтобы создать критическую аварийную ситуацию. Это, мягко говоря, не так - судя по поведению вредоноса он, в первую очередь, был создан для глубокого проникновения в атакуемую ICS и сбора с этих позиций конфиденциальной информации.
Более того, в функционале вредоноса было поддержание штатного режима работы Triconex SIS, атакуемого им промышленного контроллера. Этого вредоносу сделать не удалось, в силу несоответствия некоторых кодов приложений, из-за чего ICS, собственно говоря, и вывалилась в аварийный режим, после чего Triton и был обнаружен.
Также в 2019 году те же FireEye заявили, что обнаружили атаку Triton на еще один промышленный объект, и целью атакующих было долгое и глубокое присутствие в целевой системе, что подтверждает версию о случайности инцидента с остановкой производства на саудовском нефтехимическом объекте в 2017.
Во-вторых, поскольку единственно точно установленная атака вредоноса Triton была направлена на нефтехимический завод саудовской компании Tasnee, а в отношении второй атаки в 2019 американцы данных о принадлежности жертвы не давали (видимо так же не из США), надо было как-то обосновать тот факт, почему американцы накладывают санкции за атаку на саудитов.
В этом случае, само собой, помогают волшебное словосочетание "highly likely" и его производные. В этот раз использовалось "were also reported". По данным американского Минфина, "сообщалось" (кем? где? когда?), что стоящая за Triton хакерская группа сканировала сети не менее 20 электроэнергетических компаний США.
Собственно, этого достаточно для обвинения ЦНИИХМ в нападении на США и их союзников и применении санкций в его отношении.
А ну и еще атака Triton названа Минфином США "самой опасной из известных угроз" по мнению частной индустрии инфосек. Не знаем, нас не спрашивали, а то мы назвали бы самой опасной угрозой атаку Stuxnet, которая потенциально могла привести к радиоактивной катастрофе. Но не израильское же Управление военной разведки американцам наказывать, тем более, что им АНБ помогали.
Ну и напоследок, подозреваем, что санкции в отношении ЦНИИХМ связаны с войнами коронавирусных вакцин, но это не наша епархия, поэтому никаких заключений делать не будем.
Telegram
SecAtor
Чем ближе выборы в США, тем больше обвинений в сторону российских хакерских групп. И китайских с иранскими заодно.
В начале недели американские власти вынесли обвинение шестерым гражданам России, которых обвиняют во взломах множества ресурсов в составе…
В начале недели американские власти вынесли обвинение шестерым гражданам России, которых обвиняют во взломах множества ресурсов в составе…
На канале Russian OSINT на YouTube вышло прелюбопытнейшее интервью с владельцами ransomware Sodinokibi (REvil). У него всего несколько тысяч просмотров, что, по нашему мнению, очень мало для такого материала (нет, это не реклама канала Russian OSINT).
А все потому, что интервью выглядит очень правдоподобно, а значит выводы, которые в силу его правдоподобности можно сделать, приобретают большое значение. Там и политика, и правоохранительные органы, и, само собой, вопросы информационной безопасности.
Мы выделим только самое основное, что бросилось нам в глаза. Начнем с информационной безопасности.
1. Один из подписчиков спрашивал нас, насколько вероятно пересечение ransomware в одной сети, на что мы ответили, что маловероятно. Но REvil говорят, что такое бывает достаточно часто, по причине чего они поддерживают партнерские контакты с другими группами, например с Maze.
2. Вымогатели анонсировали информацию о громкой атаке на производителя игр, которая уже произошла.
3. Доход только владельца REvil - больше 100 млн. долларов в год. Учитывая, что владельцу достается приблизительно 30% от выкупа, общая сумма выплат за атаки Sodinokibi за год - приблизительно 450 млн. долларов. Если ориентироваться на отчет IBM X-Force, которые посчитали, что на долю Sodinokibi приходится 29% атак ransomware, то получается, что в качестве выплат операторам вымогателей за год компании заплатили более 1,5 млрд. долларов. Подсчет очень грубый, но дает представление о порядке чисел.
4. Самые крупные атаки REvil на нью-йоркскую юридическую контору Grubman Shire Meiselas & Sacks (про этот взлом еще напишем отдельно) и компанию Travelex были осуществлены через непропатченные Citrix и Pulsar (так сказано в ролике, видимо имеется в виду Pulse VPN). Еще один распространенный способ компрометации сети - брутфорс или эксплойт уязвимостей RDP.
