Смертельно больной хакер и его знаменитый шифровальщик начали атаковать системы на Linux. Атаки по силам даже дилетантам
Минимум девять шифровальных группировок вооружились утекшими исходниками вредоноса Babuk и модулями для атак на системы под Linux и VMware ESXi. Теперь атаки на эти системы производят даже те, кто раньше не мог себе такого позволить.
Код пошел в народ
Сразу девять шифровальных группировок используют в своих атаках исходный код печально знаменитого вредоноса Babuk.
Babuk, также известный как Babyk и Babuk Locker, — это шифровальщик, пик активности которого пришелся на начало 2021 г. Операторы Babuk атаковали исключительно корпоративные системы и требовали двойной выкуп — за расшифровку данных и за сохранение конфиденциальности украденной информации.
В апреле 2021 г. Babuk атаковали главное полицейское управление Вашингтона, чем привлекли к себе повышенное внимание правоохранительных органов США. Настолько пристальное, что группировка объявила о свертывании всей деятельности.
Впрочем, в итоге группировка разделилась, и один из бывших администраторов запустил киберкриминальный форум Ramp, а остальные участники группировки перезапустили вредонос под названием Babuk V2.
В сентябре 2021 г. исходный код Babuk «утек» на русскоязычный хакерский форум. Кроме него, были выложены шифровальные модули к Babuk для VMware ESXi, Windows и сетевым накопителям, а также шифровальщики и декрипторы, написанные специально под конкретные цели (атаки Babuk в значительной степени производились вручную).
Тогда же, в сентябре 2021 г. CNews писал, что группа исследователей vx-underground обнаружила на одном из русскоязычных хакерских форумов сообщение, предположительно от одного из операторов шифровальщика, в котором тот пишет о своей тяжелой болезни и сообщает, что жить ему «уже недолго», и что он хочет успеть «пожить как человек».
В соцсети vx-underground указывалось, что автору сообщения 17 лет, и что у него финальная стадия рака легких.
И вот теперь эксперты по безопасности отмечают, что сразу несколько шифровальных группировок стали все более активно использовать шифровальные модули Babuk для серверов ESXi в своих атаках.
Не можешь написать сам, возьми чужой код
По данным компании SentinelLabs, между второй половиной 2022 г. и настоящим временем появились как минимум девять новых шифровальщиков на базе кода Babuk, которые в основном нацелены на серверы ESXi и Linux-системы.
«Наблюдается отчетливая тенденция: киберзлоумышленники все чаще используют компилятор Babuk для создания шифровальщиков под ESXi и Linux. Это особенно заметно в случае с группировками, обладающими меньшим количеством ресурсов: они с меньшей вероятностью будут модифицировать исходники Babuk в сколько-нибудь существенной степени», — указывается в публикации SentinelLabs.
Со второй половины 2022 г. шифровальными модулями Babuk под ESXi пополнились шифровальщики Play, Mario, ContiPOC, REvil/Revix, Cylance, DatafLocker, Rorschach/BabLock, Lock4 и RTM Locker.
В целом эти модули позволили операторам шифровальщиков атаковать системы под Linux, даже если у них самих не хватало потенциала и ресурсов на создание собственных средств шифрования.
«В целом, атаковать системы под Linux или ESXi значительно сложнее, чем под Windows, поэтому прежде на этом специализировались только самые сильные в техническом плане кибергруппировки, — отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — Код Babuk открывает возможность для таких атак всем или почти всем подряд. Это обычная история: став общедоступным, эффективный код будет использоваться всеми, для кого он актуален».
Эксперты также озабочены тем, что теперь определить происхождение атак будет намного сложнее.
Впрочем, шифровальщиков, нацеленных на корпоративные виртуальные среды, и без того хватает с избытком: Royal Ransomware, Nevada Ransomware, GwisinLocker ransomware, Luna ransomware, RedAlert Ransomware, BlackBasta, LockBit, BlackMatter, AvosLocker, HelloKitty, REvil, RansomEXX и Hive — все они вполне успешно шифруют виртуальные и физические Linux-системы.
Хакеры научились зарабатывать деньги на взломах, которых не было
Мошенническая группировка рассылает вымогательские письма от имени шифровальных банд с требованием выкупа за данные, украденные (или не украденные) другими.
DDoS как аргумент
Группировка мошенников под названием Midnight Group атакует американские компании с требованиями выкупа, угрожая опубликовать данные, которые они якобы украли.
Нередко объектами этих требований становятся фирмы, которые действительно ранее подверглись кибератакам, но Midnight к ним не имела никакого отношения. Время от времени свои угрозы Midnight подкрепляли DDoS-атаками, особенно если жертва демонстрировала несговорчивость.
