Украденные у Activision данные о сотрудниках появились в открытом доступе 01.03.2023 [15:24]
Данные, украденные у игрового издателя Activision в результате декабрьского инцидента неизвестными киберпреступниками, появились в открытом доступе на одном из популярных форумов в даркнете. Персональная информация пользователей среди них отсутствует.
Факт произведённого в декабре 2022 года взлома Activision подтвердила несколько дней назад, и события стали развиваться по худшему сценарию. Данные, как заявили сами хакеры, были украдены с инстанса Activision в CDN инфраструктуры Azure — они включают в себя 20 тыс. записей о сотрудниках игрового гиганта: полные имена, адреса электронной почты, номера телефонов и адреса офисов. Информация не была выставлена на продажу, а выложена в открытый доступ в формате текстового файла.
Взлом был произведён при помощи фишинговой кампании с использованием SMS. Жертвой атаки оказался сотрудник отдела кадров Activision, который, не осознавая последствий своих действий, передал злоумышленникам данные для доступа к ресурсам компании. Представитель Activision подтвердил утечку данных, но заявил, что хакеры не смогли получить доступ к «конфиденциальным данным сотрудников», хотя независимое расследование эту версию опровергло, а опубликованная киберпреступниками информация фактически не оставила на ней камня на камне.
В результате взлома была похищена также информация, относящаяся к готовящейся к выходу игровой продукции — в Activision заявили, что она конфиденциальной не является. Компания также заверила, что данные геймеров и клиентов злоумышленникам похитить не удалось. Однако публикация персональной информации сотрудников Activision в открытом доступе способна в значительной мере осложнить их работу — следует ожидать целой волны очередных фишинговых атак.
У Acer похитили 160 Гбайт секретных данных о продуктах, разработках, прошивках и прочем 10.03.2023 [14:08]
Ранее на этой неделе стало известно, что некий хакер с псевдонимом Kernelware взломал один из внутренних серверов компании Acer, похитив с него около 160 Гбайт конфиденциальной информации в виде 2869 файлов. Украденные данные злоумышленник выставил на продажу на одной из интернет-площадок.
По словам злоумышленника, взлом системы внутренней безопасности компании Acer произошёл 23 февраля. В похищенных файлах содержатся конфиденциальные данные о продуктах производителя, технические руководства, командные файлы, данные внутренней инфраструктуры компании, документация о моделях продуктов, файлы BIOS и ROM, ключи продуктов, различные архивные файлы в формате ISO, внутренняя информация о различных моделях ноутбуков, смартфонов и планшетов. Вместе с этим хакер предоставил скриншот похищенных данных для подтверждения своих заявлений и предлагает их приобрести за криптовалюту Monero (XMR). Цена не объявлена — хакер продаст данные тому, кто предложит больше.
Acer подтвердила взлом своей внутренней инфраструктуры во вторник. «Недавно мы обнаружили инцидент с неавторизованным доступом к одному из наших внутренних серверов, в котором содержатся данные для наших специалистов по ремонту оборудования. Хотя расследование данное инцидента продолжается, нет никаких признаков, которые указывали бы на то, что на указанном сервере содержалась какая-либо личная информация потребителей», — говорится в заявлении компании.
За последние несколько лет Acer стала жертвой нескольких громких утечек данных. Например, в 2021 году хакеры похитили конфиденциальные данные компании и потребовали за них крупнейший к тому моменту выкуп в размере $50 млн. В том же году компания подверглась ещё одной, но менее масштабной утечке данных.
Если верить Acer, в последних похищенных данных не содержится информации о её клиентах. Однако данные включают важную техническую информацию, которая в перспективе может быть использована для взлома большого количества различных систем.
Группа вымогателей угрожает Илону Маску? 12:17 18/03/2023
Ранее на этой неделе LockBit, банда вымогателей, разместила на своем веб-сайте сообщение о том, что получила запатентованные разработки от подрядчика SpaceX. Теперь банда поделилась доказательствами предполагаемой утечки, а также угрожающим сообщением Илону Маску.
12 марта аналитик по кибербезопасности Доминик Альвьери впервые сообщил, что компания Maximum Industries, один из основных производителей деталей для ракет SpaceX, пострадала от рук банды вымогателей LockBit.
