Погромист

2021-11-19 20:05:35 Хакеры обходят защиту от шифровальщиков, используя WinRAR

Операторы нового шифровальщика, именующие себя «команда Memento», придумали, как блокировать файлы в тех случаях, когда жертва использует спецзашиту от таких вредоносов. Разбор октябрьских атак в Sophos показал, что во избежание таких помех взломщики теперь архивируют целевые данные с помощью WinRAR и устанавливают пароль на доступ.

В сети мишеней Memento проникает, используя эксплойт CVE-2021-21972 для VMware vCenter. Патч для этой RCE-уязвимости вышел еще в феврале, однако далеко не все пользователи удосужились его установить.

Закрепившись на взломанном сервере, злоумышленники создают SSH-туннель, извлекают учетные данные админа и начинают продвигаться по сети, используя RDP. Закончив рекогносцировку, хакеры тщательно стирают следы своей деятельности с помощью утилиты BCWipe и запускают шифровальщика.

Этот написанный на Python 3.9 зловред вначале архивировал файлы с помощью WinRAR, а затем шифровал их по AES. Однако последнее действие зачастую вызывало срабатывание антивирусной защиты, заточенной под такое поведение, и Memento пришлось скорректировать свой код.

Теперь вредонос не использует шифратор, он только пускает в ход WinRAR, присваивая итогам расширение .vaultz. Для каждого архива генерируется пароль, который затем шифруется с использованием RSA.

Оригиналы архивированных файлов удаляются, а на рабочий стол админа помещается записка с требованием выкупа — суммарно 15,95 BTC (около $1 млн) или 0,099 BTC за каждый документ. Формат и текст этого послания, по словам Sophos, позаимствованы у REvil, для связи закеры предлагают контакты в Telegram и Protonmail.

Жертвы атак, попавших в поле зрения экспертов, выкуп не платили — восстановили свои файлы из резервных копий, заранее побеспокоившись о создании бэкапа. Открыть/Комментировать

2021-11-19 16:00:17 Алексей Марков, кандидат экономических наук и автор знаменитой Хулиномики, выдал новую книгу - “Лягушка, Слон и Брокколи. Как жить, как не надо и что об этом думают все остальные.” Первый печатный вариант уже заканчивается, но электронный всегда доступен на сайте ЛягушкаСлониБрокколи.рф.

Алексей также известен как музыкант в стиле хеви-метал, поэтому и подход к подаче материала у него очень рок-н-ролльный. Марков не стесняется в выражениях и называет вещи своими именами, но не пугайтесь: нецензурных выражений в книгах уже нет.

А те, кто не хочет покупать электронные книги, могут просто подписаться на канал @hoolinomics, где Алексей регулярно публикует новые материалы, видео и ответы на вопросы читателей - это бесплатно. Открыть/Комментировать

2021-11-19 14:13:53 Эксперт объяснил, какая ошибка приводит к утечке персональных данных

Мошенники получают доступ к персональным данным россиян в результате ошибки, которую совершают некоторые компании, рассказал в интервью радио Sputnik координатор Центра безопасного интернета Урван Парфентьев. 

Персональные данные могут быть самого разного рода, но наиболее ценна для злоумышленников та информация, которая относится к банковским счетам или содержится в паспортах россиян. Первую мошенники чаще всего получают с помощью социальной инженерии от самих владельцев данных, а вторая достается им от нерадивых компаний, считает координатор Центра безопасного интернета Урван Парфентьев. В интервью радио Sputnik он отметил, что обычно утечка грозит тем сведениям, которые вовремя не удаляют. 

Исправить ситуацию может частичное изменение правил предоставления услуг, полагает эксперт.  Открыть/Комментировать

2021-11-19 08:11:50 «Яростно потрясти» — новшество Instagram для желающих пожаловаться

Также наконец-то появилась возможность удалить одно фото или видео из карусели

Глава популярной сети Instagram Адам Моссери (Adam Mosseri) анонсировал пару полезных новых функций сервиса. 