Атаки со стороны группировки начались в районе 16 марта 2023 г. В нескольких случаях мошенники пытались выдавать себя за представителей других, широко известных кибервымогательских группировок, заявляли, что именно они произвели взлом и вывод важных данных. В частности, в одном письме они назвались Silent Ransom Group (под этим названием действуют бывшие участники синдиката Conti), в другом — Surtr Group, еще одной шифровальной группировкой, активной с конца 2021 г.
Правда, название Surtr было только в теме письма, а в теле использовалось название Silent Ransom. Видимо, забыли поменять.
В сообщениях потенциальным жертвам члены Midnight заявляли, что выкрали порядка 600 гигабайт «данных ключевой важности» и требовали выплатить выкуп до определенной даты, угрожая в противном случае выложить ее в общий доступ.
Пустые угрозы
Эксперты консалтинговой ИБ-компании Kroll отметили, что с 23 марта 2023 г. резко увеличился поток жалоб на подобные попытки вымогательства. В основном речь шла об угрозах от имени Silent Ransom.
В Kroll отметили, что все эти угрозы — мнимые, и Midnight просто использует самый дешевый метод социальной инженерии. В то же время эксперты считают, что эта методика будет набирать популярность, поскольку при минимальных затратах она бывает весьма эффективна.
Подобные атаки наблюдались с конца 2019 г.: мошенники требовали выкуп за данные, украденные кем-то еще, а если жертвы отказывались платить, то начинались DDoS-атаки — обычно маломощные, но сопровождавшиеся угрозами более интенсивных.
Ранее, в 2017 г., еще одна вымогательская группировка интенсивно рассылала угрозы DDoS-атак различным коммерческим организациям от лица наиболее знаменитых в то время хакерских групп: New World Hackers, Lizard Squad, LulzSec, Fancy Bear и Anonymous.
Что отличает нынешнюю кампанию, так это то, что операторы Midnight атакуют компании, которые действительно в прошлом становились жертвами взломов и утечек данных.
Эксперты компании Arete, также отслеживающие эти киберинциденты, отметили, что Midnight нацеливается на фирмы, ставшие жертвами таких шифровальных группировок как QuantumLocker/DagonLocker, BlackBasta и LunaMoth. Эти группировки практикуют двойное вымогательство — за расшифровку данных и за сохранение их конфиденциальности.
В Arete подозревают, что у участников Midnight есть доступ к непубличным данным о том, какие компании подверглись успешным кибератакам. Эти данные не всегда актуальны: минимум один раз вымогательское письмо получил бывший высокопоставленный сотрудник финансового отдела компании, пострадавшей от кибератаки, который не работал там же более полугода.
Тем не менее, есть основания полагать, что Midnight сотрудничают с другими группировками; возможно, просто покупают конфиденциальные сведения о том, какие компании были атакованы в недавнем прошлом.
«Фантомное вымогательство в плане соотношения затрат к результативности может быть очень выгодным, — указывает Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Никаких особенных технических знаний не нужно, единственное, на что придется потратиться, это на покупку данных о взломе и поиск наиболее перспективных контактных лиц. В целом это не более чем спам с целью взять на испуг. В компаниях, где внутренние коммуникации отлажены, пустые угрозы распознать не составит большой проблемы. И в любом случае, платить вымогателям не стоит в принципе».
Хакерская атака обрушила сервисы фонда «Сколково» 29.05.2023 [16:15]
В минувшую ночь инфраструктура фонда «Сколково» подверглась хакерской атаке, в результате чего была нарушена работа ряда его сервисов, пишет ТАСС со ссылкой на пресс-службу организации. Злоумышленникам удалось получить частичный доступ к информационным системам, и сейчас специалисты фонда занимаются восстановлением работы сервисов.
«В ночь с 28 на 29 мая инфраструктура фонда "Сколково" подверглась хакерской атаке. Злоумышленники получили частичный доступ к ряду информационных систем и сетевых ресурсов. Ведётся активная работа по восстановлению работоспособности инфраструктуры фонда "Сколково"», — сообщили в пресс-службе организации, добавив, что на данный момент временно недоступны публичные информационные ресурсы, такие как сайт sk.ru и онлайн-сервисы, и что основная часть сервисов будет восстановлена в течение суток.
В числе первых о взломе систем фонда рассказал Telegram-канал «Утечки информации», отметивший, что среди, файлов, опубликованных хакерами в качестве доказательства взлома, никаких критичных пользовательских данных (и баз данных вообще) не обнаружено.
В свою очередь, «Интерфакс» сообщил со ссылкой на пресс-службу фонда, что хакерам удалось взломать «файлообменник, расположенный на физических мощностях фонда». В настоящее время фонд «Сколково» ведёт изучение и анализ обстоятельств инцидента, к расследованию которого привлечены правоохранительные органы.