LockBit разместил на своем веб-сайте в темной сети, что «3000 рисунков» скоро будут выставлены на продажу, с сообщением Маску, в котором говорилось: «Я бы сказал, что нам повезло, если подрядчики Space-X были более разговорчивыми. Но я думаю, что этот материал в кратчайшие сроки найдет своего покупателя. Илон Маск, мы поможем вам продать ваши чертежи другим производителям — постройте корабль быстрее и улетите».
Банда добавила, что у SpaceX есть время до понедельника, 20 марта, чтобы выполнить ее требования, без сомнения, значительную сумму наличных денег, иначе она начнет продавать конструкции другим производителям. Ситуация, когда LockBit выигрывает в любом случае. Это если эти проекты имеют ценность.
Активная кибергруппа, связанная с Россией, впервые появилась в 2019 году под названием «программа-вымогатель ABCD» (“ABCD ransomware”). С тех пор он реструктурировал себя как операцию «программа-вымогатель как услуга» (“ransomware-as-a-service”), когда банда преступников создает вредоносное ПО и лицензирует его код «аффилированным лицам», которые проводят атаки. «Члены LockBit потребовали выкуп на сумму не менее 100 миллионов долларов и фактически получили от своих жертв десятки миллионов долларов», — написало министерство юстиции.
Интересно, что, несмотря на то, что это преступное предприятие, которое скрывается в теневой сети и полностью работает с криптовалютой, у них, похоже, есть некоторые правила для аффилированных лиц, утверждающих: «Шифрование файлов в критической инфраструктуре, такой как атомные электростанции, тепловые электростанции, является незаконным , гидроэлектростанции и другие подобные организации», и предоставляет «справочную службу», если вам нужна помощь. Хотя кажется, что освоение космоса — это честная игра.
Техподдержка Microsoft помогла взломать Windows 10
Стало известно, что сотрудник службы поддержки Microsoft удалённо активировал лицензионную копию Windows 10 Pro с помощью пиратского активатора. Это было сделано для решения проблемы клиента, который по каким-то причинам не смог активировать операционную систему с помощью лицензионного ключа. Любопытно, что это не первый случай, когда техподдержка Microsoft использует обходные пути для активации ОС, чтобы быстрее обрабатывать обращения клиентов.
Южноафриканский технолог-фрилансер Уэсли Пайберн (Wesley Pyburn) приобрёл лицензионную копию Windows 10 Pro за $200. В процессе её активации он столкнулся с проблемой, поскольку лицензионный ключ по каким-то причинам не выполнял свою функцию. Для решения этой проблемы Пайберн обратился в техподдержку Microsoft, но и там ему не сразу помогли.
В ходе одного из обращений в техподдержку инженер службы удалённо подключился к компьютеру Пайберна с помощью утилиты Quick Assist и выполнил несколько команд в PowerShell, которые позволили запустить пиратский активатор для обхода процесса активации Windows. После этого ОС действительно перестала требовать активацию, но клиент был сильно удивлён подходом техподдержки Microsoft к решению его вопроса. «В самом деле, проще взломать Windows, чем купить её», — написал Пайберн на своей странице в сети Twitter.
В процессе активации Windows сотрудник Microsoft устанавливал соединение с неофициальным репозиторием скриптов для активации Windows и Office под названием massgrave.dev. Позднее Пайберн связался с представителями этого ресурса, и они подтвердили, что инженер техподдержки использовал нелицензионный активатор. Более того, там ему сообщили, что это как минимум второй подобный случай.
Похоже, что сотрудника, который использовал пиратский активатор, ждёт наказание. Это связано с тем, что Microsoft проводит расследование этого инцидента. «Мы стремимся обеспечить лучшую в своём классе поддержку для наших клиентов. Описанная вами техника противоречит нашей политике. Мы расследуем этот случай и примем соответствующие меры, чтобы обеспечить соблюдение надлежащих процедур в отношении поддержки клиентов наших продуктов и услуг», — прокомментировали данный вопрос в Microsoft.
