Хакеры опубликовали около 700 Гбайт украденной у ADATA информации 22.06.2021 Хакеры, стоящие за вирусом-вымогателем Ragnar Locker, опубликовали в Сети украденные у компании ADATA файлы общим объёмом около 700 Гбайт. Всего доступно 13 архивов, в которых, предположительно, содержится конфиденциальная информация тайваньского производителя оперативной памяти, твердотельных накопителей и других устройств.
В минувшее воскресенье хакеры разместили украденные файлы на файлообменнике MEGA и отметили, что доступ к ним скоро может быть закрыт. Злоумышленники не ошиблись, поскольку сервис вскоре действительно заблокировал все размещённые ссылки.
По данным портала BleepingComputer, в списке содержались архивы разного объёма, от 1 до почти 300 Гбайт. По названию файлов сложно определить, что в них может находиться, особенно в случае с Archive#1 и Archive#2. Исходя из названий других файлов, злоумышленники опубликовали финансовую информацию ADATA, договоры о неразглашении информации (NDA) и прочие сведения о тайваньском производителе.
Публикация файлов подтверждает то, что ADATA отказалась платить хакерам выкуп за возврат украденных данных, и самостоятельно восстановила защиту в своей системе безопасности.
По словам представителя хакерской группировки Ragnar Locker, перед тем, как зашифровать доступ к размещённой на сервере ADATA информации, они похитили в общей сложности 1,5 Тбайт данных. Хакеры не торопились, поскольку у ADATA оказалась очень слабая защита безопасности корпоративной сети. Насколько это заявление соответствует действительности — пока неизвестно.
«В общем, как обычно, мы предложили им сотрудничество и помощь в закрытии дыр, а также в восстановлении информации, конечно же, пообещав не публиковать в открытом доступе информацию, к которой мы получили доступ. Как оказалось, они не сильно ценят свою информацию, а также личные данные своих партнёров, клиентов, сотрудников и покупателей», — отметил представитель Ragnar Locker.
Следует отметить, что хакеры уже второй раз публикуют украденную у ADATA информацию. Ранее они выложили в Сеть четыре небольших архива общим объёмом менее 250 Мбайт. Что любопытно, их по-прежнему можно скачать с файлообменника.
На сетевые хранилища WD My Book Live напал неизвестный вирус — он полностью уничтожает данные 25.06.2021 Владельцам сетевых хранилищ WD My Book Live следует немедленно позаботиться об их безопасности, иначе есть риск остаться без важных данных. На форуме, посвящённом продукции WD, производитель сообщил, что неизвестное вредоносное ПО уничтожает данные пользователей и посоветовал отключить от интернета накопители My Book Live и My Book Live Duo.
Некоторые пользователи с форума WD сообщают, что их устройства сброшены до заводских настроек, другие — о том, что при попытке доступа к данным их перенаправляют на страницу ввода пароля, которого они не знают.
В большинстве случаев пострадавшие рассказывают о том, что информация уничтожена. При этом файловая структура остаётся нетронутой, но папки оказываются пустыми либо вирус их полностью удаляет — за исключением тех, что присутствуют в сетевом хранилище по умолчанию.
WD разослала официальные заявления в несколько интернет-изданий, включая BleepingComputer и Ars Technica — в основном дублируется информация с форума, утверждающая, что производитель расследует инцидент и непохоже, чтобы серверы компании были скомпрометированы.
КОЛИЧЕСТВО АТАК НА ОБЪЕКТЫ КРИТИЧЕСКОЙ ИНФРАСТРУКТУРЫ ВЫРОСЛО ВТРОЕ 25.06.2021 В первой половине 2021 года в России было зафиксировано почти в 3 раза больше атак на объекты критической инфраструктуры, чем за весь 2019 год. Об этом в ходе панельной дискуссии «Кибербезопасность критической инфраструктуры» в рамках конференции «Цифровая индустрия промышленной России» заявил руководитель департамента сетевой безопасности компании Group-IB Никита Кислицин.