Государственные сайты США годами бесплатно рекламируют услуги хакеров
Сайты госведомств и университетов США, а также некоторых вузов и частных компаний из Европы в течение нескольких лет использовались хакерами для рекламы своих услуг и фишинговых сайтов. Они размещали на них PDF-файлы с нужными им ссылками, используя найденные уязвимости или легальные формы загрузки документов. Как долго это продолжалось, неизвестно. Эксперты сходятся во мнении, что масштабную спам-компанию вполне мог устроить всего один хакер.
Государство и вузы работают на хакеров
Мошенники в течение длительного времени использовали государственные сайты для открытой рекламы своих «услуг», в том числе и хакерских. Как пишет портал TechCrunch, они работали на широкую ногу, используя в качестве бесплатной рекламной площадки госсайты в нескольких американских штатах, а также публикуя объявления на веб-порталах американских вузов и федеральных агентств, и это могло продолжаться годами. Ссылки на такие файлы затем выводились в выдаче поисковиков.
Рекламные объявления содержались в файлах PDF, загруженных на официальные веб-сайты в доменной зоне .gov. В числе пострадавших – госструктуры штатов Калифорния, Северная Каролина, Нью-Гэмпшир, Огайо, Вашингтон и Вайоминг, а округов Сент-Луис в Миннесоте, Франклин в Огайо и Сассекс в Делавэре. Не обошли злоумышленники и официальные сайты ведомств в городе Джонс-Крик (Джорджия) и портал Федерального управление общественной жизни (Federal administration for Community Living).
Образовательные учреждения тоже попали во внимание хакеров. Спамом были Заражены» сайты Калифорнийского университета в Беркли, Стэнфорда, Йельского университета, Калифорнийского университета в Сан-Диего, Университета Вирджинии, Калифорнийского университета в Сан-Франциско, Университета Колорадо в Денвере, Колледжа Метрополитен, Университета Вашингтона, Университета Пенсильвании, Юго-западного Техасскиого университета, Университета штата Джексон, Колледжа Хиллсдейл, Университета Организации Объединенных Наций, Университета Лихай, Общественных колледжей Спокан, Университета Эмпайр-стейт, Смитсоновского института и Университета штата Орегон.
Международная экспансия хакеров
Злоумышленники, разместившие на госсайтах и порталах учебных заведений свою рекламу, решили не ограничиваться одними только США. Например, следы их присутствия были обнаружены на сайте Букингемского университета в Великобритании, то есть зона их действий охватывает как минимум Северную Америку и Европу. На это указывает и их незримое присутствие на сайте испанского представительства «Красного креста» и неназванной туристической компании в Ирландии.
Но все же основной упор сделан именно на США, и пока неясно, с чем именно это может быть связано. Как пишет TechCrunch, хакеры рекламировались даже на сайте американского оборонного подрядчика и производителя аэрокосмической техники Rockwell Collins – дочерней компании военно-промышленного гиганта Raytheon.
Что скрывается внутри
Хакерские PDF-файлы, неизвестно каким образом оказавшиеся в составе сайтов перечисленных организаций, сами по себе опасности не представляют, в отличие от их содержимого. Они включают в себя ссылки на различные сайты, где пользователям предлагают воспользоваться средствами взлома популярных в интернете веб-сервисов, включая мессенджер ShapChat и запрещенные в России социальные сети американского миллиардера Марка Цукерберга (Mark Zuckerberg).
Но не всех интересует взлом чужих профилей, и чтобы расширить аудиторию потенциальных клиентов, хакеры рекламируют и другие сервисы. Среди них – средства для читерства в видеоиграх и сервисы накрутки подписчиков в соцсетях.
О столь оригинальном способе рекламы хакерских услуг стало известно лишь в начале июня 2023 г., но, похоже, эта схема используется годами. Неопровержимых доказательств этому пока нет, но есть косвенные – некоторые из обнаруженных документов имеют дату создания и изменения, и это, как пишет TechCrunch, может указывать на то, что эти файлы находятся на серверах в течение многих лет.
Техническая реализация
Несколько жертв хакеров сообщили TechCrunch, что эти инциденты не обязательно являются признаками взлома, а скорее результатом того, что мошенники использовали уязвимость в онлайн-формах или программном обеспечении системы управления контентом (CMS), что позволило им загружать PDF-файлы на свои сайты. Представители трех пострадавших — города Джонс-Крик в Джорджии, Вашингтонского университета и муниципальных колледжей Спокана — заявили, что проблема связана с системой управления контентом под названием Kentico CMS.
Эксперты пока не выяснили весь список методов, какими пользовались хакеры для загрузки своих файлов на сайты. Но представители Калифорнийского департамента рыбы и дикой природы и Букингемского университета в Великобритании описали методы, которые кажутся одинаковыми, но без упоминания Кентико. «Похоже, что постороннее лицо воспользовалось одним из наших механизмов отчетности для загрузки PDF-файлов вместо изображений», — сказал TechCrunch Дэвид Перес (David Perez), специалист по кибербезопасности Департамента рыбы и дикой природы Калифорнии.
