Личные данные клиентов «МТС Банка» попали в открытый доступ — в банке считают, что ничего страшного не случилось 07.09.2023 [23:33]
Неизвестный хакер выложил в открытый доступ данные клиентов «МТС Банка», сообщил Telegram-канал «Утечки информации» российского сервиса разведки уязвимостей и утечек данных, а также мониторинга мошеннических ресурсов в даркнете DLBI. Утёкшие данные содержатся в трёх файлах в формате .csv. Источник изображения: Pixabay
В одном из этих файлов с 1 млн строк содержатся персональные данные клиентов, включая ФИО, дату рождения, пол, номер ИНН, гражданство. В другом файле, содержащем 3,1 млн строк, указаны данные о банковских картах клиентов, включая тип карты (дебетовая, кредитная, корпоративная), частичную информацию о её номере (6 первых и 4 последних цифры), даты выпуска и завершения срока действия карты. В третьем файле указаны 1,8 млн уникальных номеров телефонов клиентов, 50 тыс. уникальных адресов электронной почты и числовые идентификаторы. Хакер сообщил, что у него имеется полная база из 21 млн строк.
Ресурс securitylab.ru утверждает, что базу данных «МТС Банка» взломали хакеры из группировки NLB, которые ранее сливали данные клиентов и сотрудников компании «СберЛогистика», образовательного портала «GeekBrains», сервиса электронных книг «Литрес» и многих других.
В свою очередь, «МТС Банк» заверил клиентов, что его инфраструктура не подвергалась атакам, и данные пользователей вне опасности. «Представленная в базе информация не позволяет злоумышленникам совершать финансовые операции от лица клиентов банков, их счета вне опасности, — сообщили в пресс-службе банка. — Проверка базы, опубликованной хакерами, показала, что в ней содержатся персональные данные граждан и маскированные номера банковских карт, выпущенных различными российскими банками. Маскирование представляет собой меру защиты, в рамках которой номер банковской карты виден лишь частично».
«Наличие в базе карт различных эмитентов указывает на то, что утечка произошла не в каком-либо конкретном банке, а, предположительно, у ретейл-компании либо поставщика цифровых сервисов, которые хранят и обрабатывают платёжные данные пользователей именно в таком виде», — добавили в пресс-службе «МТС Банка».
«Лаборатория Касперского»: бэкдор три года распространялся под видом легитимного установщика ПО для Linux
Эксперты «Лаборатории Касперского» обнаружили вредоносную кампанию с использованием Free Download Manager, которая длилась более трёх лет. В ходе атаки легитимное ПО для установки приложений использовалось для распространения бэкдора на устройства под управлением ОС Linux. Жертвы заражались при попытке загрузить программное обеспечение с официального сайта Free Download Manager, что указывает на потенциальную атаку на цепочку поставок. Некоторые образцы вредоносного ПО, использованного в этой кампании, впервые были выявлены в 2013 г. Атаки были зафиксированы в Бразилии, Китае, Саудовской Аравии и России.
Обнаруженная вредоносная кампания нацелена на системы Linux. Если жертва открывала в браузере легитимный веб-сайт Free Download Manager, а затем нажимала кнопку загрузки программы для Linux, то в некоторых случаях её перенаправляло на вредоносный URL, с которого скачивалась вредоносная версия, выпущенная в 2020 г. После запуска файла на устройстве жертвы устанавливался бэкдор — разновидность троянца для получения удалённого доступа. С заражённого устройства злоумышленники могли красть различную информацию, в том числе сведения о системе, историю браузера, сохранённые пароли, данные криптовалютных кошельков и даже учётные данные облачных сервисов, таких как Amazon Web Services или Google Cloud.
Эксперты «Лаборатории Касперского» полагают, что это может быть атакой на цепочку поставок. В ходе исследования руководств по установке Free Download Manager на YouTube для компьютеров Linux были обнаружены случаи, когда создатели видео непреднамеренно демонстрировали начальный процесс заражения. Но в другом видео загружалась легитимная версия программного обеспечения. Вероятно, разработчики вредоносного ПО предусмотрели, что жертва перенаправлялась на вредоносную версию ПО с определённой степенью вероятности или на основе цифрового следа потенциальной жертвы. В результате некоторые пользователи сталкивались с вредоносным пакетом, а другие получали легитимный.