Хакеры стали встраивать фишинговые ссылки в уведомления SharePoint 24.03.2023 [14:40]
Специалисты из «Лаборатории Касперского» выявили новую фишинговую схему с использованием легитимных серверов SharePoint. Цель злоумышленников заключается в краже учётных данных от почтовых аккаунтов, таких как Yahoo!, AOL, Outlook и Office 365. Атаки такого типа проводятся против сотрудников компаний по всему миру, в том числе в России. В общей сложности за прошедшую зиму было выявлено более 1600 подобных фишинговых писем.
В ходе атаки злоумышленники рассылают уведомления от имени легитимного сервиса, за счёт чего удаётся обходить спам-фильтры. Такой подход позволяет не вызывать подозрений, особенно если в компании SharePoint используется на постоянной основе. Таким образом хакеры не просто прячут фишинговую ссылку на сервере SharePoint, но и распространяют её с помощью родного механизма для рассылки уведомлений. Поскольку сервис Microsoft позволяет делиться файлами, расположенными на корпоративном SharePoint с внешними участниками рабочего процесса, злоумышленникам лишь нужно получить доступ к чьему-то серверу SharePoint посредством аналогичной или другой фишинговой схемы.
Когда получатель переходит по фишинговой ссылке, он попадает на реальный сервер SharePoint, где действительно расположен заявленный файл. Однако внутри этот файл выглядит как ещё одно извещение и содержит иконку файла PDF. Получатель воспринимает это как следующий шаг для скачивания данных и кликает на вредоносную ссылку.
«Эта фишинговая схема опасна тем, что уведомления приходят от имени легитимного сервиса настоящей компании. Тем не менее в данном случае есть красные флаги. Во-первых, неизвестно, кто поделился файлом — файлы от незнакомых людей лучше не открывать. К тому же неизвестно, что это за файл — легитимные адресанты, как правило, объясняют, что они прислали и зачем. Ссылка на скачивание файла ведёт на сторонний сайт, не имеющий отношения ни к организации жертвы, ни к SharePoint. Файл якобы лежит на сервере SharePoint, а сайт имитирует OneDrive — это два разных сервиса Microsoft», — пояснил Роман Деденок, эксперт «Лаборатории Касперского» по анализу спама.
Хакеры захватили три YouTube-канала Linus Media Group, YouTube-канал Linus Tech Tips и два других YouTube-канала Linus Media Group были восстановлены после серьезного взлома, позволившего злоумышленнику делать такие вещи, как прямые трансляции видео о крипто мошенничестве, изменять названия каналов и даже удалять видео. В новом видео владелец Линус Себастьян объясняет, что взлом обошел такие вещи, как пароль и двухфакторную защиту, поскольку злоумышленник нацелился на сетевые токены, с помощью которых вы входите на веб-сайты.
По словам Себастьяна, кто-то из команды Linus Media Group загрузил "то, что выглядело как спонсорское предложение от потенциального партнера", и запустил включенный PDF-файл с условиями этого предложения. Но Себастьян говорит, что это предложение на самом деле включало злонамеренное программное обеспечение, которое получало доступ ко всем данным пользователей из обоих установленных браузеров — включая маркеры сеанса — что фактически давало злоумышленнику точную копию браузеров, которые они могли экспортировать и использовать, чтобы сеять хаос без надобности. для ввода учетных данных безопасности.
Linus Tech Tips , TechLinked и Techquickie возвращаются, но Себастьян имеет несколько предложений для YouTube, чтобы предотвратить будущие нарушения подобного характера. Например, он хотел бы видеть дополнительные параметры безопасности для некоторых атрибутов канала (по словам Себастьяна, вы можете изменить название канала без необходимости вводить пароль или использовать двухфакторную аутентификацию), а также какой-либо запрос на подтверждение или проверку. если кто пытается массово удалить видео.
«После того, как команда Linus Tech Tips сообщила о том, что их аккаунт был сломан из-за несанкционированного доступа, наша команда исследовала проблему и работала с ними, чтобы защитить и восстановить их аккаунт», — сказала пресс-секретарь YouTube Елена Эрнандес в заявлении The Verge. Мы спросили, планирует ли компания вносить какие-либо изменения, чтобы помочь бороться с подобными нарушениями в будущем.