Функция Rage Shake, что можно дословно перевести как «встряска ярости», позволяет быстро сообщить разработчикам о проблеме в приложении. Если вы используете приложение, и оно не работает должным образом, достаточно встряхнуть телефон, когда приложение открыто, и на всплывающем экране появится вопрос: «Что-то пошло не так?» с полем для жалобы. 

Вторая функция — это возможность удалить только одно фото или видео из подборки загруженных одновременно, которые отображаются в публикации в виде карусели. До настоящего момента удалить их можно было только все вместе. Моссери добавил, что эту функцию давно просили пользователи, и компания наконец-то решила её реализовать. Открыть/Комментировать

2021-11-18 15:31:37 Поддержку Google Chrome на Windows 7 продлили на год

Компания Google продлила поддержку браузера Chrome в ОС Windows 7 еще на один год. Информация появилась в издании MSPowerUser.
Первоначально планировалось завершить обслуживание браузера в устаревшей ОС с 15 июля текущего года, однако из-за пандемии было решено продлить поддержку до 15 января 2022 года. Теперь же браузер прекратит получать обновления после 15 января 2023 года.

Отмечается, что продление поддержки совпадает с крайним сроком расширенного платного обслуживания операционной системы корпорацией Microsoft. В аналогичный период поддержки лишится и браузер Edge, а Internet Explorer — с 15 июня 2022 года.

По данным StatCounter за октябрь 2021 года, доля Windows 7 среди ПК на различных версиях операционных систем Microsoft составляет около 13,56%.

В России данная ОС установлена на 20,5% компьютеров и ноутбуков. Бесплатная поддержка прекратилась два года назад, однако корпоративные клиенты могли воспользоваться Windows 7 Extended Security Updates, стоимость которого в 2021 году увеличилась до 100 долларов за каждый компьютер. Открыть/Комментировать

2021-11-18 08:13:15 Совершенно новое приложение WhatsApp для Windows уже доступно для скачивания

Разработчики мессенджера WhatsApp уже довольно давно работают над совершенно новым настольным приложением для Windows. Теперь же его можно загрузить в магазине приложений Microsoft для Windows.
Само приложение основано на универсальной платформе Windows (Universal Windows Platform, UWP). Важное нововведение в том, что уведомления работают, даже если приложение закрыто. Также есть новая функция рукописного ввода и поддержка работы с несколькими устройствами — вам не нужен телефон для входа в свою учётную запись.

Стоит добавить, что приложение всё ещё находится в стадии бета-тестирования, поэтому ожидается, что некоторые функции будут реализованы в будущем. Открыть/Комментировать

2021-11-17 23:56:36 Специалисты GitHub рассказали об уязвимостях в npm

Материнская компания npm (Node Package Manager), GitHub, сообщила о двух серьезных уязвимостях, выявленных в JavaScript-менеджере пакетов в октябре-ноябре текущего года.

Первая и наиболее серьезная ошибка, о которой ИБ-исследователи сообщили разработчикам через bug bounty программу GitHub в начале ноября, позволяет злоумышленнику опубликовать новую версию любого пакета npm, используя учетную запись без корректной авторизации.

Уязвимость возникла из-за несогласованности проверок авторизации и данных между несколькими микросервисами, которые обрабатывают запросы к npm.

«В данной архитектуре служба авторизации корректно проверяла авторизацию пользователя для пакетов на основе данных, передаваемых в путях URL запросов. Однако служба, выполняющая базовые обновления данных реестра, определяла, какой пакет нужно публиковать, основываясь на содержимом загруженного файла пакета, — объясняет глава службы безопасности GitHub Майк Хэнли. — Данное несоответствие создало возможность, когда запросы на публикацию новых версий пакета разрешались для одного пакета, но на самом деле выполнялись для другого, потенциально неавторизованного пакета. Мы решили эту проблему, обеспечив согласованность между службами публикации и авторизации, чтобы гарантировать, что один и тот же пакет используется как для авторизации, так и для публикации».

