SecAtor

2021-05-04 13:55:41 Гендир Positive Technologies дал интервью РБК по поводу введенных против компании американских санкций. И мы вновь разочарованы.

"В качестве ответной реакции на введение санкций компания "будет становиться еще более прозрачной и открытой", а также разговаривать с официальными лицами в США" - вот что заявляет нам господин Максимов.

О чем Позитивы собираются разговаривать с "официальными лицами в США"?! Убеждать их в том, что они не ENFER (кодовое обозначение российской инфосек компании, работающей с российскими госорганами, из отчета Atlantic Council)? Так Зеттер уже сделала соответствующий слив со ссылкой на "анонимные источники из спецслужб".

Можно, конечно, попросить еще больше санкций. Потому что все остальное вряд ли будут слушать.

Совершенно беззубое поведение российских инфосек вендоров просто поражает. Сначала Касперские, которым США просто растоптали весь бизнес в Северной Америке, боятся, что все подумают о том, что они атрибутируют хакерскую группу Lamberts как принадлежащую ЦРУ. Теперь Позитивы после объявления необоснованных (ну вот по честному, так же) санкций планируют "становиться еще более прозрачной и открытой компанией". Не говоря уже о Сачкове, который в погоне за признанием Group-IB сингапурской компанией разве что пластическую операцию по сужению глаз еще не сделал.

При этом противоположная сторона подобных вещей не делает от слова совсем. FireEye никогда не открещивалась от своего ЦРУшного (через In-Q-Tel) происхождения. Альперович со своей CrowdStrike ничуть не стеснялся атрибутировать атаки на сервера американской Демпартии в 2016 году как дело рук российской разведки, хотя никаких четких TTPs не было.

Господа, мы всех вас ценим и любим, вот честно. И всегда будем поддерживать в подобных ситуациях. Но отрастите себе уже тестикулы, господа. Открыть/Комментировать

2021-05-04 12:05:48 А пока мы отдыхали Apple выпустили срочные обновления для macOS, iOS и iPadOS, а также watchOS. И это несмотря на то, что большие апдейты в виде macOS 11.3 Big Sur и iOS 14.5 вышли только неделю назад.

Обновления исправляют уязвимости CVE-2021-30665 и CVE-2021-30663 в браузерном движке Webkit (если мы не ошибаемся, количество обнаруженных в этом движке с начала года 0-day дырок приближается к десятку), которые позволяют осуществить хакеру удаленное выполнение кода (RCE) на атакованном устройстве при посещении пользователем вредоносного сайта.

Первая уязвимость была обнаружена исследователями из китайской Qihoo 360, вторая - анонимным ресерчером.

Apple отмечает, что обе уязвимости моги использоваться в дикой природе. А значит нет повода забить и не обновлять свои яблочные устройства прямо сейчас. Тем более когда речь идет об RCE. Открыть/Комментировать

2021-04-30 18:02:11 ​​Дорогие друзья!

Поздравляем всех с наступающими (по крайней мере в России) первомайскими праздниками! Желаем как следуют отдохнуть!

Но мы от вас на 10 дней не пропадаем, ждите на следующей неделе новых постов. Тем более новости подъехали, что китайцы КБ Рубин атакуют, в Твиттере что-то страшное вангуют через 5 дней, так что будет о чем писать.

See U! Открыть/Комментировать

2021-04-30 15:03:05 Оператор ransomware REvil успешно атаковал суд бразильского штата Рио-Гранди-ду-Сул (TJRS). Штат, надо сказать, немаленький - население под 12 млн. жителей.

Атака произошла 28 апреля, когда сотрудники суда обнаружили, что все их документы зашифрованы, а на рабочих столах их компьютеров появились заметки о выкупе. Вскоре после этого техническая поддержка предупредила работников о том, что надо воздержаться от входа в сервисы TJRS.

Как сообщают журналисты BleepingComputer, вымогатели потребовали выкуп в размере 5 млн. долларов. При этом, по их словам, "IT-персонал суда пережил приступ истерического стресса".

Чтобы не переживать такие приступы, очевидно, надо должным образом следить за состоянием информационной безопасности вверенных IT-систем.