У департамента на сайте есть несколько страниц, на которых граждане могут, среди прочего, сообщать о случаях браконьерства и раненых животных. Заместитель директора департамента по связям с общественностью Джордан Траверсо (Jordan Traverso) сказал, что на странице была неправильно настроена форма для сообщения о больных или мертвых летучих мышах, но сайт «фактически не был скомпрометирован», и проблема была решена – департамент удалил документы.
Масштабная спам-компания
Документы с рекламой услуг хакеров были найдены Джоном Скоттом-Рейлтоном (John Scott-Railton), старшим научным сотрудником компании Citizen Lab. Неясно, являются ли сайты, которые он нашел полным списком ресурсов, затронутых этой масштабной спам-кампанией – не исключено, что их может оказаться больше.
На ком лежит ответственность за столь масштабный взлом, пока неизвестно. Но с учетом того, как много веб-сайтов против воли их владельцев показывали или одну и ту же, или очень похожую рекламу, за всеми ними может стоять одна хакерская группа или вовсе один человек.
«Загрузка SEO PDF подобна оппортунистическим инфекциям, которые процветают, когда ваша иммунная система подавлена. Они появляются, когда у вас неправильно настроены службы, неисправленные ошибки CMS [системы управления контентом] и другие проблемы с безопасностью», – сказал Скотт-Рейлтон.
Хотя эта кампания кажется сложной, масштабной и в то же время, казалось бы, безобидной SEO-игрой для продвижения мошеннических услуг, по словам Скотта-Рейлтона, злоумышленники могли использовать те же недостатки, чтобы нанести гораздо больший ущерб. «В этом случае в загружаемых ими PDF-файлах просто был текст, указывающий на мошенническую службу, которая, насколько нам известно, также могла быть вредоносной, но они вполне могли загружать PDF-файлы с вредоносным содержимым. Или вредоносные ссылки», – сказал он.
Все из-за денег
Эксперты TechCrunch на свой страх и риск проверили некоторые из веб-сайтов, рекламируемых в PDF-файлах. Выяснилось, что это лишь часть очень запутанной мошеннической схемы получения денег с помощью кликов. Киберпреступники, похоже, используют инструменты с открытым исходным кодом для создания всплывающих окон, чтобы убедиться, что посетитель является человеком, но на самом деле зарабатывают деньги в фоновом режиме. Обзор исходного кода веб-сайтов позволяет предположить, что рекламируемые хакерские услуги, вероятно, являются подделкой, несмотря на то, что по крайней мере на одном из сайтов отображаются изображения профилей и имена предполагаемых жертв.
Схема проверена и сбоев не дает
Хакеры вполне способны заставить бесплатно рекламировать свои услуги и фишинговые сайты далеко не только небольшие госведомства и порталы университетов, пусть и всемирно известным. Им по силам «завербовать» и веб-ресурсы гораздо более крупных организаций, к примеру, Евросоюза.
О том, что сайт ЕС – это рекламная площадка для киберпреступников, стало известно в конце 2022 г. Как сообщал CNews, он был вовлечен в точно такую же схему – неизвестные воспользовались легальной возможностью загрузки на сайт документов и разместили на нем множество файлов с ключевыми словами. Счет шел на тысячи документов, и дополнительным успехом стало то, что в результате ссылки на эти файлы долгое время выводились в первых строках поисковой выдачи.
По сути, хакеры не взламывали сайт Евросоюза – они лишь воспользовались функцией, которую он предоставлял всем без исключения посетителям. Это означает, что никакого нарушения закона в данном случае не было.
Хакеры потребовали у Reddit отмены повышения цен на использование API и $4,5 млн выкупа, а иначе опубликуют 80 Гбайт конфиденциальных данных 19.06.2023 [17:18]
В феврале этого года хакерам из группировки BlackCat удалось получить доступ к внутренней инфраструктуре Reddit и конфиденциальным данным компании. Теперь же стало известно, что они угрожают опубликовать 80 Гбайт похищенных тогда данных, если Reddit не заплатит выкуп и не снизит стоимость использования API платформы.
Официальные представители Reddit воздерживаются от комментариев по данному вопросу, но подтверждают, что угрозы хакеров связаны с инцидентом, который произошёл 9 февраля. При этом у компании нет доказательств того, что в руки злоумышленников попали конфиденциальные данные пользователей, например, пароли от учётных записей.
Reddit не раскрывает каких-либо подробностей касательно расследования февральской атаки или о том, кто стоит за ней. Несколько дней назад ответственность за проведение этой кампании взяла на себя группировка BlackCat, члены которой готовы опубликовать похищенную информацию, если их условия не будут выполнены. О каких именно данных идёт речь не ясно, поскольку хакеры не предоставили каких-либо образцов.