Разработчики пишут, что никаких свидетельств эксплуатации этого бага нет. Но при этом специалисты признают, что уязвимость существовала в npm «сверх временного интервала», для которого у них есть телеметрия, «позволяющая определить, происходили ли когда-либо злоупотребления этой уязвимостью».

Вторая уязвимость была связана с утечкой имен приватных пакетов npm (но не их содержимого), которая произошла через сервер репликации npmjs.com, с которого получают данные сторонние службы. Утечка затронула частные библиотеки npm, которые выглядят как «@владелец/ пакет» и были созданы до 20 октября. Названия таких библиотек были доступны посторонним в период между 21 октября и 29 октября. В настоящее время утечка устранена, и данные удалены.

«Во время обслуживания базы данных, которая поддерживает общедоступную реплику npm на replicate.npmjs.com, были созданы записи, которые могли раскрывать названия частных пакетов, — объясняет Хэнли. — На короткое время это позволило потребителям replicate.npmjs.com узнать названия приватных пакетов из записей, опубликованных в общедоступной ленте изменений. Никакая другая информация, включая содержимое этих приватных пакетов, доступна не была».

Проблема в том, что даже простого знания называний приватных пакетов вполне достаточно для проведения таргетированных и автоматизированных атак типа dependency confusion и typosquatting. Эксперты признают, что replicate.npmjs.com используется третьими сторонами, а значит, те по-прежнему могут хранить копии утечки или «реплицировать данные в другом месте». Открыть/Комментировать

2021-11-17 23:55:16 Пакистанские хакеры создали фейковый магазин приложений для своих атак

Компания Facebook сообщила, что помешала работе одной пакистанской и трех сирийских хакерских групп. Пакистанская хак-группа использовала аккаунты Facebook для атак на членов бывшего афганского правительства, вооруженных сил и правоохранительных органов.

Исследователи рассказывают, что пакистанская хак-группа SideCopy создала поддельный магазин приложений для Android, чтобы атаковать лиц, связанных с бывшим правительством Афганистана (еще до его падения и прихода к власти запрещенной в РФ организации «Талибан»). Эти атаки длились с апреля по август текущего года.

Операторы SideCopy создавали в Facebook поддельные профили, обычно выдавая себя за молодых женщин, знакомились с целями и обманом вынуждали их переходить по вредоносным ссылкам. Такие ссылки вели на фишинговые сайты, которые собирали учетные данные, или, в некоторых случаях, в фиктивные магазины приложений, где размещались зараженные малварью приложения для Android. Обычно хакеры использовали приложения, замаскированные под мессенджеры и имитировали известные бренды, такие как Viber и Signal.

«Среди них были приложения HappyChat, HangOn, ChatOut, TrendBanter, SmartSnap и TeleChat. Некоторые из них на самом деле являются действующими мессенджерами», — рассказывают эксперты.

На самом деле такие фейки были заражены троянами удаленного доступа. Так, некоторые приложения содержали малварь PJobRAT, тогда как другие были заражены ранее неизвестной угрозой под названием Mayhem. Оба вредоноса позволяли хакерам полностью контролировать зараженные устройства.

Кроме того, аналитики Facebook сообщили, что еще в октябре 2021 года они помешали работе трех сирийских хак-групп. Эти злоумышленники атаковали лиц и активистов, противостоящих режиму Башара Асада.

Syrian Electronic Army (Сирийская электронная армия): преследовала правозащитников, журналистов и других лиц противостоящие правящему режиму.
APT-C-37: была нацелена на людей, связанных со Свободной сирийской армией, и бывших военнослужащих, которые присоединились к силам оппозиции.
Неназванная группировка: атаковала группы меньшинств, активистов, оппозицию, курдских журналистов, членов отрядов народной защиты, а также членов Гражданской обороны Сирии или «Белых касок» (добровольческой гуманитарной организации).