«Распространено заблуждение, что для Linux не существует вредоносного ПО, поэтому многие пользователи не устанавливают на такие устройства защитные решения. Однако отсутствие средств обеспечения кибербезопасности как раз делает их более привлекательными для злоумышленников. Ситуация с Free Download Manager демонстрирует, что кибератаки на Linux могут долго оставаться необнаруженными. Чтобы этого избежать, нужно обязательно заботиться об эффективных мерах безопасности для компьютеров и серверов, работающих на этой операционной системе», — сказал Леонид Безвершенко, эксперт по кибербезопасности «Лаборатории Касперского».
WinRAR стал опасен против воли разработчиков. Раскрыта хитрая схема, угрожающая полумиллиарду пользователей 21 Сентября 2023 13:56
Хакер нашел способ эксплуатации огромной уязвимости WinRAR, недавно закрытой разработчиками. Он решил сыграть на шумихе вокруг нее и на любопытстве пользователей и написал ПО, которое якобы демонстрирует последствия использования этой «дыры». Архив с софтом он даже снабдил роликом с примером его работы и Readme-файлом для усыпления бдительности пользователей. На деле его ПО – это всего лишь загрузчик опасного вредоноса VenomRAT.
Никому нельзя верить
Архиватор WinRAR стал опасен для своих пользователей, коих в мире около 500 млн. как Как пишет портал Hacker News, киберпреступники взяли на вооружение уязвимость CVE-2023-40477, найденную и устраненную в августе 2023 г., и с ее помощью реализуют очень хитрую схему распространения вредоносного ПО.
За новой атакой на пользователей архиватора стоит киберпреступник whalersplonk. Он решил воспользоваться шумихой вокруг «дыры» CVE-2023-40477, позволявшей запускать на компьютере жертвы произвольный код и полностью перехватывать контроль над ПК, и собрал программу, которая демонстрирует работоспособность этой уязвимости.
Другими словами, хакер написал РоС-эксплойт (Proof of Concept), который разместил в открытом доступе на портале GitHub (принадлежит Microsoft, вводит санкции против россиян) в полной уверенности, что широкое освещение проблемы CVE-2023-40477 в интернете привлечет внимание к его новому творению.
Разработчики WinRAR устранили брешь CVE-2023-40477 в сборке 6.23, вышедшей в августе 2023 г., но, вероятнее всего, не все пользователи к моменту выхода материала успели обновить архиватор на своих ПК.
Программа с двойным дном
PoC-эксплоиты создаются с целью наглядной демонстрации того, что хакеры смогут сделать с компьютером, если произойдет реальный взлом. В случае с программой whalersplonk все обстоит совершенно иначе: единственная цель, которую преследовал хакер, заключается в заражении пользователей, желающих посмотреть на последствия эксплуатации CVE-2023-40477 – это заражение его другим вредоносным ПО.
Как пишет Hacker News, запуск хакерской утилиты активирует целую цепочку действий, одна вреднее другой для ПК пользователя. В конечном итоге на него в фоновом режиме загружается вредонос VenomRAT, а это своего рода ключ от всех дверей – он открывает киберпреступнику полный доступ к компьютеру. В числе прочего утилита может следить, что пользователь набирает на клавиатуре, тем самым давая хакеру возможность влезть в его переписку и узнать пароли.
По сути, whalersplonk написал скрипт на Python, представляющий собой слегка модифицированный эксплоит для уязвимости CVE-2023-25157 в программе GeoServer. Его запуск создает batch-скрипт для загрузки PowerShell-скрипта, который скачивает из интернета VenomRAT и попутно создает в планировщике задач скрипт по регулярному запуску вредоноса.
Чтобы никто не догадался
Хакер, решивший сыграть на любопытстве пользователей WinRAR, подстраховался и максимально замаскировал свою программу под нечто совершенно безвредное и даже, наоборот, полезное. В своем профиле на GitHub он выложил Readme-файл, в котором подробно описал, что якобы делает его программа, и как ею пользоваться. Про фоновую загрузку вредоноса в файле, разумеется, упоминаний нет.