5. Около одной трети взломов остается в тени, поскольку пострадавшие компании оперативно выплачивают выкуп с целью нераспространения информации об инциденте.
6. Самые жирные цели для операторов ransomware - IT-компании, страховые и юридические фирмы, а также производственные компании, особенно агропромышленные.
Это основные, на наш взгляд, моменты. А про политические аспекты интервью мы напишем в следующем посте.
А все потому, что интервью выглядит очень правдоподобно, а значит выводы, которые в силу его правдоподобности можно сделать, приобретают большое значение. Там и политика, и правоохранительные органы, и, само собой, вопросы информационной безопасности.
Мы выделим только самое основное, что бросилось нам в глаза. Начнем с информационной безопасности.
1. Один из подписчиков спрашивал нас, насколько вероятно пересечение ransomware в одной сети, на что мы ответили, что маловероятно. Но REvil говорят, что такое бывает достаточно часто, по причине чего они поддерживают партнерские контакты с другими группами, например с Maze.
2. Вымогатели анонсировали информацию о громкой атаке на производителя игр, которая уже произошла.
3. Доход только владельца REvil - больше 100 млн. долларов в год. Учитывая, что владельцу достается приблизительно 30% от выкупа, общая сумма выплат за атаки Sodinokibi за год - приблизительно 450 млн. долларов. Если ориентироваться на отчет IBM X-Force, которые посчитали, что на долю Sodinokibi приходится 29% атак ransomware, то получается, что в качестве выплат операторам вымогателей за год компании заплатили более 1,5 млрд. долларов. Подсчет очень грубый, но дает представление о порядке чисел.
4. Самые крупные атаки REvil на нью-йоркскую юридическую контору Grubman Shire Meiselas & Sacks (про этот взлом еще напишем отдельно) и компанию Travelex были осуществлены через непропатченные Citrix и Pulsar (так сказано в ролике, видимо имеется в виду Pulse VPN). Еще один распространенный способ компрометации сети - брутфорс или эксплойт уязвимостей RDP.
5. Около одной трети взломов остается в тени, поскольку пострадавшие компании оперативно выплачивают выкуп с целью нераспространения информации об инциденте.
6. Самые жирные цели для операторов ransomware - IT-компании, страховые и юридические фирмы, а также производственные компании, особенно агропромышленные.
Это основные, на наш взгляд, моменты. А про политические аспекты интервью мы напишем в следующем посте.
YouTube
🩸ЭЛИТНЫЕ ХАКЕРЫ REVIL/SODINOKIBI: $100 МИЛЛИОНОВ НА ШИФРОВАЛЬЩИКЕ? | RUSSIAN OSINT
Текстовое интервью [озвученное через синтезатор речи в формате вопрос-ответ с представителем хакерской группировки REvil, которая не так давно внесла на депозит одного из форумов 1 000 000 долларов, чтобы показать свою состоятельность и серьезность намерений.…
Теперь про вопросы политики и правоохранительных органов из интервью владельца ransomware REvil aka Sodinokibi.
1. В результате майского взлома нью-йоркской юридической конторы Grubman Shire Meiselas & Sacks хакеры увели 756 Gb конфиденциальных документов ее клиентов. REvil требовали тогда 42 миллиона долларов, поскольку в документах обнаружили "грязное белье" Трампа.
Юристы платить не захотели, после чего сведения в отношении ухода от налогов со стороны компаний Трампа были проданы хакерами третьей стороне. Мы полагаем, что это именно те данные, которые использовались в конце сентября газетой The New York Times в своих обвинениях в адрес действующего американского Президента.
Таким образом, кто знает, возможно жадность Grubman Shire Meiselas & Sacks будет стоить Трампу президентского поста.
2. На вопрос о том, какие спецслужбы охотятся на REvil, хакеры назвали SIS (Секретная служба США) и Европол, а также инфосек компании. По их информации, они периодически выявляют попытки войти в доверие со стороны агентов этих органов, но те "сыплются на вопросах на политическую и социальную тематику стран СНГ".