Подобные увлечения каналов YouTube в последнее время становятся все более распространенными, и мы надеемся, что такие изменения, как рекомендации Себастьяна, предотвратят это в будущем. Я рекомендую просмотреть полное видео объяснение Себастьяна, содержащее больше деталей о случившемся. Но имейте в виду: на видео есть видеозапись обнаженного (хотя и размытого) Себастьяна в своем доме, когда он пытается выяснить, что происходит.
Банковский троян Nexus стремительно заражает Android-устройства по всему миру
Банковский троян для Android, известный как Nexus, стремительно набирает популярность у злоумышленников: им пользуется уже немало разных хакерских группировок. Как сообщается, жертвами атаки Nexus стали уже по меньшей мере 450 финансовых приложений по всему миру.
Представители компании Cleafy считают, что вредоносное ПО находится на раннем этапе разработки, и впоследствии будет еще не раз доработано. «Nexus предоставляет все основные функции для выполнения ATO-атак (Account Takeover) против банковских порталов и криптовалютных сервисов, таких как воровство учетных данных и перехват SMS», — заявляют специалисты.
Появившийся на различных хакерских форумах в начале этого года троян рекламируется как услуга по подписке (MaaS) за ежемесячную плату в размере 3000 долларов. Подробная информация о вредоносном ПО была впервые задокументирована компанией Cyble ранее в этом месяце. Однако есть признаки того, что вредоносное ПО могло использоваться в реальных атаках еще в июне 2022 года, как минимум за шесть месяцев до официального объявления на даркнет-площадках.
Большинство заражений трояном Nexus было зафиксировано на территории Турции, однако авторы вредоносного ПО в своем ........-канале уверяют, что целенаправленной атаки на Турцию по политическим или другим причинам клиенты Nexus не устраивали.
Первоначально Nexus был классифицирован как очередная вариация другого банковского трояна – SOVA. И только спустя некоторое время исследователи поняли, что новый троян просто основан на коде старика, а также использует его модуль программы-вымогателя.
Интересно, что авторы Nexus изложили своим клиентам четкие правила, запрещающие использование их вредоносной программы на территории Азербайджана, Армении, Беларуси, Казахстана, Кыргызстана, Молдовы, России, Таджикистана, Узбекистана, Украины и Индонезии. Это дает понять, что авторы вредоносного ПО, вероятнее всего, сами являются гражданами одной из этих стран.
Nexus, как и многие другие банковские трояны, содержит функции для захвата учетных записей путем выполнения оверлейных атак и регистрации ключей. Кроме того, троян способен считывать коды двухфакторной проверки подлинности (2FA) с SMS-сообщений и приложения Google Authenticator, злоупотребляя службами специальных возможностей Android.
Некоторые новые дополнения к списку функций - способность Nexus удалять полученные SMS-сообщения, активировать или останавливать модуль кражи 2FA и самостоятельно обновлять себя, периодически пингуя C2-сервер.
«Модель MaaS позволяет преступникам наиболее эффективно монетизировать свое вредоносное ПО, предоставляя клиентам готовую инфраструктуру, которую потом можно использовать для атак по нужным им целям», — сообщают исследователи.
Логотип CBZC на куртке 360pxСотрудники полиции CBZC (Центральное бюро по борьбе с киберпреступностью) сообщили о кампании, в ходе которой мошенники выдают себя за CBZC и рассылают электронные письма, направленные на фишинг наших конфиденциальных данных. В сообщении содержится информация о предполагаемой кибератаке на граждан и обнаружении CBZC нелегального программного обеспечения. Решение этой проблемы заключается в установке программы обнаружения вирусов. Центральное бюро по борьбе с киберпреступностью сообщает, что оно не является автором этих сообщений.
Интернет-преступники постоянно изобретают новые способы фишинга наших конфиденциальных данных и их несанкционированного использования. Проводится очередная мошенническая кампания, в рамках которой мошенники, выдавая себя за Центральный офис по борьбе с киберпреступностью, рассылают электронные письма с информацией о предполагаемой кибератаке на граждан и обнаружении нелегального программного обеспечения.