Чтобы окончательно усыпить бдительность, хакер выложил 20-секундную запись экрана, в котором демонстрировал работу программы. Он разместил ролик на заблокированном в России в 2019 г. по решению Мосгорсуда сервисе коротких видео Streamable.
К моменту выхода материала профиль whalersplonk на GitHub был недоступен – заблокирован или удален, но ролик на Streamable по-прежнему открывался. Загруженный 22 августа 2023 г., ровно за месяц он собрал лишь около 340 просмотров.
Архиватор с российскими корнями
За архиватором WinRAR стоит российский программист Евгений Рошал, выпустивший первую его версию более 28 лет назад, в апреле 1995 г. На сегодняшний день это один из самых известных и распространенных архиваторов в мире – у него около полумиллиарда пользователей.
В WinRAR периодически находятся как мелкие, так и критические уязвимости, но разработчики стараются оперативно устранять их – CVE-2023-40477, к примеру, они закрыли всего через несколько дней после ее обнаружения. В 2015 г. в нем была найдена критическая брешь, которая позволяла встраивать вредоносный HTML-код в самораспаковывающийся RAR-архив.
В феврале 2019 г. в WinRAR нашли опасную «дыру», эксплуатация которой давала злоумышленнику возможность распаковать нужный ему архив в произвольный каталог Windows, например, архив с вредоносным софтом в папку автозагрузки, чтобы тот активировался при каждом включении ПК.
400 тыс. новых вирусов каждый день: «Лаборатория Касперского» заявила о глобальном росте числа кибератак 24.09.2023 [10:21]
Компания «Лаборатория Касперского» фиксирует динамичный рост количества кибератак по всему миру. Глава компании Евгений Касперский заявил, что ежедневно специалисты «Лаборатории Касперского» сталкиваются с 400 тыс. новых вредоносных файлов. Источник изображений: Pixabay
«Рост атак есть везде на самом деле, это глобальная проблема. Мы каждый день собираем примерно 400 тыс. новых файлов, которые ни разу не видели до этого, причём именно зловредных файлов. Какие-то из них распознаются защитными системами в автоматическом режиме, потому что сигнатура хорошо срабатывает, но, конечно, далеко не все», — рассказал господин Касперский во время беседы с журналистами.
Несмотря на рост количества кибератак, цели злоумышленников остаются прежними. Наибольшее количество кибератак направлены против инфраструктуры бизнеса, госсектора и промышленности. Отмечается, что в большинстве схем хакеры говорят на китайском, испанском, португальском, русском, английском и турецком языках.
По данным МТС RED, количество кибератак против российских компаний в период с апреля по июнь 2023 года увеличилось почти в два раза и составило около 12,7 тыс. инцидентов. Чаще всего злоумышленники атакуют IT-компании, количество таких инцидентов выросло до 4 тыс. По оценкам экспертов, российский рынок кибербезопасности в течение ближайших лет будет в среднем расти на 24 % в год и к 2027 году составит 559 млрд рублей.
«Лаборатория Касперского» рассказала о новых версиях финансовых зловредов
Устройства российских пользователей атакует новая версия уже известного стилера, который крадет логи криптовалютных кошельков. Эксперты «Лаборатории Касперского» проанализировали новые вредоносные инструменты, один из которых, стилер Lumma, атакует в том числе российских пользователей.
Откуда взялся Lumma. Его предвестник — стилер Arkei, впервые замеченный в мае 2018 г. Lumma — это новая версия Arkei. Она распространяется через поддельный веб-сайт для преобразования файлов .docx в .pdf. Загруженные файлы возвращаются с двойным расширением — .pdf.exe, и при попытке их открытия на компьютер устанавливается зловред. Стилер умеет красть кэшированные файлы, конфигурационные файлы и логи криптовалютных кошельков. Он может работать как плагин для браузера, а также совместим с приложением Binance. В Lumma есть и функции, которых не было в предыдущих версиях стилера, — возможность получать списки системных процессов, усовершенствованные техники шифрования, а также использование динамических конфигурационных файлов, которые присылает командный сервер.