По данным Group-IB, на объекты критической информационной инфраструктуры (КИИ) нацелены суммарно 137 групп, из которых 122 киберкриминальных и 15 прогосударственных. Основная мотивация киберкриминальных групп финансовая, большую часть от их числа составляют вымогатели — хакеры, атакующие организации с целью выкупа за расшифровку данных. Целями проправительственных хакерских групп являются шпионаж, саботаж и диверсии. В мире количество атак на объекты критической инфраструктуры в первой половине 2021 года выросло в 12 раз в сравнении с 2019-м, приводит статистику Group-IB.
В России за первые 6 месяцев 2021 года 40% атак на объекты КИИ были совершены киберкриминалом, 60% — прогосударственными атакующими.
В среднем восемь из десяти промышленных предприятий России имеют проблемы с обслуживанием ИТ-инфраструктуры, отметил Никита Кислицин. К этому приводит недостаток ресурсов, устаревшее программное обеспечение и зачастую невыстроенный процесс патч-менеджмент (процесс закрытия уязвимостей благодаря своевременным обновлениям), а значит, они являются потенциальной мишенью для киберпреступников, подчеркнули в Group-IB.
Ранее сообщалось, что наибольшее число кибератак в России в 2020 году пришлось на органы государственной власти.
Хакеры, стоящие за разрушительной атакой шифровальщика-вымогателя, затребовали $70 млн 05.07.2021 19:22 Хакерская группировка REvil взяла на себя ответственность за крупномасштабную хакерскую атаку на программное обеспечение для удалённого администрирования VSA компании Kaseya. Хакеры рапортуют о миллионе заражённых вымогателем-шифровальщикам систем и называют цену универсального дешифратора — $70 млн в биткоинах.
До сих пор о причастности REvil к кибератаке на IT-инфраструктуру тысяч компаний через программное обеспечение VSA говорилось с добавлением слова «вероятно». Но хакерская группировка, предположительно состоящая из русскоговорящих хакеров, решила развеять все сомнения и опубликовала заявление в своём блоге.
«В пятницу (02.07.2021) мы начали атаку на провайдеров удалённого администрирования. Было заражено более миллиона систем. Если кто-то хочет договориться об универсальном дешифраторе — наша цена $70 000 000 в BTC, и мы опубликуем дешифратор, который расшифрует файлы сразу всех жертв, так что каждый сможет восстановить свои системы после атаки менее чем за час. Если вы заинтересованы в такой сделке, свяжитесь с нами, используя инструкцию в файле readme на поражённой системе», — сказано в блоге REvil.
Таким образом REvil предлагает обращаться к ним не каждой потерпевшей компании отдельно, а всем сразу, например, через Kaseya, программное обеспечение которой стало каналом для распространения вредоноса. Параллельно допускается возможность и индивидуального обращения к хакерам — размер выкупа разнится для каждой компании. С некоторых хакеры требуют $5 млн, с некоторых — $500 тыс. Самый маленький выкуп, про который известно на данный момент, — $45 тыс.
Если требование REvil о едином 70-миллионном выкупе будет выполнено, то он станет крупнейшим в истории платежом в адрес кибервымогателей. На данный момент компания Kaseya всё ещё не даёт никаких определённых комментариев. Поэтому о её намерениях заплатить выкуп или противостоять атаке другими способами ничего не известно.
Атака, напомним, началась в пятницу поздно вечером. Хакеры, смогли воспользоваться эксплойтом в программном обеспечении для удалённого администрирования VSA, что дало им доступ к многочисленным клиентским компьютерам.
В компании Kaseya знали о проблемах с кибербезопасностью до недавнего взлома 11.07.2021 По сообщениям сетевых источников, руководство компании Kaseya, чьё программное обеспечение для удалённого администрирования VSA подверглось хакерской атаке ранее в этом месяце, было заранее предупреждено о проблемах с безопасностью. Об этом пишет издание Bloomberg со ссылкой на слова бывших сотрудников Kaseya. Согласно имеющимся данным, в период с 2017 по 2020 годы сотрудники офисов Kaseya в США неоднократно обращали внимание руководства на различные проблемы с кибербезопасностью. Однако такие вопросы обычно не решались в полном объёме. Об этом заявили несколько бывших сотрудников Kaseya, которые занимались проектированием и разработкой программного обеспечения компании. Они пожелали сохранить конфиденциальность, поскольку ранее подписали соглашение о неразглашении информации.