На одном из ресурсов даркнета злоумышленники опубликовали сообщение, в котором сказано, что они пытались связаться с Reddit 13 апреля и 16 июня, но в обоих случаях не получили ответа. Хакеры требуют выкуп в размере $4,5 млн, а также отмену повышения стоимости использования API Reddit. Согласно имеющимся данным, члены группировки BlackCat стоят за мартовской атакой на Western Digital, в ходе которой было похищено 10 Тбайт данных.
Очередной жертвой уязвимости файлообменника MOVEit оказался владелец антивирусов Avast и Norton 22.06.2023 [13:14]
Очередной жертвой хакерской группировки Cl0p, активно эксплуатирующей уязвимость файлообменной платформы MOVEit стала компания Gen Digital, дочерними компаниями которой являются разработчики антивирусов Avast и Norton. В результате атаки добычей киберпреступников стали персональные данные сотрудников компании.
Gen Digital подтвердила 20 июня, что в результате атаки вируса-вымогателя, эксплуатирующего уязвимость службы MOVEit, были похищены персональные данные сотрудников компании: имена, домашние адреса, рабочие идентификаторы и адреса электронной почты. В Gen Digital пояснили, что попытались устранить известные уязвимости в системе, но избежать атаки не смогли — при этом удалось избежать ущерба технологическим системам и службам компании, не были также похищены данные клиентов и партнёров.
В файлообменной службе MOVEit была обнаружена критическая уязвимость, которой присвоили номер CVE-2023-34362. Эксплуатация уязвимости осуществляется посредством SQL-инъекции, а специализируется на ней хакерская группировка Cl0p. Примечательно, что атака продолжилась после выпуска закрывающего уязвимость патча — пострадали уже более сотни организаций. В качестве дополнительных защитных мер рекомендуется «спрятать» приложение за VPN, прокси-сервером или посадочной страницей с формой авторизации.
Российские спутниковые трансляции продолжают атаковать хакеры 07.07.2023 15:14
Операторы российских спутниковых платформ DTH и DTC до сих пор переживают не лучшие времена – их трансляции подвергаются атакам хакеров, которые нарушают их вещание. Проблемы с помехами спутниковому сигналу у российских платформ возникают с 13 июня 2023 года. И проблема до сих пор не решена.
На первом этапе глушение спутникового сигнала было сосредоточено в основном на основных российских федеральных каналах, сейчас атаки осуществляются на передачи более-менее всех транспондеров операторов.
Операторы платформы DTH переводят ключевые федеральные каналы на другие частоты, где помех (пока) не возникает. Но это краткосрочное решение, ведь как только основные программы появятся на другой частоте, хакеры начнут атаковать и новые параметры вещания.
Операторы сетей платного телевидения рекомендуют абонентам перенастроить программы на новые параметры, где вещание (еще) не прерывается, или, возможно, отслеживать свое предложение программ через онлайн-приложение, где вещание все еще идет без перерывов.
В связи с общей озабоченностью распространением телевизионных программ на эфирные передатчики (DVB-T2) в России было принято нестандартное решение. Распределительный спутниковый сигнал для наземных передатчиков вновь обеспечивает военный спутник «Благовест-1» (Космос 2520), который находится в позиции 45° в. д . и работает только в диапазоне С.
Интересен тот факт, что помех ТВ-сигналу в российских мультиплексах Т2-МИ в С-диапазоне и, видимо, даже в Ku-диапазоне нет. Российские DTH-платформы Триколор ТВ Сибирь, НТВ Плюс Восток, а также новый DTH-сервис Русский мир, предназначенный для аннексированных Россией территорий Украины, продолжают вещание без перерывов.
65 % паролей россиян можно взломать за минуту, показало исследование 14.07.2023 [12:19]
Согласно исследованию компании RTM Group, специализирующейся на обеспечении информационной безопасности, большинство россиян оказались совершенно беззащитны перед взломщиками паролей. Как сообщает «Газета.Ru» со ссылкой на результаты исследовательской работы, 65 % паролей жителей России взламываются машинным перебором за минуту.
Было проанализировано 50 млн пар логин-пароль, попавших в Сеть или проданных в даркнете с января 2022 года по май 2023 года. Оценивались пароли, используемые представителями малого бизнеса, средних и крупных компаний, а также обычных пользователей.
Наиболее беспечными признаны физические лица, обычно применяющие простые пароли для защиты своих аккаунтов. Приблизительно в половине случаев слабые пароли используют представители малого бизнеса. Вторая половина из них использует пароли из 8 символов с включением строчных и заглавных букв, взлом которых для современных систем автоматического подбора тоже не составляет особого труда — на это у систем, готовых проверять до 300 млрд комбинаций в секунду, уходят считаные минуты.
Эксперты отметили, что в крупных организациях уделяют информационной безопасности значительно больше внимания. Надёжнее всего пароли у представителей крупного бизнеса, которые не ленятся составлять сложные комбинации паролей. Не в последнюю очередь этому способствует наличие жёстких корпоративных политик безопасности.