Эволюция Zanubis. Банковский троянец Zanubis, который атакует пользователей из Перу под видом легитимных приложений, известен с 2022 г. Он выманивает разрешение на доступ к Accessibility Services (службе специальных возможностей). Сначала он маскировался под финансовые и криптовалютные сервисы на Android, а в апреле 2023 г. появилась имитация под официальное приложение перуанского Национального управления таможенной и налоговой администрации (SUNAT). Для запутывания кода (обфускации) Zanubis использует Obfuscapk — популярный обфускатор файлов приложений для Android. Троянец подгружает реальный сайт SUNAT с помощью системного компонента WebView, отвечающего за открытие веб-страниц в приложениях.
Как выяснили эксперты, для связи с командным сервером троянец использует протокол WebSocket и библиотеку Socket.IO. Это позволяет ему адаптироваться и оставаться на связи даже в случае проблем. Как и во многих современных вредоносных программах, у Zanubis нет фиксированного списка приложений для атаки: этот список злоумышленники могут настроить под каждое конкретное устройство. При этом зловред может создавать второе соединение, позволяющее получить полный контроль над устройством и даже полностью заблокировать его под видом обновления для Android.
Новый криптор. Эксперты «Лаборатории Касперского» также проанализировали ASMCrypt — недавно обнаруженный криптор/загрузчик, продающийся на подпольных форумах. Инструменты такого типа используются, чтобы скрыть сам процесс загрузки или другое вредоносное ПО. ASMCrypt — это более продвинутая версия загрузчика DoubleFinger, используемая в качестве «фасада» для службы, которая выполняется в сети TOR. Покупатели могут настроить под себя методы заражения, цели атаки, параметры автозагрузки, а также разные возможности ВПО. Вредоносный функционал скрыт внутри изображения с разрешением .png, загруженного на хостинговый сайт.
«В погоне за прибылью злоумышленники активно используют тему криптовалют и имитируют приложения государственных учреждений. На примере стилера Lumma и троянца Zanubis можно проследить, как меняется ландшафт вредоносного ПО и сама природа подобных киберугроз. Специалистам в области кибербезопасности нужно постоянно отслеживать изменения вредоносного кода и тактик злоумышленников. Чтобы защититься от развивающихся угроз, организациям важно сохранять бдительность и быть в курсе того, как они эволюционируют. Наши отчеты предоставляют информацию о новейших вредоносных инструментах и методах злоумышленников. Это позволяет нам быть на шаг впереди в борьбе за цифровую безопасность», — сказала Татьяна Шишкова, ведущий исследователь угроз информационной безопасности в «Лаборатории Касперского».
Чтобы защититься от подобных киберугроз, эксперты «Лаборатории Касперского» рекомендуют: создавать резервные офлайн-копии данных, к которым не смогут получить доступ злоумышленники, чтобы в экстренной ситуации ими можно было быстро воспользоваться; установить защитные программы от программ-вымогателей для всех конечных устройств; пользователям — защищать все устройства, с помощью которых кошелек подключается к интернету, с помощью надежного решения; компаниям — предоставлять сотрудникам отдела кибербезопасности возможность доступа к свежей информации о новейших тактиках, техниках и процедурах злоумышленников.
Подразделение Sony сообщило о крупной утечке данных, произошедшей из-за взлома злоумышленниками компьютерных сетей компании с использованием уязвимости нулевого дня CVE-2023-34362 в платформе MOVEit Transfer. По этому поводу компания уведомила примерно 6800 человек, включая нынешних и бывших сотрудников и членов их семей.
В уведомлении сообщается, что взлом произошёл 28 мая, за три дня до того, как Progress Software (поставщик MOVEit) известила SIE об уязвимости, но его обнаружили в начале июня. «2 июня 2023 года мы обнаружили несанкционированные загрузки, немедленно отключили платформу и устранили уязвимость», — сообщила Sony Interactive Entertainment, отметив, что взлом был ограничен конкретной программной платформой и не затронул другие системы, и что о случившемся извещена полиция, а также начато расследование инцидента с привлечением экспертов по кибербезопасности.
В уведомлении пострадавшим предлагается воспользоваться сервисами кредитного мониторинга и восстановления личности через Equifax, доступ к которым они могут получить до 29 февраля 2024 года, используя свой уникальный код.