Среди наиболее очевидных проблем с безопасностью называются использование ПО на основе устаревшего кода, использование слабого шифрования и простых паролей в продуктах и серверах Kaseya, несоблюдение основных правил кибербезопасности, таких как регулярное обновление ПО. Один из бывших сотрудников компании рассказал, что в 2019 году отправил руководству 40-страничный документ с описанием проблем безопасности и был уволен примерно через две недели после этого. Он предполагает, что лишился работы из-за того, что занимался изучением вопросов безопасности ПО Kaseya. Ещё один бывший сотрудник рассказал, что компания редко выпускала исправления для своего ПО и хранила пароли клиентов в незашифрованном виде на сторонних платформах. Другие бывшие сотрудники сообщили, что приоритетным направлением при разработке ПО Kaseya является добавление новых функций, а не устранение существующих проблем.
Исследователи из Голландского института раскрытия уязвимостей (DIVD) ещё в апреле этого года уведомили Kaseya о многочисленных проблемах с безопасностью в ПО компании. Специалисты института отмечают, что Kaseya продемонстрировала готовность к сотрудничеству и стремление исправить ситуацию. Компания быстро выпустила патч, но к моменту атаки шифровальщика в этом месяце ещё не все уязвимости были устранены.
Напомним, сервис Kaseya стал каналом распространения шифровальщика-вымогателя, жертвами которого стали около 1500 конечных клиентов из разных стран мира. Ответственность за проведение этой атаки взяли на себя хакеры из группировки REvil, которые потребовали от жертв вредоносного ПО общий выкуп в $70 млн за предоставление универсального дешифратора.
11 июля 2021 Хакеры украли биткойны прямо из полицейского кошелька Полиция планировала использовать криптовалюту для контрольной закупки наркотиков По данным New Zealand Herald, хакеры украли 45000 новозеландских долларов (или около 32000 долларов США) в биткойнах из кошелька полиции Новой Зеландии.
Полиция намеревалась использовать биткойны для скрытой контрольной закупки наркотиков. Однако неизвестная организация получила контроль над ключами, необходимыми для доступа к кошельку, и похитила криптовалюту.
Полиция до сих пор не знает, кто украл биткойны, хотя детектив-инспектор Стюарт Миллс (Stuart Mills) из Национальной группы по борьбе с организованной преступностью полиции Новой Зеландии говорит, что злоумышленники «вероятно, находятся за границей» и что «преступление было частью более широкого мошенничества, нацеленного на биткойн-кошельки». Расследование того, как преступники получили ключи и куда ушли деньги, продолжается.
Хакеры украли биткойны прямо из полицейского кошелька Полиция Новой Зеландии не в первый раз работает с криптовалютой. В прошлом году власти Новой Зеландии конфисковали BTC на сумму около 90 миллионов долларов США у Александра Винника (Alexander Vinnik), предполагаемого оператора закрытой в настоящее время криптобиржи BTC-e, который должен отсидеть пять лет тюрьмы за мошенничество с использованием криптовымогателей.
А ещё в конце 2019 года полиция Новой Зеландии конфисковала 4,2 млн долларов в криптовалютах у владельца сайтов по распространению пиратских фильмов.
Saudi Aramco подтвердила, что её взломали, но выкуп платить не намерена 23.07.2021 Не так давно хакерская группировка REvil осуществила атаку на ПО Virtual System Administrator компании Kaseya, зашифровав данные более 1500 предприятий. Теперь о взломе официально сообщила ведущая нефтяная компания Saudi Aramco, подтвердив утечку чувствительных данных. Вымогатели требуют $50 миллионов выкупа за их неразглашение. Сегодня Aramco заявила, что утечка затронула ограниченный объём данных компании, касающихся сторонних подрядчиков. Наименования подрядчиков названы не были, а сама Aramco, по всей видимости, решила игнорировать ситуацию.
