ITsec NEWS

2022-08-30 11:29:08 ​ Google запретит VPN-приложениям блокировать рекламу.

Google запретит VPN-приложениям для Android вмешиваться в рекламу или блокировать ее — это может создать проблемы для некоторых приложений, связанных с конфиденциальностью. Обновленная политика Google Play вступит в силу 1 ноября.

Согласно правилам, только приложения, использующие Android VPNService и функционирующие как VPN, могут открыть безопасный туннель на уровне устройства для удаленной службы. Такие VPN-приложения не могут «манипулировать рекламой, которая может повлиять на монетизацию приложений».

Например, DuckDuckGo для Android создает локальную службу VPN, чтобы его защита от отслеживания приложений блокировала подключения к серверу отслеживания. Этот браузер может стать потенциальной жертвой новой политики Google Play.

По словам Google, корпорация хочет позволить разработчикам « оздавать более безопасные и более эффективные блокировщики рекламы» даже несмотря на то, что ожидаемый переход на систему Manifest v3 сделает их менее функциональными.

#Google #VPN #Блокировка

ITsec NEWS Открыть/Комментировать

2022-08-29 18:38:19 ​ Иранские государственные хакеры наносят очередной удар по израильским организациям.

Иранские государственные хакеры продолжают использовать уязвимость в Log4j для атак на израильские организации. Microsoft приписывает последние атаки группировке MuddyWater (она же Cobalt Ulster, Mercury, Seedworm или Static Kitten), которая связана с Министерством информации и национальной безопасности Ирана.

Чтобы получить первоначальный доступ в среды израильских организаций, хакеры использовали экземпляры SysAid Server, не защищенные от уязвимости в Log4Shell. Это отклонение от стандартной стратегии — использование VMware для проникновения в системы жертв. В сообщении Microsoft говорится, что получив доступ к нужной среде, злоумышленники закрепляются в ней, сбрасывают учетные данные и перемещаются внутри систем целевой организации, используя пользовательские и хакерские инструменты, чтобы проводить атаки с использованием клавиатуры.

Аналитики Microsoft зафиксировали атаки в период с 23 по 25 июля 2022 года. По словам специалистов, взломав систему, злоумышленники развертывают веб-оболочки — хакеры получают возможность проводить разведку, красть учетные данные, закрепляться и перемещаться в системах жертвы.

Для обеспечения связи с C&C-инфраструктурой киберпреступники использовали ПО eHorus и Ligolo.

Напомним, уязвимость в Log4j используется не только хакерами, но и пентестерами. Не так давно, используя ошибку, связанную с Log4j, пентестер взломал крупного оператора связи Канады.

#Иран #Хакеры #Израиль

ITsec NEWS Открыть/Комментировать

2022-08-29 17:32:59 ​ Германия приказала отключить цифровую рекламу для экономии газа.

Германия распорядилась отключать на ночь ненужные цифровые вывески, чтобы сохранить запасы природного газа для более важных целей.

Как и многие европейские страны, Германия зависит от импорта газа из России. И из-за специальной военной операции России в Украине этого газа не хватает.

Поэтому Европейский союз ввел в действие план по экономии энергии. Одна из немецких тактик в том, что цифровые вывески в витринах магазинов и других второстепенных местах должны отключать с 22:00 до 6:00. Германия также остановит наружное освещение некоторых общественных зданий и примет другие меры по энергосбережению.

Цифровые вывески редко выключаются, поэтому персоналу розничной торговли придется научиться выполнять новые требования. Во многих из них используется компьютер: некоторые работают на базе Android, другие используют вычислительные модули, Intel NUC и даже Raspberry Pi. Поэтому администраторам придется справляться с дополнительными перезагрузками.

#Германия #Газ #ЦифроваяРеклама

ITsec NEWS Открыть/Комментировать

2022-08-29 16:14:35 ​ Новый вымогатель атакует компании Африки и Азии.

Исследователи Trend Micro обнаружили новую программу-вымогатель Agenda. Ее использовали для атаки на одного из клиентов компании.

Согласно расследованию, злоумышленник использовал общедоступный сервер Citrix как точку входа. Вероятно, хакер использовал действующую учетную запись для доступа к этому серверу и выполнения бокового перемещения внутри сети жертвы.

Новое семейство программ-вымогателей написано на Golang и использовалось для атак на предприятия в Азии и Африке. Название Agenda происходит от сообщений в дарквебе пользователя по имени Qilin, который предположительно связан с распространителями вымогательского ПО.