Электронное письмо содержит вредоносную ссылку и инструкции, выполнение которых может привести к потере наших конфиденциальных данных.
CBZC сообщает, что не является автором этих сообщений.
Кроме того, мы настоятельно рекомендуем вам не переходить по ссылкам, отправленным из неизвестных, ненадежных источников. В этом случае преступники использовали адрес электронной почты, оканчивающийся на «@cbzc.policja.gov.pl» , который совпадает с реальным адресом электронной почты CBZC.
Именно поэтому так важно знать о возможности использования метода спуфинга , т.е. выдачи себя за учреждение или частное лицо, и о том, что сотрудники полиции никогда не прикрепляют к сообщениям никаких ссылок и не распространяют никаких программ для обнаружения вирусов.
Не забудьте тщательно проверить адрес, с которого приходит сообщение, и не запускайте и не переходите по ссылкам, прикрепленным к таким подозрительным электронным письмам.
Более миллиона сайтов на WordPress были взломаны за последние пять лет через плагины и темы 12.04.2023 [19:09]
Широкомасштабная кампания по внедрению вредоносного кода в сайты под управлением WordPress, получившая название Balada Injector, продолжается не менее пяти лет. По меньшей мере миллион сайтов были скомпрометированы с использованием уязвимостей плагинов и тем WordPress. После внедрения на сайт вредоносный код перенаправляет посетителей на мошеннические сайты, включая фейковые службы поддержки, незаконные лотереи и запросы на решение Captcha.
Одновременно внедрённые скрипты ищут конфиденциальную или потенциально полезную информацию, такую как журналы доступа, логи ошибок, файлы с отладочной информацией, инструменты администрирования баз данных, учётные данные администратора и многое другое. Они также загружают на сайты бэкдоры для постоянного доступа и захвата сайта.
Исследователи лишь недавно объединили вредоносную активность в единую кампанию, которая не показывает никаких признаков замедления. «Только в 2022 году наш внешний сканер сайтов SiteCheck обнаружил это вредоносное ПО более 141 000 раз, при этом более 67 % сайтов с заблокированными ресурсами загружали скрипты с известных доменов Balada Injector», — отметили эксперты по безопасности компании Sucuri.
Balada Injector используют уязвимости безопасности в плагинах и темах системы управления контентом (CMS) WordPress. Плагины — это модульные надстройки для WordPress позволяющие администраторам сайта добавлять различные функции, такие как проведение опроса, поддержка доски объявлений или интеграция электронной коммерции. Уязвимости в темах и плагинах WordPress могут позволить злоумышленнику внедрить код или получить несанкционированный доступ к сайту.
По оценкам экспертов, сейчас WordPress используется на 60 % сайтов. Такая популярность делает WordPress мишенью для огромного числа злоумышленников. А если добавить к этому огромный объём кода, доступность настроек, сложность экосистемы плагинов и отсутствие последовательных методов безопасности, становится понятно, почему WordPress настолько привлекательна для киберпреступников.
Эксперты по безопасности только за неделю с 15 марта насчитали 37 недавно обнаруженных и исправленных уязвимостей в плагинах и одну уязвимость темы, которые затронули более 6 миллионов сайтов на WordPress. Также известно о 27 уязвимостях в плагинах и 3 уязвимостях в темах, для которых ещё не выпущено исправлений. И эти цифры не являются чем-то из ряда вон выходящим. Всего в 2022 году выявлено 1425 уязвимостей плагинов и тем WordPress.
«WordPress определённо нуждается в обновлении на регулярной основе, тем более, если у вас есть сайт с большим количеством плагинов и стороннего кода, и это один из многих примеров, когда безопасность оказывается слишком сложной для обычного пользователя, который использует сайт для ведения бизнеса», — отмечает Кейси Эллис (Casey Ellis), основатель и технический директор платформы Bugcrowd bug bounty.
Sucuri отслеживает новые волны активности Balada Injector, возникающие каждые две недели, с перерывами между ними, которые «вероятно используются для сбора и тестирования недавно обнаруженных уязвимостей и уязвимостей нулевого дня».