По словам злоумышленников, 23 июня они похитили у Saudi Aramco около 1 Тбайт данных. Они сообщают, что среди украденных файлов есть полная информация о сотрудниках, контракты, счета-фактуры, спецификации проектов и многое другое. Хакеры запрашивают $50 миллионов за то, чтобы не размещать эти данные в свободном доступе. Однако некоторые пользователи хакерского форума, где идёт обсуждение взлома, считают, что информация является частью более старой утечки данных из строительной компании, которая работала с Aramco в 2020 году.
В любом случае Aramco, очевидно, не считает, что утечка представляет какую-либо угрозу для её бизнеса или безопасности. Выдвигаются даже предположения, что похитившие данные злоумышленники вовсе не хакеры, а лишь мошенники, пытающиеся быстро заработать на страхе перед программами-вымогателями.
Напомним, Saudi Aramco — национальная нефтяная компания Саудовской Аравии, которая в то же время является крупнейшим мировым нефтедобытчиком. Компания уже имеет опыт столкновения с хакерскими атаками. В 2012 году сеть компании поразил вирус, который удалил данные с жестких дисков и вывел на экраны компьютеров изображение горящего флага США. Тогда компания была вынуждена отключить всю сеть и уничтожить порядка 30 тыс. компьютеров.
10 августа 2021 Хакеры заполучили конфиденциальные данные AMD и Intel. Серверы Gigabyte подверглись кибератаке Хакеры якобы заполучили 112 ГБ данных Компания Gigabyte стала жертвой хакеров. Неизвестные злоумышленники использовали программу-вымогатель RansomEXX, в итоге якобы завладев 112 ГБ данных.
Пока подтверждения утечки этих данных со стороны Gigabyte нет, хотя атака хакеров повлияла на работоспособность некоторых разделов сайта компании.
Сами же хакеры грозятся обнародовать конфиденциальные документы, имеющие отношения к Intel, AMD и American Megatrends. Для подтверждения хакеры опубликовали несколько страниц документов, на которые распространяется соглашение о неразглашении.
Сумма, которую требуют злоумышленники, не сообщается. Gigabyte пока подтвердила факт самой атаки и уже обратилась в полицию.
02 октября 2021 Биржу Coinbase взломали, обокрав 6000 пользователей. Биржа обещает вернуть средства Хакеры использовали уязвимость Крупная криптовалютная биржа Coinbase заявила о том, что хакеры взломали учётные записи её клиентов и украли криптовалюту у 6000 пользователей. Сумму, выведенную хакерами, биржа не называет.
Для взлома использовалась некая уязвимость, позволяющая обойти функцию многофакторной аутентификации посредством SMS.
Что интересно, речь идёт не о кратковременной хакерской атаке. Хакеры орудовали на Coinbase с марта по май текущего года. Биржа утверждает, что для взлома злоумышленнику необходимо было знать не только электронную почту пользователей, но и пароли и номера телефонов, связанные с учётной записью на бирже. А ещё нужно было иметь доступ к электронной почте.
Сама биржа считает, что доступ ко всей необходимой информации хакеры получили благодаря фишинговому ПО.
Само собой, биржа уже устранила уязвимость. При этом Coinbase обещает вернуть потерпевшим украденную у них криптовалюту, правда, видимо, в денежном эквиваленте.
Мы зачислим на ваш счет средства, равные стоимости валюты, неправильно удаленной с вашего счета во время инцидента. Некоторым клиентам уже возмещены расходы. Мы позаботимся о том, чтобы все затронутые клиенты получили полную стоимость того, что вы потеряли. Вы должны увидеть это в своем аккаунте не позднее сегодняшнего дня
Coinbase является второй по величине криптовалютной биржей в мире. Она имеет около 68 млн клиентов.
Хакеры Fail0verflow намекнули на взлом системы шифрования PlayStation 5 08.11.2021 Известная в Сети группа хакеров Fail0verflow поделилась скриншотом кода, предположительно являющегося расшифровкой одного из файлов новейшей прошивки для консоли PlayStation 5. Позже представитель группы поделился некоторыми подробностями взлома.