В RTM Group отметили, что если буквально несколько лет назад сильным можно было считать пароль из восьми знаков из цифр и букв разного регистра, то сейчас надёжной можно назвать комбинацию из 16 знаков, включающую спецсимволы. Утверждается, что на взлом такого пароля видеокартам актуального поколения понадобится порядка 50 млрд лет.
Впрочем, глобальная статистика ещё хуже. В мая появились данные, что 83 % самых популярных паролей можно взломать за 1 секунду.
Спортивный хакинг вышел в космос — RuVDS и Positive Technologies запустили соревнования по взлому спутника 18.07.2023 [18:04]
Российский хостинг-провайдер RuVDS и компания Positive Technologies сообщили о запуске состязания по спортивному хакингу в формате CTF (Capture the Flag). Особенность мероприятия заключается в том, что участникам предстоит взломать спутник-сервер, который начал работу на орбите Земли в текущем месяце.
Пусковой контейнер со спутником RuVDS был доставлен в космос ракетой-носителем «Союз-2.1б» 27 июня. Подготовкой миссии занималась компания «Стратонавтика», которая разработала «материнский» спутник — «СтратоСат ТК-1». Космический аппарат позволит исследователям изучить работу оборудования, в условиях невесомости, высокой радиации и экстремальных температур.
Анонсированные хакерские CTF-состязания включают в себя семь заданий, для выполнения которых участникам потребуется продемонстрировать знание различных аспектов информационной безопасности. Кроме того, энтузиастам предстоит взломать ИИ-систему на основе языковой модели ChatGPT.
Участникам будут предложены задачи, разработанные специально для CTF-мероприятия, которое проходило на Positive Hack Days в мае 2023 года. Отмечается, что задания разрабатывались таким образом, чтобы объединить интересы самой разной аудитории — от радиолюбителей до опытных хакеров.
Новое состязание стартовало сегодня — оно продлится приблизительно 90 часов. Для участия в хакатоне не требуется регистрация, но сам он начнется неожиданно. Победитель получит денежное вознаграждение от RuVDS, а наиболее отличившиеся участники соревнований — подарки от Positive Technologies.
«Литрес» подтвердил утечку данных пользователей и пообещал ужесточить меры безопасности 05.08.2023 [20:03]
Книжный онлайн-магазин «Литрес» подтвердил утечку данных пользователей, включая адреса электронной почты и зашифрованные пароли. Платёжные данные остались в безопасности. Хакерская группировка NLB заявила о доступе к базе из 97 млн строк. Сервис ужесточил меры безопасности и обратился к Роскомнадзору.
5 августа 2023 года стало известно о серьёзной утечке данных пользователей книжного онлайн-магазина «Литрес». Согласно заявлению компании, опубликованному в Telegram-канале, злоумышленники получили доступ к адресам электронной почты. Платёжные реквизиты не пострадали, так как сервис их не хранит.
Хакерская группировка NLB утверждает, что получила базу данных с 97 млн строк. Опубликована часть этой базы — около 3 %, содержащая 3 млн записей, включая идентификаторы пользователей, фамилии и имена, зашифрованные пароли и адреса электронной почты (588 877 уникальных).
«Литрес» принёс извинения за произошедшую утечку и заявил, что начал ужесточать контроль за хранением пользовательских данных, усилит уровень защиты и будет следить за доступом к информации. Компания также проинформировала Роскомнадзор о случившемся.
Пользователям сервиса рекомендовано сменить пароли не только на сайте «Литрес», но и на всех других площадках, где использовался похожий пароль. В случае несанкционированных действий с аккаунтом, сервис пообещал по запросу их отменить. Это не первый случай утечки данных в России в последнее время. В начале июня торговая сеть «Ашан» также подтвердила утечку данных клиентов, включая имена, фамилии, номера телефонов и адреса электронной почты.
Утечка данных «Литрес» является частью тревожного тренда, свидетельствующего о росте киберпреступности. Вопрос безопасности персональных данных становится всё более актуальным, особенно в свете недавно предложенного законопроекта о введении штрафов для бизнеса до 500 млн рублей за подобные инциденты. Ситуация с «Литрес» подчёркивает необходимость более строгого регулирования и контроля за хранением и обработкой персональных данных, а также ответственного отношения к вопросам конфиденциальности и безопасности клиентов.
Китайские хакеры изощренно атаковали аэрокосмические компании России и важные предприятия Сербии
Группировка Space Pirates атакует российские и сербские организации. Злоумышленники используют новое, по-видимому самописное, вредоносное ПО и постоянно дорабатывают и совершенствуют его, добавляя атипичные функции.
16 жертв кибершпионажа
По меньшей мере 16 организаций в России и Сербии стали жертвами атак со стороны кибергруппировки Space Pirates. Операторы этих атак использовали новаторскую тактику и новые инструменты.