А мы вспомним, что в ноябре прошлого года оператор ransomware RansomExx бомбанул ресурсы Верховного суда Бразилии, в результате чего две с половиной недели электронные сервисы суда не функционировали. Открыть/Комментировать

2021-04-30 13:25:17 ​​В конце января в VPN-решениях компании SonicWall была обнаружена 0-day уязвимость, через которую, в числе прочих, взломали и саму SonicWall.

Теперь же FireEye сообщает, что указанная уязвимость, которая получила CVE-2021-20016, использовалась хакерской группой, обозначаемой как UNC2447, для проведения атак ransomware.

По данным FireEye, UNC2447 была впервые замечена в ноябре 2020 года, когда она использовала новый дроппер WarPrism. Похоже, что это типичный оператор ransomware, работающий с владельцами различных штаммов вымогателей.

В январе и феврале 2021 года исследователи обнаружили, что ряд их клиентов был атакован новым ransomware FiveHands ( переделка известного DeathRansom), который развертывался в скомпрометированной сети с помощью вредоноса SombRAT. Точкой компрометации сетей служило ПО от SonicWall. В ходе расследования одной из атак удалось обнаружить образцы WarPrism, а также профили имплантов Cobalt Strike, аналогичные использовавшимся UNC2447. Таким образом, FireEye связала все эти атаки с хакерской группой.

Самое интересное, что UNC2447 использовали уязвимость в VPN от SonicWall еще до выпуска разработчиком исправлений, то есть они не могли получить данные о CVE-2021-20016 путем реинжиниринга соответствующего патча.

Примечательно, что за несколько дней до появления первых сведений об этой уязвимости в январе этого года с журналистами BleepingComputer связался анонимный хакер и сообщил, что у него есть информация о 0-day уязвимости известного производителя брэндмауэров, про которую этот производитель молчит и не информирует своих клиентов, подвергающихся атакам с использованием этой и других ошибок. Судя по всему речь шла именно о SonicWall.

Если дела действительно обстоят таким образом, то это означает, что SonicWall косвенно несет ответственность за понесенный компаниями ущерб в ходе атак ransomware FiveHands. Потому что не сообщила известную ей информацию о наличии дырки в своих продуктах. Открыть/Комментировать

2021-04-30 11:11:26 ​​Не успели мы порадоваться по поводу того, что Лаборатория Касперского дерзко раскрыла принадлежащий ЦРУ вредонос, как последовало вот это разъяснение от одного из ресерчеров ЛК.

Нет, если подходить скрупулезно, то вынуждены согласиться, что Касперские никогда напрямую не атрибутировали Lamberts как подразделение ЦРУ. И все же чувствуем некоторое разочарование.

Что ж ты, фраер, сдал назад (с) Открыть/Комментировать

2021-04-29 20:11:51 ​​Стоящая за ransomware Babuk команда заявила о закрытии проекта. Исходники будут размещены в паблике, а хакеры собираются заняться новым проектом Open source RaaS (Ransomware-as-a-Service).

Связано ли это как-то с их последней атакой на Управление полиции Вашингтона - неясно. Открыть/Комментировать

2021-04-29 17:52:00 Неприятная новость из медицинской отрасли.

Шведская компания Elekta, поставщик медицинского оборудования, используемого в онкологии и радиологии, на неделе сообщила, что 20 апреля стала жертвой кибератаки на облачное хранилище данных, в результате которой пострадали клиенты компании из США.

Подробности не сообщаются, но судя по всему это была атака оператора ransomware.

И хотя шведы, как многие в таких случаях, говорят о минимальном ущербе, по информации журнала HIPAA, по крайней мере один медицинский центр Yale New Haven Health из Коннектикута был вынужден более чем на неделю отключить свое радиологическое оборудование, которое использовалось для лучевой терапии онкобольным пациентам. Они были переведены для продолжения лечения в другие медицинские учреждения.

Имел ли какие-то последствия для больных перерыв в лучевой терапии - не сообщается. Но от самого факта подобного происшествия мы испытываем идиосинкразию.