В своём твите, последовавшем за публикацией таинственного фрагмента, Fail0verflow подтвердила, что группа смогла извлечь все корневые ключи, включая ключ, уникальный для исследуемой консоли. Это симметричные ключи, которые могут быть получены программными средствами.
По некоторым данным, сам факт того, что ключи являются симметричными, серьёзно ограничивает «пользу» уязвимости для злоумышленников, поскольку с их помощью не удастся, например, подписывать собственные прошивки и полностью перехватить контроль над консолью — для этого необходимы асимметричные ключи.
Группа Fail0verflow известна взломом консолей PlayStation 3 и 4. Например, в последнем случае хакеры дождались, пока Sony выпустит патч для закрытия уязвимости и только после этого опубликовали доступную им информацию. Не исключено, что группа вообще предпочтёт не публиковать никакие подробности, позволяющие осуществить взлом.
Так или иначе, некоторое время назад группа Fail0verflow уже писала о том, что консоли более не стоят того, чтобы их взламывать, поскольку стали слишком близки к ПК по своей функциональности.
Неизвестным хакерам удалось взломать систему электронной почты ФБР 14.11.2021 Стало известно, что на этой неделе неизвестные хакеры взломали внешнюю систему электронной почты Федерального бюро расследований США. Об этом пишет Bloomberg со ссылкой на данные организации Spamhaus, которая следит за распространением спам-сообщений и связанными с ними кибератаками.
Согласно имеющимся данным, после проведения успешной атаки хакеры разослали от имени ФБР десятки тысяч электронных писем с предупреждением о возможной кибератаке. Представители ФБР подтвердили инцидент и сообщили, что ведомство совместно с Агентством по кибербезопасности и защите инфраструктуры расследуют его обстоятельства. «Это текущая ситуация, и в настоящее время мы не можем предоставить дополнительную информацию», — прокомментировал данный вопрос представитель ФБР.
Источник отмечает, что у ФБР есть несколько систем электронной почты. Похоже, что взлому подверглась внешняя система, которая является общедоступной и используется сотрудниками ведомства для взаимодействия с общественностью. Для передачи секретной информации агенты ФБР используют внутреннюю почту, до которой в этот раз хакерам добраться не удалось.
Специалисты из Spamhaus установили, что хакеры рассылали письма с темой «Срочно: злоумышленник в системе» от имени Министерства внутренней безопасности США. В сообщении говорилось, что злоумышленником является специалист по информационной безопасности Винни Троя (Vinny Troia), который в прошлом году вёл расследование инцидентов, связанных с хакерской группировкой The Dark Overlord. Отмечается, что письма не содержали вредоносных файлов, поэтому цель атаки злоумышленников могла заключаться в том, чтобы опорочить имя специалиста.
Хакеры взламывают облака Alibaba для добычи на них криптовалюты 16.11.2021 Компания Trend Micro, работающая в сфере информационной безопасности, сообщает, что разу несколько хакерских групп нацелились на облачные серверы Alibaba Cloud. Цель злоумышленников — перехват управления серверами и распространение через них программного обеспечения для добычи криптовалюты.
Специалисты Trend Micro обнаружили несколько эксплоитов, созданных специально для перехвата управления облачными системами Alibaba Elastic Compute Service (ECS), которые Alibaba предоставляет пользователям под решение различных вычислительных задач. Хакеры в свою очередь пытаются взять контроль над этими серверами и использовать их для добычи криптовалюты Monero.
В отчёте Trend Micro указывается, что вредоносное ПО, попав на сервер ECS, удаляет встроенную цифровую защиту сервера, а затем создаёт на нём собственный брандмауэр со своими правилами доступа, блокируя входящие запросы с IP-адресов, относящихся к составу внутренней сети Alibaba. Отмечается, что для защиты от вредоносных программ, таких как криптомайнеры, ECS поставляется с предустановленным агентом безопасности, который, как выяснилось, имеет уязвимости.