Согласно отчету Trend Micro, каждый образец программы-вымогателя настроили для предполагаемой жертвы. Он содержит утечку учетных записей, паролей клиентов и уникальных идентификаторов компаний, которые использовались как расширения зашифрованных файлов. Кроме того, запрашиваемая сумма выкупа различается для каждой компании и варьируется от $50.000 до $800.000.

По словам экспертов, Agenda меняет пароль пользователя по умолчанию и позволяет автоматически входить в систему с новыми учетными данными, чтобы избежать обнаружения. Agenda перезагружает компьютер жертвы в безопасном режиме, а затем шифрует файлы при перезагрузке. По этому методу работает группировка REvil.

Злоумышленник получил доступ к Active Directory через RDP, используя утекшие учетные записи, а затем использовал инструменты Nmap и Nping для сканирования сети. Они отправили запланированную задачу на машину домена групповой политики.

Agenda использует «безопасный режим», чтобы незаметно продолжить процедуру шифрования. Программа-вымогатель также использует локальные учетные записи для входа в качестве поддельных пользователей и выполнения двоичного кода программы-вымогателя, дополнительно шифруя другие машины при входе в систему. Вредоносное ПО также завершает работу многочисленных процессов и служб и обеспечивает сохранение путем внедрения DLL в svchost.exe.

#Вымогатель #Африка #Азия

ITsec NEWS Открыть/Комментировать

2022-08-29 14:13:13 ​ Государственная IT-инфраструктура Черногории подверглась масштабной кибератаке.

Масштабная кибератака поразила государственную IT-инфраструктуру Черногории. Правительство своевременно приняло меры для смягчения воздействия атаки. НАТО уже сообщили.

По словам министра госуправления Мараса Дукая, некоторые системы временно отключили. Счета граждан и компаний и их данные в безопасности.

Нападение началось в ночь на 25 августа. Посольство США в Черногории посоветовало гражданам США ограничить передвижение по стране и иметь актуальные проездные документы. США опасается, что нападение может повлиять на государственную инфраструктуру для идентификации транспорта и людей, проживающих в Черногории.

Атака может привести к сбоям в работе коммунальных служб, транспорта (включая пограничные переходы и аэропорт) и телекоммуникаций.

Кроме того, государственная энергетическая компания EPCG перешла на ручное управление, чтобы предотвратить любой возможный ущерб после предупреждений АНБ о том, что эта фирма может стать целью хакеров. Организация также временно отключила некоторые услуги для клиентов в качестве меры предосторожности.

Правительство считает, что нападение организовали правительственные хакеры. Кто именно стоит за атакой, пока не сообщается. Уходящий в отставку премьер-министр Дритан Абазович сказал, что эта атака была политически мотивирована после отставки его правительства.

Ранее в 2021 году Киберкомандование США разместило в Черногории свои киберподразделения для отражения атак правительственных хакеров и проведения контрнападения.

#IT #Черногория #Кибератака #Уязвимость

ITsec NEWS Открыть/Комментировать

2022-08-29 12:27:51 ​ Мошенники создали целый NFT-проект «Мир Ктулху» для распространения вредоносного ПО.

По словам исследователя кибербезопасности iamdeadlyz , злоумышленники создали целый проект для продвижения поддельной P2E-игры — Cthulhu World. Они распространяют через него вредоносное ПО: Raccoon Stealer, AsyncRAT и RedLine для кражи паролей жертв.

Чтобы продвинуть проект, киберпреступники рассылают сообщения пользователям в Twitter и предлагают протестировать свою новую игру. По словам iamdeadlyz, в обмен на тестирование и продвижение игры злоумышленники обещают вознаграждение в Ethereum.

В сообщениях жертвам мошенники пишут код, который нужно ввести на странице загрузки альфа-теста игры. В зависимости от введенного кода из DropBox будет загружен определенный файл.

Каждый файл из DropBox устанавливает разные вредоносные программы — это позволяет злоумышленнику выбрать способ атаки жертвы. При установке AnyRun обнаружили 3 вредоносных ПО: AsyncRAT, RedLine Stealer и Raccoon Stealer.

Сейчас веб-сайт Cthulhu World недоступен, но Discord-группа остается активной. Более того, некоторые пользователи считают, что проект настоящий.

Жертвам рекомендуют провести сканирование системы антивирусным ПО и удалить подозрительные файлы. Поскольку вредоносные программы крадут пароли, cookie-файлы и криптовалютные кошельки, пользователям следует сбросить все пароли и создать новые криптокошельки.

Но самый разумный способ действий — переустановить ОС с нуля, поскольку эти вредоносные программы предоставляют полный доступ к зараженному компьютеру, и другие необнаруженные вредоносные программы все еще могут быть установлены.