В конце прошлого месяца на хакерских форумах появились сообщения об ещё одном взломе систем Sony, в результате которого было украдено 3,14 Гбайт. Утекшие данные, хранившиеся как минимум у двух отдельных хакеров, содержали подробную информацию о платформе SonarQube, сертификатах, Creators Cloud, политиках реагирования на инциденты, эмуляторе устройств для генерации лицензий и т.д.
Компания подтвердила ресурсу факт взлома, отметив, что при содействии внешних экспертов была выявлена активность на одном сервере, расположенном в Японии, который используется для внутреннего тестирования в сфере развлечений, технологий и услуг (ET&S).
Sony отключила на время расследования этот сервер. Как сообщается, нет никаких признаков того, что данные клиентов и деловых партнёров хранились на данном сервере, и что были затронуты какие-либо другие системы компании. Также не было отмечено никаких негативных последствий для Sony.
BYOD — удобство или угроза в эпоху кибератак? Microsoft вынесла вердикт 12:00 / 6 октября, 2023
Почему личные устройства сотрудников — худшие враги безопасности любой организации?
Исследование компании Microsoft показало, что от 80 до 90% всех вымогательских атак в течение последнего года происходили с устройств, которые не находятся под контролем организаций. Эти данные были опубликованы в последнем отчёте Microsoft « Digital Defense Report 2023 ».
Организации, практикующие политику «Принеси своё собственное устройство» (Bring Your Own Device, BYOD), ставят свои сети под угрозу атак. Личные устройства, принесённые из дома сотрудниками, обычно не обладают необходимыми мерами безопасности и часто являются входной точкой компрометации.
Некоторые эксперты считают, что BYOD никогда не сможет обеспечить такой же уровень безопасности, как полностью контролируемое устройство, предоставленное самой организацией. Поэтому самым надёжным решением, по мнению многих, будет банальный отказ от такого способа работы.
В то же время, Центр кибербезопасности Великобритании (NCSC) предлагает рекомендации по грамотному внедрению политики BYOD, учитывая все её преимущества, такие как удобство использования и экономия средств для компании. Да и сама Microsoft придерживается правильной интеграции BYOD в организации вместо её полного запрета.
Тем не менее, доля успешных атак с использованием личных устройств сотрудников может возродить дискуссии о целесообразности применения BYOD в современных организациях.
Угроза от BYOD усугубляется в том числе общим резким ростом вымогательских атак в этом году. По данным той же Microsoft, число атак с использованием программ-вымогателей, управляемых человеком, увеличилось более чем на 200 процентов с сентября 2022 года.
При этом только 2% попыток атак привели к реальному развёртыванию вымогательского ПО у жертв, что является хорошим показателем. Как отмечается, высокоэффективную защиту от современных вымогательских атак удаётся обеспечить лишь благодаря по-настоящему надёжным мерам безопасности.
Рекомендации организациям, которые не хотят попасть в эти злополучные 2 процента, не изменились по сравнению с рекомендациями прошлых лет:
внедряйте меры безопасности с нулевым доверием и наименьшими привилегиями;
регулярно создавайте резервные копии;
развёртывайте решения, которые обнаруживают злоумышленников на основе известных сигналов и автономно устраняют угрозы.
Согласно данным Microsoft, большинство вымогательских атак в июне 2023 года было осуществлено всевозможными аффилиатами RaaS-групп. Исследователи насчитывают их больше сотни. Самые активные четыре RaaS-группы в настоящее время — Magniber, LockBit, Hive и BlackCat. Они стали инициаторами почти двух третей всех глобальных вымогательских атак.
Именно по причине роста числа аффилиатов, Microsoft считает, что число вымогательских атак будет лишь увеличиваться и в 2024 году наверняка побьёт новые «рекорды».
Ключевой тенденцией, наблюдаемой в деятельности преступников-вымогателей за последний год, стало «резкое увеличение» методов удалённого шифрования, используемых операторами программ-вымогателей.
«Удалённое шифрование — это когда компьютерная программа шифрует файл на другом компьютере, а затем отправляет зашифрованный файл на исходный компьютер, подменяя оригинал. Это может произойти, если один компьютер в сети взломан и имеет доступ к другому компьютеру», — объяснили в Microsoft.