«В этой ситуации злоумышленник получает наивысшие привилегии, позволяющие ему использовать все уязвимости системы, включая те, что связаны с конфигурацией сервера и защитой персональных данных. Через встроенного в ECS агента безопасности хакеры также могут устанавливать и запускать на сервере руткиты. С учётом этого совсем неудивительно, что сразу несколько групп злоумышленников нацелились на серверы Alibaba Cloud ECS, поскольку взломать их можно простой интеграцией нужного кода для удаления определённого программного обеспечения, которое используются только на серверах Alibaba ECS», — указывает Trend Micro.
Интерес хакеров к облачным серверам Alibaba Cloud ECS вызван ещё и тем, что они автоматически масштабируют свои ресурсы под определённые задачи и требования клиента. А майнинг криптовалют, как известно, требует много ресурсов.
В Trend Micro поясняют, что Alibaba является не единственным провайдером облачных услуг, на которого нацелились хакеры. Признаки, имеющие общие черты со взломом серверов Alibaba ECS, эксперты по безопасности также нашли и на машинах других азиатских компаний, предоставляющих услуги доступа к облачным мощностям, например, Huawei Cloud.
Эксперты обратились со своим отчётом к Alibaba Cloud Team, но там на момент публикации никак не отреагировали на это сообщение.
СБУ арестовала хакеров из Phoenix за фишинговые атаки на владельцев гаджетов Apple 25 ноября 2021 Служба безопасности Украины арестовала пятерых предполагаемых участников международной хакерской группировки Phoenix, которая осуществляла фишинговые атаки с использованием клонированных сайтов поддержки Apple. Ведомство отмечает, что подозреваемые проживали в Киеве и Харькове, и все пятеро были выпускниками ВУЗов. Полиция конфисковала компьютеры, смартфоны и другие гаджеты, которое использовались хакерами.
Злоумышленники из Phoenix специализировались на получении удалённого управления мобильными устройствами с помощью фишинговых атак. Хакеры направляли пользователей iPhone на специальные сайты для получения доступа к устройствам, затем блокировали их и вымогали деньги у жертв
По данным BleepingComputer, эта схема действовала как минимум два года, и хакеры успешно получили доступ к аккаунтам нескольких сотен человек.
Phoenix также предлагали физическим лицам услуги удалённого взлома мобильных телефонов по цене от $100 до $200. Кроме того, хакеры взламывали украденные или утерянные гаджеты Apple и продавали их.
[b]Хакеры атаковали более 1,6 млн веб-сайтов на базе WordPress[/b] 12.12.2021 Специалисты компании Wordfence, работающей в сфере информационной безопасности, зафиксировали резкий рост числа хакерских атак на веб-сайты на базе WordPress. Согласно имеющимся данным, всего за 36 часов было выявлено около 13,7 млн атак с использованием уязвимостей WordPress-плагинов и тем Epsilon Framework, которые исходят с 16 тыс. IP-адресов и направлены против более чем 1,6 млн сайтов. В сообщении сказано, что преимущественно атаки злоумышленников связаны с уязвимостями четырёх плагинов: PublishPress Capabilities, Kiwi Social Share, WordPress Automatic и Pinterest Automatic. Отмечается, что патчи для исправления некоторых уязвимостей были выпущены ещё в 2018 году. Однако некоторые из уязвимостей были исправлены только в этом году, поэтому они всё ещё могут оставаться актуальными. Кроме того, жертвами злоумышленников могут стать ресурсы, использующие темы Epsilon Framework, такие как Shapely, News Mag, Activello и др.
В большинстве случаев злоумышленники пытаются осуществить обновление параметров, таких как user_can_register, активируя и настраивая с правами администратора опцию default_role. В случае успеха злоумышленники регистрируют пользователя с правами администратора, что позволяет им перехватить контроль над уязвимым ресурсом.
Пользователям уязвимых плагинов и тем рекомендуется убедиться, что их сайты не были скомпрометированы в ходе масштабной вредоносной кампании. Для предотвращения атак следует обновить используемое программное обеспечение до актуальных версий. Также необходимо убедиться в отсутствии зарегистрированных учётных записей с правами администратора, которым такие привилегии не должны были быть выданы. Ознакомиться с полным списком уязвимых тем, а также актуальных версий ПО, можно на сайте Wordfence.