Даже крупные организации не застрахованы от проблем с безопасностью WordPress. Часто сайт разрабатывается и поддерживается отдельным работником или небольшой командой. Эти сотрудники больше заинтересованы в поддержании актуальности сайта, чем в обеспечении его безопасности, в следствие чего пропускаются исправления и предупреждения системы безопасности. Чтобы защититься от Balada Injector и других угроз WordPress, необходимо убедиться, что всё программное обеспечение сайта обновлено, неиспользуемые плагины и темы удалены, а брандмауэр включён.
Обнаружена новая хакерская группировка, нацеленная на компании 19.04.2023 [11:51]
Специалисты компании Group-IB, работающей в сфере информационной безопасности, с марта этого года фиксируют атаки новой группы вымогателей Shadow, нацеленные на организации. Злоумышленники используют вымогательское программное обеспечение и требуют за расшифровку данных от $1 до $2 млн.
Согласно имеющимся данным, хакеры проникают в IT-инфраструктуру жертв через уязвимые публичные сервисы. После этого они шифруют данные с помощью модифицированного вымогателя LockBit3, собранного на основе появившегося в открытом доступе исходного кода вредоноса. Если жертва отказывается платить выкуп за расшифровку данных, злоумышленники угрожают выложить конфиденциальную информацию в даркнете.
«В ходе расследования инцидента специалистами Group-IB выявлены инструменты, аналогичные использованным в атаках неизвестной группировкой на банки в 2018 году», — говорится в заявлении Group-IB.
Представители Shadow утверждают, что основной интерес для них представляют деньги. В сообщении отмечается, что за прошедший год существенно возросла скорость совершения атак на инфраструктуру компаний. По оценке специалистов, в настоящее время хакерам требуется на взлом 4-7 дней, тогда как раньше на это могли уходить месяцы. Это объясняется появлением в даркнете простых в использовании вредоносных программ. Также прогнозируется, что техники проведения атак продолжат упрощаться, а интенсивность атак возрастёт.
Хакеры взяли под контроль спутник OPS-SAT в ходе эксперимента 13:12 01/05/2023
Насколько уязвимы тысячи спутников, обращаюшихся по своим орбитам над нашими головами? Команда исследователей доказала, что может взломать спутник Европейского космического агентства и получить полный контроль над его связью, изображениями и даже системами маневрирования.
Вторжение было контролируемым хакерским нападением, проведенным в рамках проводимой Европейским космическим агентством конференции CYSAT. Как указано в сообщении во вторник, команда кибербезопасности из международной технологической компании Thales приняла участие в CYSAT Hack Challenge ЕКА и нашла способ захвата управления спутником OPS-SAT, который был отправлен на низкую околоземную орбиту еще в 2019 году. Взлом позволил хакерам получить доступ к глобальной системе позиционирования спутника, системе контроля ориентации и даже к его встроенной камере.
Европейское космическое агентство заявило, что во время теста оно все еще контролировало спутник, и хакеры не смогли заставить его выполнять какие-либо безумные трюки. Однако команда кибербезопасности заявила, что получила доступ к контролю над спутником через его встроенную систему, а затем использовала стандартные права доступа для входа в его интерфейс управления. Затем хакеры доказали, что могут внести в систему новый вредоносный код.
Команда представила свои результаты на конференции в четверг, где они сказали, что хакер потенциально мог бы скрыть часть изображений спутника. Конечно, получение контроля над системами управления аттитюда и GPS спутника могло бы привести к широкому спектру неприятностей.
Это также не первый раз, когда обычные люди доказали, что они могут взломать растущее созвездие спутников, находящихся на низкой орбите Земли, используя системы на Земле. В прошлом году бельгийский исследователь доказал, что может взломать терминал SpaceX Starlink с помощью своего собственного модчипа. Это позволило ему ввести свой собственный код в сеть. Еще одна учебная группа из Университета Техаса смогла получить контроль над сигналом Starlink, даже не нуждаясь в реальном вторжении.
Коммерческие спутниковые системы оказались крайне уязвимыми. В феврале прошлого года, в начале вторжения в Украину, европейские пользователи Интернета описывали массовые нарушения обслуживания.