«Это может произойти без необходимости установки хакером какого-либо дополнительного программного обеспечения на исходном компьютере. Например, когда файлы зашифрованы в общей папке или если файлы зашифрованы во время сеанса удалённого рабочего стола, когда хакер имеет доступ к файловой системе».
Своевременно обнаружить такие атаки очень трудно, поэтому большинство случаев, когда злоумышленники всё же смогли проникнуть в корпоративную систему и применить удалённое шифрование — заканчивается успешно для вымогателей.
В завершение, учитывая постоянное развитие киберугроз, эксперты настаивают на внедрении самых последних и строгих мер безопасности, а также регулярных проверках защищённости корпоративных сетей. Только так получится дать отпор киберпреступникам и сохранить свои драгоценные данные.
Закон кибербумеранга: вымогательская группа Lorenz стала жертвой своей же утечки
Данные всех, кто пытался связаться с хакерами за 2 года, оказались в открытом доступе.
Группа вымогателей Lorenz непреднамеренно раскрыла данные всех людей, которые пытались связаться с ней через онлайн-форму на темном сайте в течение последних двух лет. Среди этих данных — имена, email-адреса и темы запросов.
Проблему обнаружил исследователь безопасности, известный под псевдонимом Htmalgae. Он зафиксировал утечку бэкэнд-кода и опубликовал извлеченные сведения на GitHub .
Причиной инцидента стала ошибка в настройках веб-сервера Apache2 со стороны команды Lorenz.
«Кто-то из Lorenz допустил ошибку в настройках веб-сервера Apache2. Это привело к утечке раскрытию формы авторизации», — объясняет Htmalgae. «Эта утечка, пожалуй, одна из самых простых, которые я когда-либо находил. Я обнаружил неисправную форму обратной связи Lorenz во время ежедневной проверки вымогательских сайтов. Мне достаточно было просмотреть исходный код страницы и скопировать адрес утекшего файла».
Htmalgae также уточнил, что Lorenz временно закрыли доступ к своей контактной форме, но основная проблема «так и осталась нерешенной». Сайт по-прежнему функционирует, пользователи могут отправлять запросы (хотя до хакеров они уже не доходят).
Сам факт утечки может подорвать репутацию группы в киберкриминальном мире и привести к арестам.
Lorenz впервые появилась на радаре экспертов в 2021 году. Есть версия, что их вымогательское ПО — модификация штамма .sZ40, обнаруженного в октябре 2020 года. Этот штамм, в свою очередь, связан с программой ThunderCrypt 2017 года.
Хакеры часто применяют тактику, известную как «двойной выкуп». После компрометации файлов шифруются сами устройства. Такой подход не позволяет жертве восстановить информацию с помощью резервных копий, избегая переговоров с преступниками.
Группа также известна как брокер начального доступа (initial access broker, IAB). Простыми словами, она продает доступ к корпоративным сетям атакованных компаний другим киберпреступникам.
Cybereason оценивает уровень угрозы, исходящей от Lorenz, как «высокий», подчеркивая разрушительный характер их действий. Говорят, что хакеры используют особо изощренные методы, находя к каждой компании «особый подход».
Однако в 2023 году, несмотря на свою активность, Lorenz не попала ни в один в топ вымогательских группировок. За 10 месяцев на их сайте были опубликованы всего 16 жертв.
Admin/1234: стандартные учётные данные в Cisco Emergency Responder чуть не стали причиной масштабной атаки 17:35 / 5 октября, 2023
Root-доступ на любом устройстве можно было получить в два клика, успели ли хакеры воспользоваться шансом?
Компания Cisco выпустила обновления безопасности для устранения уязвимости в Cisco Emergency Responder (CER), из-за которой злоумышленники могли входить в необновлённые системы с помощью жёстко закодированных учётных данных.
CER помогает организациям эффективно реагировать на чрезвычайные ситуации, позволяя точно отслеживать местоположение IP-телефонов, позволяя перенаправлять экстренные вызовы в соответствующие пункты реагирования общественной безопасности.
Уязвимость, зарегистрированная под идентификатором CVE-2023-20101 , позволяет неаутентифицированным атакующим получить доступ к целевому устройству, используя учётную запись root с постоянными учётными данными, которые нельзя было изменить.