Это означает только одно - российские правоохранительные органы по REvil (а равно и другим владельцам ransomware) не работают. И это не наше мнение, а прямые слова самих хакеров.
3. Хакеры прекрасно осознают, что они невыездные пожизненно. Но, судя по всему, вна территории стран СНГ чувствуют себя прекрасно. См. пункт 2.
Со всеми остальными моментами интервью можете ознакомиться сами.
1. В результате майского взлома нью-йоркской юридической конторы Grubman Shire Meiselas & Sacks хакеры увели 756 Gb конфиденциальных документов ее клиентов. REvil требовали тогда 42 миллиона долларов, поскольку в документах обнаружили "грязное белье" Трампа.
Юристы платить не захотели, после чего сведения в отношении ухода от налогов со стороны компаний Трампа были проданы хакерами третьей стороне. Мы полагаем, что это именно те данные, которые использовались в конце сентября газетой The New York Times в своих обвинениях в адрес действующего американского Президента.
Таким образом, кто знает, возможно жадность Grubman Shire Meiselas & Sacks будет стоить Трампу президентского поста.
2. На вопрос о том, какие спецслужбы охотятся на REvil, хакеры назвали SIS (Секретная служба США) и Европол, а также инфосек компании. По их информации, они периодически выявляют попытки войти в доверие со стороны агентов этих органов, но те "сыплются на вопросах на политическую и социальную тематику стран СНГ".
Это означает только одно - российские правоохранительные органы по REvil (а равно и другим владельцам ransomware) не работают. И это не наше мнение, а прямые слова самих хакеров.
3. Хакеры прекрасно осознают, что они невыездные пожизненно. Но, судя по всему, вна территории стран СНГ чувствуют себя прекрасно. См. пункт 2.
Со всеми остальными моментами интервью можете ознакомиться сами.
YouTube
🩸ЭЛИТНЫЕ ХАКЕРЫ REVIL/SODINOKIBI: $100 МИЛЛИОНОВ НА ШИФРОВАЛЬЩИКЕ? | RUSSIAN OSINT
Текстовое интервью [озвученное через синтезатор речи в формате вопрос-ответ с представителем хакерской группировки REvil, которая не так давно внесла на депозит одного из форумов 1 000 000 долларов, чтобы показать свою состоятельность и серьезность намерений.…
Несмотря на то, что последнее время (да и вообще практически всегда) мировая новостная повестка забита материалами про страшных русских (китайских, иранских, северокорейских) хакеров, иногда представители прогрессивной общественности не могут удержать свой язык за зубами и делают чуть ли не официальные заявления насчет хакерской деятельности западных спецслужб.
В этот раз отличился лорд Марк Седвилл, до недавнего времени занимавший пост секретаря кабинета министров Великобритании, а также, по совместительству,советник по национальной безопасности.
Как пишет The Guardian, товарищ Седвилл напрямую заявил в интервью Times Radio, что Великобритания осуществила ряд скрытых операций против России и ее союзников с использованием своего наступательного кибернетического потенциала. В переводе на человеческий - провела хакерские атаки.
Ну, для нас это не новость. По крайней мере, об атаке в 2018 году британцев на Яндекс информация имеется. Любопытно, что, судя по спичу британского лорда, таких атак было несколько. Вероятно не все всплыло.
В этот раз отличился лорд Марк Седвилл, до недавнего времени занимавший пост секретаря кабинета министров Великобритании, а также, по совместительству,советник по национальной безопасности.
Как пишет The Guardian, товарищ Седвилл напрямую заявил в интервью Times Radio, что Великобритания осуществила ряд скрытых операций против России и ее союзников с использованием своего наступательного кибернетического потенциала. В переводе на человеческий - провела хакерские атаки.
Ну, для нас это не новость. По крайней мере, об атаке в 2018 году британцев на Яндекс информация имеется. Любопытно, что, судя по спичу британского лорда, таких атак было несколько. Вероятно не все всплыло.
the Guardian
UK has mounted covert attacks against Russian leadership, says ex-mandarin
Former cabinet secretary Mark Sedwill says UK used offensive cyber-capability to exploit Moscow’s ‘vulnerabilities’
Check Point продолжает приводить примеры использования своей новой техники по установлению авторов эксплойтов с помощью изучения их fingerprints.
Мы уже рассказывали про эту методику - первая часть была здесь.