#NFT #МирКтухлху #Киберпреступление #ВредоносноеПО #Мошенничество

ITsec NEWS Открыть/Комментировать

2022-08-29 11:24:00 ​ LockBit улучшает защиту от DDoS-атак и начинает проводить кампании с тройным вымогательством.

Представитель группировки под именем LockBitSupp объявил, что группа вернулась в бизнес с более крупной инфраструктурой, чтобы обеспечить защиту от DDoS-атак. По словам LockBitSupp, группировка планирует добавить DDoS-атаку в свои кампании в дополнение к шифрованию данных и их утечке. Теперь группа будет атаковать цели по схеме тройного вымогательства: шифрование + утечка данных + DDoS-атака.

Кроме того, недавняя DDoS-атака не позволила группировке опубликовать украденные данные Entrust на своем сайте утечек, поэтому 27 августа LockBit выпустила торрент под названием «entrust.com» с 343 ГБ украденных файлов. Торрент распространялся на нескольких трекерах и на самом сайте утечек LockBit.

Один из методов предотвращения дальнейших DDoS-атак — использование уникальных ссылок в примечании о выкупе для жертв. По словам LockBitSupp, уже реализована функция рандомизации ссылок в заметке о выкупе. Каждая сборка локера будет иметь уникальную ссылку, которую ддосер не сможет распознать.

Кроме того, хакеры объявили об увеличении количества зеркал и серверов-дубликатов, а также о плане повысить доступность украденных данных. Теперь они будут доступны через клиринговую сеть и пуленепробиваемый хостинг.

#LockBit #DDoS

CryptoYozh Открыть/Комментировать

2022-08-29 11:04:58 ​ Данные пользователей CDEK.Shopping и CDEK.MARKET попали в открытый доступ. Как сообщает телеграмм-канал “Утечки информации”, 29 августа 2022 года в открытый доступ попала часть базы данных пользователей онлайн-платформы CDEK.Shopping (19.839 строк)… Открыть/Комментировать

2022-08-29 11:00:22 ​ Рекорд за всю историю криптоиндустрии: в 2022 году украли NFT на 100 миллионов долларов.

Согласно отчету лондонской компании Elliptic, несмотря на падение цен и объемов продаж NFT, мошенничество на рынке невзаимозаменяемых токенов по-прежнему широко распространено. В июле зафиксировали самое большое количество краж NFT за всю историю криптоиндустрии.

Специалисты сказали, что в 2022 году 23% от всех краж токенов совершили обманом в соцсетях. В среднем за одну кражу злоумышленники получали $300.000. Компания добавляет, что истинные масштабы краж NFT, скорее всего, еще выше, потому что не обо всех преступлениях сообщается публично.

По оценкам Elliptic, злоумышленникам удалось отмыть на NFT-платформах около $8 000 000. Кроме того, на рынке NFT «крутится» $329 000 000, которые были переведены с криптовалютных микшеров.

По словам специалистов компании, с помощью одного только Tornado Cash злоумышленники отмыли чуть более половины заработанного с украденных NFT, прежде чем в этом месяце правительство США ввело санкции против микшера.

Ссылаясь на кражу 540 миллионов долларов в апреле, Elliptic подчеркнула, что для сервисов, связанных с NFT, существует реальная угроза со стороны государственных хакерских организаций.

#NFT #Криптовалюта

CryptoYozh Открыть/Комментировать

2022-08-29 10:20:01 ​ Данные пользователей CDEK.Shopping и CDEK.MARKET попали в открытый доступ.

Как сообщает телеграмм-канал “Утечки информации”, 29 августа 2022 года в открытый доступ попала часть базы данных пользователей онлайн-платформы CDEK.Shopping (19.839 строк), а также маркетплейса CDEK.MARKET (100 тыс. строк).

В опубликованном дампе базы CDEK.Shopping 19.839 строк: информация об именах пользователей, адресах электронной почты, хешированных (bcrypt) паролях, телефонах и датах рождения.

Как сообщается, судя по логам, базу выгрузили 15 августа.

Вторая база — CDEK.MARKET — содержит 100 тысяч строк с данными клиентов маркетплейса. Среди обнародованной злоумышленником информации имена и фамилии пользователей, их логины, адреса электронной почты, телефоны, хешированные ( MD5 с солью) пароли, а также служебная информация, включая дату активации аккаунта.

Это не первая утечка CDEK. 14 июля стало известно, что в открытый доступ попали 3 новых файла с данными клиентов СДЭК. Утечка могла коснуться 25 млн пользователей и 30 тыс. контрагентов.

#CDEK #CDEKShopping #CDEKMARKET

ITsec NEWS Открыть/Комментировать