Хакеры опубликовали ключи BIOS для 57 моделей ноутбуков MSI — теперь их стало намного проще взломать 06.05.2023 [00:16]
Хакерская группа Money Message упростила взлом ноутбуков компании MSI, опубликовав конфиденциальные ключи сертификации программного обеспечения для продуктов производителя, похищенные ранее с серверов самой MSI. Теперь злоумышленники могут заражать ноутбуки под видом официальных BIOS, и система не заметит подвоха.
В прошлом месяце серверы MSI подверглись хакерской атаке. Злоумышленники похитили конфиденциальные данные и пригрозили их опубликовать, если MSI не заплатит им выкуп в размере нескольких миллионов долларов. Судя по всему, компания не пошла на сделку с хакерами, поэтому последние в четверг на своём сайте в даркнете опубликовали различные закрытые данные производителя, включая ключи аутентификации программного обеспечения для ноутбуков MSI.
Компания Binarly, занимающаяся вопросами кибербезопасности, проанализировала слитые хакерами данные и подтвердила, что в них помимо прочего содержатся ключи BIOS для 57 моделей ноутбуков компании. Binarly опубликовала на своей странице в репозитории GitHub список затронутых моделей ноутбуков.
Скриншот с частью похищенных данных. Источник изображения: PCMag
Эти ключи носят важное значение, поскольку MSI использует их для сертификации обновлений своего программного обеспечения. Без них компьютер будет воспринимать обновление ПО как ненадёжное и потенциально вредоносное. Теперь эти ключи могут оказаться не в тех руках и использоваться для подписи вредоносного кода, но системой он будет восприниматься, как официальный от производителя.
«Ключи подписи к ПО позволяют злоумышленнику создавать вредоносные обновления прошивки, которые могут быть доставлены на систему жертвы через обычные процессы обновления BIOS с помощью инструментов обновления MSI», — прокомментировал в разговоре с изданием PCMag глава компании Binarly Алекс Матросов (Alex Matrosov).
Посредством ключей вредоносное ПО может оказаться на компьютере пользователя через фейковые сайты или электронные письма, якобы от MSI. Однако по словам Матросова, ключевой вектор атаки в данном случае будет проводиться через «вторичную загрузку» — после того, как вредоносное ПО окажется на компьютере жертвы посредством загрузки через браузер или фишинговую атаку. Большинство антивирусных систем в этом случае просто проигнорируют вредоносное ПО на компьютере, поскольку посчитают, что оно подписано самим производителем.
Ещё одной проблемой является утечка ключей для Intel Boot Guard, которая обеспечивает аппаратную защиту целостности загрузки BIOS, отслеживает несанкционированные блоки загрузки и запрещает их исполнение. По данным Binarly, в утёкших данных MSI содержатся ключи Intel Boot Guard для 117 продуктов компании. При этом отмечается, что технология Intel Boot Guard используется во многих сегментах.
«Утечка ключей Intel BootGuard накладывает отпечаток на всей экосистеме, а не только на продуктах MSI, и делает эту функцию безопасности бесполезной», — говорит Матросов. В MSI и Intel на запрос комментариев PCMag не ответили.
К настоящему моменту в MSI лишь посоветовали своим пользователям не скачивать её софт из неофициальных источников. По мнению Матросова, у MSI очень ограничен выбор возможных решений этой проблемы. «Мне кажется, что MSI оказалась в очень затруднительной ситуации, поскольку для обновления ключей на новые безопасные потребуется использовать старые ключи, которые были похищены. Я не думаю, что у компании имеется некий механизм, позволяющий просто отозвать скомпрометированные ключи», — добавил эксперт.
Western Digital восстановила работу систем после хакерской атаки и связывается с пострадавшими клиентами 06.05.2023 [06:25]
В конце марта американский производитель накопителей данных Western Digital был вынужден заявить, что подвергся хакерской атаке, в результате которой часть информации из облачных сервисов компании была похищена. Отключив в целях безопасности ряд корпоративных информационных систем, компания только сейчас начала возвращать их в строй. Одновременно предупреждаются пользователи, чьи данные могли попасть в руки злоумышленников.