В этот раз израильтяне решили рассмотреть 1-day эксплойт CVE-2018-8453, предназначенный для повышения локальных привилегий (LPE) в Windows и используемый операторами ransomware Sodinokibi, Maze и др.
Изучив fingerprint эксплойта и сравнив его с другими, исследователи получили 5 однодневных эксплойтов (CVE-2013-3660, CVE-2015-0057, CVE-2015-1701, CVE-2016-7255 и, соответственно, CVE-2018-8453), которые были написаны одним и тем же автором (группой) и направлены на LPE.
Как установили Check Point, за всеми этими эксплойтами стоит актор PlayBit aka luxor2008. Исследователи выявили ряд особенностей в написании эксплойтов со стороны их автора. Например, в каждом примере существовала маленькая обертка вокруг эксплойта, которая проверяет действительно ли целевой хост подвержен эксплуатируемой уязвимости.
Что же удалось узнать израильтянам в отношении PlayBit. Ну, во-первых, оказалось, что актор - русскоязычный (не удивительно) и рекламируется на русскоязычных же хакерских форумах. Во-вторых, у PlayBit есть свой одноименный YouTube-канал с демонстрациями работы эксплойтов и он доступен (!).
PlayBit работает как минимум с 2012 года и в среднем изготавливает на продажу по одному эксплойту в год. Также обнаружились совсем свежие эксплойты от этого автора - CVE-2019-1069 и CVE-2020-0787.
Цены на однодневные эксплойты, само собой, гораздо ниже 0-day и у PlayBit составляют от 5 до 10 тыс. долларов, причем цена была приблизительно одна и та же из года в год.
В общем, методика fingerprint's эксплойтов вполне рабочая и дает интересные результаты. С помощью нее Check Point вполне могут каталогизировать создателей эксплойтов, что, без сомнения, сделает картину киберпреступного мира более прозрачной и понятной.
Мы уже рассказывали про эту методику - первая часть была здесь.
В этот раз израильтяне решили рассмотреть 1-day эксплойт CVE-2018-8453, предназначенный для повышения локальных привилегий (LPE) в Windows и используемый операторами ransomware Sodinokibi, Maze и др.
Изучив fingerprint эксплойта и сравнив его с другими, исследователи получили 5 однодневных эксплойтов (CVE-2013-3660, CVE-2015-0057, CVE-2015-1701, CVE-2016-7255 и, соответственно, CVE-2018-8453), которые были написаны одним и тем же автором (группой) и направлены на LPE.
Как установили Check Point, за всеми этими эксплойтами стоит актор PlayBit aka luxor2008. Исследователи выявили ряд особенностей в написании эксплойтов со стороны их автора. Например, в каждом примере существовала маленькая обертка вокруг эксплойта, которая проверяет действительно ли целевой хост подвержен эксплуатируемой уязвимости.
Что же удалось узнать израильтянам в отношении PlayBit. Ну, во-первых, оказалось, что актор - русскоязычный (не удивительно) и рекламируется на русскоязычных же хакерских форумах. Во-вторых, у PlayBit есть свой одноименный YouTube-канал с демонстрациями работы эксплойтов и он доступен (!).
PlayBit работает как минимум с 2012 года и в среднем изготавливает на продажу по одному эксплойту в год. Также обнаружились совсем свежие эксплойты от этого автора - CVE-2019-1069 и CVE-2020-0787.
Цены на однодневные эксплойты, само собой, гораздо ниже 0-day и у PlayBit составляют от 5 до 10 тыс. долларов, причем цена была приблизительно одна и та же из года в год.
В общем, методика fingerprint's эксплойтов вполне рабочая и дает интересные результаты. С помощью нее Check Point вполне могут каталогизировать создателей эксплойтов, что, без сомнения, сделает картину киберпреступного мира более прозрачной и понятной.
Check Point Research
Exploit Developer Spotlight: The Story of PlayBit - Check Point Research
Research By: Eyal Itkin and Itay Cohen Introduction Exploits have always been an important and integral part of malicious attacks. They allow attackers to gain capabilities that are not easy to achieve otherwise. Whether attackers strive to gain higher privileges…
Press Trust of India (PTI), крупнейшее информационное агентство Индии, вечером в субботу подверглось атаке ransomware LockBit.