Как сообщается в отчете компании Positive Technologies, деятельность «космических пиратов» сводится к кибершпионажу и хищению конфиденциальной информации. Теперь они расширили и географический ареал, и сферу интересов — отраслевой диапазон жертв атак.
Сейчас Space Pirates пытаются атаковать правительственные учреждения, образовательные институты, частные охранные компании, аэрокосмические организации, производителей сельскохозяйственной продукции, оборонные, энергетические и медицинские фирмы в России и Сербии.
Активны с 2019 года
PositiveTechnologies выявила группировку Space Pirates в мае 2022 г., когда ее члены атаковали ряд компаний аэрокосмического сектора. Однако в Positive утверждают, что группировка была активной самое позднее с конца 2019 г., и что она как-то связана с другой группировкой, которую Symantec называет Webworm.
Анализ инфраструктуры злоумышленников показал, что они питают особенную слабость к архивам e-mail в формате PST, а также активно используют Deed RAT — свой эксклюзивный троянец, предназначенный для удаленного доступа и управления скомпрометированными системами.
Deed RAT считается деривативом от троянца ShadowPad, который, в свою очередь, сам является «эволюционировавшим» вариантом PlugX. И ShadowPad, и PlugX активно использовались китайскими кибершпионскими соединениями.
«Это означает, скорее всего, китайское происхождение и этого вредоноса, — полагает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — И это, в свою очередь, указывает и на региональное происхождение Space Pirates и их заказчиков. И хотя хакеры могут использовать опенсорсные или совсем чужие инструменты для заметания следов, в данном случае речь идет об эксклюзивной программе, которой не пользуется никто, кроме Space Pirates».
Доработка DeedRAT продолжается и по сей день. На данный момент он существует в двух вариациях — 32-битной и 64-битной. Кроме того, он способен подтягивать дополнительные модули с удаленного сервера.
DeedRAT может служить средством подгрузки и установки вредоносов следующей стадии, таких как Voidoor.
Сценический дебют
Этот вредонос попался исследователям впервые. Выяснилось, что Voidoor запрограммирован на установку соединений с легитимным форумом компании Voidtools и репозиторием GitHub, связанным с пользователем hasdhuahd, используемым в качестве контрольного сервера.
Voidtools — это, собственно, разработчик бесплатной поисковой утилиты для десктопов под управлением Microsoft Windows. Их форум базируется на популярной опенсорсной платформе MyBB. Voidoor соединяется с форумом под встроенными в него логином и паролем и проверяет внутрифорумные прямые сообщения — с целью найти каталог, обозначенный идентификатором очередной жертвы.
Связанные с Voidoor аккаунты были зарегистрированы на GitHub и Voidtools в ноябре 2022 г.
В отчете Positive Technologies также указывается, что хакеры Space Pirates активно разрабатывают новые инструменты для взлома и вывода данных, а кроме того, применяют обширный ассортимент общедоступных инструментов для передвижения по сетям и используют сканер уязвимостей Acutinex для предварительной разведки целевой инфраструктуры.
Microsoft предупредила об угрозах кибербезопасности на спортивных мероприятиях
Количество инцидентов кибербезопасности постоянно растёт, причём речь идёт не только об узконаправленных атаках, но и широкомасштабных вредоносных кампаниях. Злоумышленники не ограничиваются проведением атак против крупных компаний, всё чаще обращая внимание на массовые мероприятия, такие как спортивные соревнования. По данным Microsoft, атаки во время крупных спортивных соревнований могут привести к утечке данных, нарушению работы критической инфраструктуры и др.
В недавнем отчёте софтверного гиганта говорится, что угрозы кибербезопасности на спортивных мероприятиях «разнообразны и сложны». Особо отмечается, что «ни одно крупное спортивное мероприятие не имеет одинаковых профилей киберрисков», а целью злоумышленников может являться информация о спортсменах, обслуживающем персонале, организаторах, а также компрометация устройств в точках продаж, устройств посетителей и многое другое.
Независимо от того, какую цель преследуют злоумышленники, каждое конкретное мероприятие отличается по месту проведения, количеству и составу участников, демографическим характеристикам и др. Microsoft провела мониторинг в 45 организациях, участвующих в крупных спортивных мероприятиях и имеющих суммарно около 100 тыс. конечных точек доступа, на которых было совершено 634,6 млн попыток аутентификации. В среднем на одно конечное устройство приходилось около 6340 попыток аутентификации. При этом некоторые конечные устройства являются критически важными, поэтому на их долю может приходиться значительно больше попыток аутентификации.
В сообщении отмечается, что в целом обеспечение кибербезопасности на крупных спортивных мероприятиях является сложным вопросом. Политические и финансовые мотивы, которыми могут руководствоваться злоумышленники, а также разные условия проведения каждого соревнования — всё это усложняет обеспечение кибербезопасности.
Судебный процесс по делу о незаконном доступе к сервису платного телевидения Sky Deutschland сегодня завершился штрафом в немецком суде.