Как отмечается в заявлении на сайте Western Digital, сейчас основная часть отключенных ранее систем возобновила работу, а предприятия по выпуску накопителей продолжали работать даже во время активной фазы расследования инцидента, поставки продукции не прекращались. Сейчас компания продолжает проверять на достоверность данные, ставшие достоянием общественности в результате действий хакеров. О полученных выводах WDC обещает информировать пользователей и клиентов в полном объёме.
Компания возобновила работу сервиса My Cloud, который пострадал от атаки, доступ клиентов к нему будет полностью возобновлён с 15 мая этого года. По сути, на устранение проблем с его функционированием у компании ушло более месяца. Частные клиенты сервиса тоже пострадали, поскольку злоумышленникам стали известны их имена, номера телефонов и часть номеров банковских карт, которые хранились в системе. Сейчас компания связывается с пострадавшими клиентами с целью минимизации дальнейшего ущерба.
Empress взломала ремейк Resident Evil 4 и новейшую версию Denuvo 15.05.2023 [10:47]
Портал DSOGaming докладывает, что «полностью русская» хакер под псевдонимом Empress сообщила о взломе новейшей версии антипиратской защиты Denuvo в ремейке Resident Evil 4.
Помимо самой Denuvo (v18), от несанкционированного доступа переосмысление культового экшена Capcom защищали ещё три DRM: Capcom Anti-Tamper, Denuvo SecureDLC V2 и VMProtect.
Как отмечает DSOGaming, вслед за всеми последними взломами ремейк Resident Evil 4 перечисленных DRM не лишился: они всё ещё работают на заднем плане. Пиратская версия просто обходит защиту, а не удаляет её.
Взломанную Resident Evil 4 от Empress уже можно найти на пиратских ресурсах (источник изображения: Steam)
О взломе ремейка Resident Evil 4 стало известно ранним утром 14 мая — таким образом, защита новинки продержалась чуть меньше двух месяцев. С Hogwarts Legacy хакер справилась заметно быстрее.
Обновлённая Resident Evil 4 дебютировала 24 марта на PC (Steam), PS4, PS5, Xbox Series X и S. Ремейк получил высокие оценки, заслужил одобрение режиссёра оригинальной игры и показал высокие продажи (4 млн копий за две недели).
Северокорейские хакеры за пять лет похитили $2,3 млрд в криптовалюте — больше всего из Японии 15.05.2023 [22:28]
Хакерские группировки, связанные с Северной Кореей, с 2017 года похитили около $2,3 млрд в криптовалюте, в том числе у предпринимателей из Японии — $721 млн. Об этом пишет издание Nikkei Asia со ссылкой на данные исследования компании Elliptic, специализирующейся на анализе платформ на основе блокчейна.
В сообщении сказано, что северокорейские хакеры нацелились на криптовалютные активы других стран, чтобы получить доступ к иностранной валюте, необходимой для реализации ракетной программы своей страны. По оценке экспертной группы Совета Безопасности ООН, северокорейские хакеры похитили от $600 млн до $1 млрд в криптовалюте в 2022 году. Это вдвое больше по сравнению с суммой украденных средств за предыдущий год. По подсчётам Elliptic, сумма похищенных средств в 2022 году составила $640 млн.
По данным источника, Северная Корея для кражи криптовалюты не только проводит хакерские атаки, но и использует вымогательское программное обеспечение. Чаще всего целью северокорейских хакеров становятся криптовалютные биржи из Японии. Отмечается, что злоумышленники в основном полагаются на проведение прямых атак, поскольку в случае их успеха можно извлечь большую выгоду, чем при использовании вымогательского ПО, которое далеко не всегда эффективно. В сообщении сказано, что основными целями хакеров были участники быстроразвивающихся криптовалютных рынков Японии и Вьетнама. Как минимум три японские криптобиржи были взломаны северокорейскими хакерами в период с 2018 по 2021 годы.
В Elliptic подсчитали, что в период с 2017 года по конец 2022 года северокорейские хакеры по всему миру похитили около $2,3 млрд в криптовалюте. При этом $721 млн приходится на Японию, ещё $540 млн на Вьетнам, $497 млн на США и $281 млн на Гонконг. По данным Японской организации по развитию внешней торговли, украденные у страны $721 млн в 8,8 раза больше объёма экспорта Северной Кореи в 2021 году.