Как сообщает индийское издание The Hindu Business Line, практически все сервера информагентства были зашифрованы, в результате чего его работа была приостановлена.
В результате упорного труда индийского саппорта к утру 25 октября работоспособность сети была восстановлена, выкуп индийцы платить не стали.
Но, помня, что LockBit не брезгует воровством данных перед их шифрованием, а также то, что вымогатель находится в "партнерском союзе" с одним из ведущих владельцев ransomware - Maze, можно предположить, что для PTI все только начинается.
Теперь и до журналистов добрались.
Как сообщает индийское издание The Hindu Business Line, практически все сервера информагентства были зашифрованы, в результате чего его работа была приостановлена.
В результате упорного труда индийского саппорта к утру 25 октября работоспособность сети была восстановлена, выкуп индийцы платить не стали.
Но, помня, что LockBit не брезгует воровством данных перед их шифрованием, а также то, что вымогатель находится в "партнерском союзе" с одним из ведущих владельцев ransomware - Maze, можно предположить, что для PTI все только начинается.
Теперь и до журналистов добрались.
BusinessLine
PTI services disrupted after massive ransomware attack on servers
The Press Trust of India’s computer servers suffered a massive ransomware attack, disrupting operations and the delivery of news to hundreds of subscribers across India for several hours, before they
Zoom наконец-то накатили сквозное шифрование (E2EE) на своих клиентах. Но не на всех.
Вчера компания объявила, что E2EE доступно для пользователей Windows, macOS и Android. Клиент под iOS ждет одобрения App Store и будет доступен, предположительно, в ближайшее время для "предварительного технического обзора".
Поддержка сквозного шифрования для браузеров пока отсутствует.
Ключи шифрования будут храниться на стороне клиента, что, по идее, делает невозможным перехват голосовых и видеовызовов со стороны компании. Как оно будет реализовано на самом деле - время покажет. В качестве алгоритма используется 256-битный AES в режиме GCM.
Хорошая новость, ведь чем больше шифрования в мессенджерах, тем больше приватность пользователей.
Вчера компания объявила, что E2EE доступно для пользователей Windows, macOS и Android. Клиент под iOS ждет одобрения App Store и будет доступен, предположительно, в ближайшее время для "предварительного технического обзора".
Поддержка сквозного шифрования для браузеров пока отсутствует.
Ключи шифрования будут храниться на стороне клиента, что, по идее, делает невозможным перехват голосовых и видеовызовов со стороны компании. Как оно будет реализовано на самом деле - время покажет. В качестве алгоритма используется 256-битный AES в режиме GCM.
Хорошая новость, ведь чем больше шифрования в мессенджерах, тем больше приватность пользователей.
GlobeNewswire News Room
Zoom Launches End-to-End Encryption for Free and Paid Users Globally
New Encryption Feature in Technical Preview Offers Increased Privacy and Security for Your Zoom Sessions...
Forwarded from Эксплойт | Live
Яндекс впервые предоставил отчёт о прозрачности
Яндекс рассказал, какие данные интересовали власти России в период со второй половины 2019-го и первой половины 2020-го года.
За весь период правительство совершило порядка 30000 запросов в компанию, 16% из которых Яндекс отказался удовлетворять.
Согласно отчёту, правительство больше всего интересовал «Яндекс.Паспорт» и «Яндекс.Почта», чуть менее — «Яндекс.Такси», геосервисы и медиасервисы.
Компания заверяет, что доступ к электронной почте и личным перепискам может быть предоставлен только по судебному решению.
Напомним, что в июле был составлен «Рейтинг соблюдения цифровых прав», где Яндекс занял почётное третье место.
Яндекс рассказал, какие данные интересовали власти России в период со второй половины 2019-го и первой половины 2020-го года.
За весь период правительство совершило порядка 30000 запросов в компанию, 16% из которых Яндекс отказался удовлетворять.
Согласно отчёту, правительство больше всего интересовал «Яндекс.Паспорт» и «Яндекс.Почта», чуть менее — «Яндекс.Такси», геосервисы и медиасервисы.
Компания заверяет, что доступ к электронной почте и личным перепискам может быть предоставлен только по судебному решению.
Напомним, что в июле был составлен «Рейтинг соблюдения цифровых прав», где Яндекс занял почётное третье место.