Какого рожна оборудование для лучевой терапии критически зависит от работоспособности облачного хранилища? Почему имея такую уязвимую архитектуру компания Elekta не уделила, очевидно, должного внимания вопросам информационной безопасности? И когда уже переведутся слепошарые вымогатели, которые не в состоянии понять потенциальные последствия от своей атаки?

На этом фоне целевая группа экспертов по ransomware Института безопасности и технологий (IST) разработала многостраничный документ по противодействию атакам ransomware, в котором дала список из 48 конкретных мероприятий. В их числе:
- санкции против стран, на территории которых находятся владельцы ransomware (мы об этом еще осенью предупреждали, отключат SWIFT - передавайте привет Evil Corp);
- создание в США специализированных рабочих групп по борьбе с ransomware и наделение их особыми международными полномочиями;
- обязательство организаций сообщать о фактах атаки ransomware и всем, что с ними связано;
- значительное усиление контроля над рынком криптовалют, которые являются основным расчетным средством между вымогателями и жертвой и пр.

Поможет ли - неясно. Но очевидно, что значимость ransomware выходит на новый уровень, а меры по борьбе с хакерами могут зацепить нас всех. Открыть/Комментировать

2021-04-29 16:27:34 Румынская инфосек компания Bitdefender опубликовала отчет об операциях кибершпионажа, которые проводила китайская APT Naikon с июня 2019 по март 2021 года.

В качестве целей выступали военные учреждения стран Юго-Восточной Азии. Основными задачами хакеров было закрепление в скомпрометированной сети, дальнейший сбор конфиденциальной информации и ее отправка на управляющие центры. Для этого злоумышленники использовали два авторских бэкдора - RainyDay и Nabulae, оба обладают функционалом полноценных RAT.

APT Naikon aka Lotus Panda - это довольно старая хакерская группа, которая, как считается, работает на Второй департамент технической разведки НОАК (Unit 78020). Основное направление атак - страны Юго-Восточной Азии, включая Филиппины, Малайзию, Индонезию, Сингапур и Таиланд. В 2015 году китайцы в рамках кибероперации CameraShy

Naikon имеет множественные пересечения с китайской APT Cycldek, она же Hellsing и Goblin Panda, которые позволяют делать выводы о том, что с большой долей вероятности это разные подразделения одной и той же хакерской группы. Так и в этот раз - некоторые выявленные исследователями Bitdefender TTPs, применявшиеся Naikon, схожи с техниками, которые Cycldek использовала в начале апреля для развертывания своего FoundCore RAT при атаке на вьетнамские военные и правительственные организации. Открыть/Комментировать

2021-04-29 13:12:05 ​​Веселая неделя выдалась у американской репрессивной машины. Не успели еще полицейские Вашингтона разобраться с утечками, организуемыми владельцами ransomware Babuk, как другие вымогатели начали сливать инфу правоохранителей США в сеть.

Как пишет The Record, банда, стоящая за ransomware DoppelPaymer (считается, что это российская Evil Corp), 10 апреля взломала сеть офиса прокурора штата Иллинойс. 21 апреля вымогатели взяли на себя ответственность за атаку и в качестве доказательства слили несколько украденных файлов в паблик.

Поскольку дальнейшие переговоры с офисом прокурора зашли в тупик, то хакеры выкинули на своем сайте утечек большое количество слитой в процессе атаки конфиденциальной информации, включая материалы судебных дел, в том числе не публиковавшиеся в рамках слушаний документы. Кроме того, там содержатся данные в отношении американских заключенных, их дел и жалоб.

Напомним, что ранее DoppelPaymer успешно ломали Foxconn, Pemex, KIA Motors America и многие другие компании, а также сеть Университетской больницы в Дюссельдорфе (UKD), в результате чего погиб не получивший своевременной неотложной помощи пациент.

Кстати, неожиданно для себя обнаружили, что часть сообщества называет этот штамм ransomware DoppelPaymer, а часть - DopplePaymer. Причем оба варианта написания присутствуют и на сайте утечек этого вымогателя. Хотя, как мы понимаем, название было образовано от немецкого Doppelganger, "темный двойник". Открыть/Комментировать