Компания объяснила в своей рекомендации по безопасности: «Эта уязвимость обусловлена наличием статических учётных данных пользователя для учётной записи root, которые обычно зарезервированы для использования во время разработки. Успешная эксплуатация позволяет злоумышленнику войти в систему и выполнять произвольные команды от имени root-пользователя».
Компания заявляет, что критическая уязвимость затрагивает только Cisco Emergency Responder версии 12.5(1)SU4. Всем пользователям данной версии CER желательно как можно быстрее обновиться до 12.5(1)SU5 или более свежих версий при наличии.
Уязвимость, связанная с жёстко закодированными учётными данными, была обнаружена во время внутреннего тестирования безопасности. Команда реагирования на инциденты безопасности продуктов Cisco не обнаружила информации о публичных раскрытиях или злонамеренной эксплуатации данной уязвимости.
К сожалению, временных решений для смягчения этой уязвимости не существует, поэтому администраторам рекомендуется как можно скорее обновить уязвимые установки.
Примечательно, что на прошлой неделе Cisco призывала своих клиентов устранить уязвимость нулевого дня под идентификатором CVE-2023-20109 , нацеленную на фирменное программное обеспечение IOS и IOS XE.
А в начале сентября компания предупреждала пользователей о другой zero-day уязвимости с идентификатором CVE-2023-20269 в своих устройствах Cisco ASA и Cisco FTD. Брешь в защите активно эксплуатировали банды вымогателей для взлома корпоративных сетей.
Таким образом, для Cisco последний месяц складывается не очень удачно, ведь отовсюду то и дело лезут новые уязвимости. Тем не менее, компания быстро «латает дыры» и своевременно обеспечивает необходимую поддержку своим пользователям.
В дешёвых китайских ТВ-приставках с Aliexpress обнаружен опасный бэкдор 07.10.2023 [18:54]
В минувшем январе эксперт по кибербезопасности Дэниел Милишич (Daniel Milisic) обнаружил, что приставка T95 под управлением Android TV (продаётся, например, на Aliexpress) пришла заражённой вредоносным ПО прямо из коробки. Но это была лишь верхушка айсберга: компания Human Security выявила (PDF) целую теневую сеть, связанную с заражёнными устройствами и вредоносными приложениями.
Исследователи из Human Security обнаружили семь приставок под Android TV и один планшетный компьютер, которые продаются с предустановленными бэкдорами, и выявили признаки вредоносной активности ещё у 200 различных моделей Android-устройств. Эти устройства используются в домохозяйствах, образовательных учреждениях и на предприятиях. Эксперты сравнили проект со «швейцарским армейским ножом, совершающим нехорошие поступки в интернете». Схема включает в себя два направления: Badbox — сеть устройств в предустановленными бэкдорами; и Peachpit — сеть приложений, посредством которых реализуются мошеннические рекламные схемы.
Направление Badbox занято преимущественно дешёвыми Android-приставками по цене менее $50, которые продаются в интернете и обычных магазинах. Они поставляются без торговой марки или продаются под разными названиями, что помогает скрыть их происхождение. Эти устройства генерируют вредоносный трафик, обращаясь к домену Flyermobi.com. Подтверждены восемь таких устройств: ТВ-приставки T95, T95Z, T95MAX, X88, Q9, X12PLUS и MXQ Pro 5G, а также планшетный компьютер J5-W. Human Security обнаружила не менее 74 тыс. зараженных устройств, в том числе в образовательных учреждениях в США.
Все они производятся в Китае, и на одном из этапов на них устанавливается бэкдор, основанный на трояне Triada, который «Лаборатория Касперского» обнаружила ещё в 2016 году — он подменяет один из компонентов Android, предоставляя себе доступ к приложениям, установленным на устройстве. Бэкдор без ведома пользователя подключается к расположенному в Китае управляющему серверу (C2), загружает набор инструкций и развёртывает вредоносную активность. Human Security установила несколько видов такой активности: рекламные мошеннические схемы; резидентные прокси, то есть продажа доступа к сетевым ресурсам жертв — владельцев заражённых устройств; регистрация учётных записей Gmail и WhatsApp; удалённое выполнение кода.