33-летний подсудимый был приговорен к выплате 10 000 евро по делу, которое рассматривалось в окружном суде Геттингена, сообщает немецкая газета HNA. Уголовные дела также были возбуждены против его более чем 400 клиентов по всей стране, которые были установлены в ходе расследования.
Согласно отчету, признанный ответчик предлагал определенные устройства через свой собственный интернет-магазин, а также через торговую платформу eBay, которая позволяла клиентам получать услуги подписки Sky Deutschland «бесплатно». В некоторых случаях он не продавал клиентам никаких устройств, а отправлял им ссылку, по которой они могли нелегально получить доступ к предложению платного телевидения.
Дело о мошенничестве было инициировано по жалобе, поданной Sky Deutschland.
Уязвимость в WinRAR позволяла хакерам запускать произвольный код при открытии RAR-архивов 19.08.2023 [16:33]
В известном архиваторе WinRAR обнаружена уязвимость, которая отслеживается под номером CVE-2023-40477 — ей присвоен рейтинг 7,8 из 10 (высокий). Заранее уведомлённые о проблеме разработчики уже исправили ошибку в программе, и в версии WinRAR 6.23 уязвимость уже закрыта.
Проект Zero Day Initiative перечисляет следующие тезисы, связанные с уязвимостью старых версий WinRAR:
уязвимость позволяла злоумышленникам выполнять произвольный код; механизм её работы был связан с обработкой восстановления томов; приложение некорректно проверяло пользовательские данные; в результате вредоносное ПО получало доступ за пределами выделенного буфера памяти; для эксплуатации уязвимости необходимо было заставить пользователя самостоятельно запустить специально созданный вредоносный архив RAR. Проблему выявил исследователь кибербезопасности под ником goodbyeselene. Он сообщил о своём открытии разработчикам WinRAR в начале июня. Исправленная версия WinRAR 6.23, не содержащая уязвимости, вышла 2 августа, а информация о проблеме оглашена 17 августа — у пользователей было достаточно времени для обновления программы.
Ранее программа «Проводник» в составе предварительной версии Windows 11 получила поддержку формата RAR. Она была реализована при помощи открытой библиотеки libarchive, которая также поддерживает форматы LHA, PAX, TAR, TGZ и 7Z. Возможность распаковки в стабильной версии системы появится в сентябре, а создание архивов станет доступным лишь в следующем году. Разработчиков WinRAR это известие, кажется, не напугало: специализированный архиватор предлагает более широкий набор параметров, чем интегрированная функция в файловом менеджере.
Количество DDoS-атак на российскую IT-инфраструктуру удвоилось 25.08.2023 [13:30],
Россия по итогам II квартала 2023 года оказалась на девятом месте в мире по общему количеству зарегистрированных DDoS-атак. Как сообщает компания «Гарда», ситуация в данной сфере значительно ухудшилась. В период с апреля по июнь включительно на российскую IT-инфраструктуру пришлось 2,3 % от общего числа DDoS-атак в мире. Это в два раза больше по сравнению с I четвертью текущего года.
По оценкам, в I квартале 2023 года количество DDoS-атак в России составило приблизительно 385 тыс. Абсолютные значения за II четверть года не приводятся, но говорится, что по сравнению с тем же периодом 2022-го показатель увеличился на 28 %. При этом число атак на правительственные организации подскочило за год на 118 %, на энергетический сектор — на 74 %, на нефтяную отрасль — на 53 %.
Наиболее атакуемые страны (Источник: «Гарда»)
В исследовании «Гарда» говорится, что по сравнению с I кварталом 2023 года, во II четверти года несколько изменилось распределение активности по дням недели. Число атак в пятницу и воскресенье снизилось по отношению к предыдущему периоду, а заметный рост наблюдается по вторникам и средам.
Зафиксирован рост TCP-флуда: доля таких атак достигла — 18 %. Суммарная доля TCP ACK и TCP SYN составила 42 %, UDP-флуд по-прежнему занимает второе место. При этом число таких атак сократилось с 47 % до 24 %, стабилен уровень атак типа DNS Amplification —в районе 9-10 %. Доля NTP Amplification значительно выросла —с 1 % до 10 %.
Отмечается, что основная часть DDoS-атак реализуется с использованием ботнетов, в состав которых входят компьютеры не только компаний, но и обычных пользователей по всему миру. В техническом плане сложность таких киберпреступных кампаний постоянно растёт. DDoS-атаки организуются на канальный уровень, сетевую инфраструктуру, TCP/IP-стек и уровень приложения.
Наибольшее количество атак во II квартале 2023 года пришлось на США — около 33,5 % от общего числа. На втором месте находится Китай с результатом в 10 %. Количество атак с территории России снизилось: их доля сократилась с 3,09 % до 2,11 %. Лидерами по данному показателю являются Китай (38 %), Индия (24 и Южная Корея (10 %).