Facebook заявляет, что деятельность первых двух групп связана с двумя подразделениями Воздушных разведывательных сил Сирии, одной из самых влиятельных спецслужб страны. Открыть/Комментировать

2021-11-17 17:32:33 Microsoft выпустила обновление November 2021 Update для Windows 10

Компания Microsoft выпустила крупное обновление для Windows 10. Обновление November 2021 Update (21H2) уже доступно для установки всем пользователям. Таким образом, следующее крупное обновление для Windows 10 выйдет только во второй половине 2022 года, а не в мае-июне, как это было прежде.

«Мы переходим на новый график выпуска обновлений для Windows 10, чтобы соответствовать ритму Windows 11, которая ориентирована на ежегодное получение функциональных обновлений <…> Следующее обновление функций Windows 10 намечено на вторую половину 2022 года. Мы продолжим поддерживать как минимум одну версию Windows 10 до 14 октября 2025 года», — говорится в сообщении Microsoft.

Сейчас основные силы компании направлены на поддержку новой операционной системы Windows 11. Однако обновления для Windows 10 будут выходить еще достаточно продолжительное время. Также ежегодные обновления будут удобны для корпоративных пользователей. Обычно им приходится проводить тестирование обновлений на совместимость с используемым оборудованием.

Теперь у компаний будет больше время на проверку совместимости новых функций. Также больше времени для тестирования появится у участников Windows Insider Program (Инсайдерская программа). Это позволит значительно снизить количество ошибок до выхода обновлений, для основной массы пользователей. Открыть/Комментировать

2021-11-17 12:57:16 Spotify, Discord и другие сервисы ненадолго легли из-за отключения Google Cloud

16 ноября меньше чем на час внезапно прекратилась работа Spotify, Discord, Etsy, Pokémon Go и не только. Причиной падения стали неполадки в работе сервисов Google, а именно: Google Cloud Networking, Google Cloud Functions, Google Cloud Run, Google App Engine, Google App Engine Flex, Apigee и Firebase. Компания указала, что проблема была решена в течение 1 часа 49 минут с момента обнаружения. Основной причиной её появления была скрытая ошибка в службе настройки сети.

Согласно отчёту Google, перебои повлияли на клиентов следующим образом:
• Google Cloud Networking – пользователи не смогли внести изменения в балансировку нагрузки на веб-сайтах, из-за чего появлялась страница с ошибкой 404;
• Google Cloud Functions – сайты пользователей, использующих Google Cloud Load Balancing (GCLB), отображали ошибку 404;
• Google Cloud Run – в центральной части США трафик упал на 25% и сайты пользователей, использующих GCLB, отображали ошибку 404;
• Google App Engine – 80% падение трафика в центральной части США и Западной Европе, ошибка 404 на сайтах клиентов, использующих GCLB;
• Google App Engine Flex – ошибка 404 на сайтах клиентов, использующих GCLB, и проблемы с развёртыванием инструмента;
• Apigee – ошибка 404 при выполнении запросов у пользователей, использующих GCLB;
• Google Firebase – ошибка 404 на сайтах пользователей, использующих GCLB.
Как отмечает издание The Verge, подключение к AWS, Google Cloud и другим подобным сервисам помогает компаниям массово распространять контент на сравнительно выгодных условиях. При этом в случае сбоя нарушится работа абсолютно всех сервисов, подключенных к поставщику услуг.

Предыдущий глобальный сбой в работе интернет-ресурсов произошёл 4 октября этого года и продлился пять часов. У Facebook (ныне Meta) отключилась вся внутренняя сеть компании, в том числе корпоративные сегменты, сервера DNS, сервисы и инструменты, Facebook, Instagram и WhatsApp. Предположительно, пошло не по плану удалённое обновление конфигурации маршрутизаторов внутри сети компании, отвечающих за BGP-сессии и их анонсы, а также автономную систему Facebook. После этого перестали быть доступны NS-сервера компании и пропали DNS-записи. Открыть/Комментировать