Стоящие за схемой лица предлагали доступ к своим сетям, утверждая, что у них есть выход на более чем 10 млн домашних и 7 млн мобильных IP-адресов. По версии экспертов Trend Micro, у организаторов схемы более 20 млн заражённых устройств по всему миру, причём 2 млн из них активны в любой момент времени. В частности, был обнаружен планшетный компьютер в одном из европейских музеев; есть основания полагать, что затронуто множество Android-устройств, включая даже автомобили.
Второе направление носит условное название Peachpit, и связано оно с вредоносными приложениями, которые присутствуют не только на ТВ-приставках, но также добровольно устанавливаются пользователями на Android-телефоны и iPhone. В основном это шаблонные приложения не очень высокого качества, например, комплексы упражнений, как накачать мышцы пресса, или ПО для записи объёмов выпиваемой пользователями воды. В общей сложности выявлены 39 таких приложений для Android, iOS и ТВ-приставок. Параллельно с декларируемыми функциями эти приложения также реализуют мошеннические схемы с рекламой и фальсифицируют трафик. Примечательно, что в этих приложениях обнаружены общие черты с вредоносным ПО, поставляемом на устройствах направления Badbox.
Сеть генерировала до 4 млрд рекламных обращений в день — были задействованы 121 тыс. Android-устройств и 159 тыс. iPhone. По подсчётам исследователей, только Android-приложения были скачаны в общей сложности 15 млн раз. Рекламная индустрия имеет достаточно сложную структуру, поэтому полной картины у исследователей нет, но только по имеющимся у них данным операторы схемы могли легко зарабатывать $2 млн в месяц.
Представитель Google Эд Фернандес (Ed Fernandez) сообщил, что компания удалила из Google Play 20 приложений под Android, на которые указали исследователи Human Security. Он также рассказал, что устройства с предустановленными бэкдорами не проходили сертификации Play Protect, а значит, у Google отсутствуют данные о результатах тестов безопасности и совместимости, но на сайте Android есть список партнёров. Представитель Apple Аршель Телемак (Archelle Thelemaque) рассказала, что компания связалась с разработчиками пяти приложений из доклада Human Security — им дали 14 дней на исправление ошибок, и четыре приложения уже не представляют угрозы.
Результатов в пресечении схем Badbox и Peachpit компании Human Security удалось добиться в конце 2022 года и в первой половине текущего. После первых же действий стоящие за схемами злоумышленники разослали на заражённые устройства обновления, направленные на сокрытие активности. После этого были отключены серверы C2, обеспечивающие функционирование бэкдора в прошивке. Активность обеих схем кардинально снизилась, но люди продолжают пользоваться этими устройствами. Без технических навыков удалить это вредоносное ПО очень непросто, и сейчас ТВ-приставки с предустановленными бэкдорами превратились в своего рода спящих агентов. Потребителям рекомендуется приобретать продукцию, производитель которой известен, и которому они доверяют.
Данные: Более 46 миллионов потенциальных кибератак в день 25 Октября 2023 года
Согласно данным, опубликованным BT, в среднем каждый божий день по всему миру регистрируется более 46 миллионов сигналов о потенциальных кибератаках.
В настоящее время эксперты по кибербезопасности регистрируют более 530 сигналов о потенциальных атаках в секунду, защищая свои глобальные сети от армии злоумышленников, стремящихся воспользоваться уязвимостями, нацеленными на предприятия и критически важную национальную инфраструктуру.
С переходом предприятий любого размера на цифровые технологии наиболее уязвимыми отраслями за последние 12 месяцев стали информационные технологии, оборона, банковское дело и страхование – 19,7% обнаруженных вредоносных программ были направлены на эти цели с высокими ставками. Секторы розничной торговли, гостиничного бизнеса и образования также подвержены высокому риску, на их долю приходится 14,9% случаев обнаружения вредоносных программ за последние 12 месяцев. Преступники часто наживаются на сезонных распродажах и резких скачках онлайн-трафика, что делает праздничный период особой проблемой для ритейлеров.
Малые предприятия, стартапы и благотворительные организации также оказываются на линии огня; за последние 12 месяцев в британских благотворительных организациях было выявлено около 785 000 киберпреступлений. Это говорит о том, что киберпреступники нацеливаются на организации и сектора, которые являются менее ‘традиционными’ целями – и могут не иметь необходимых инструментов безопасности для их защиты. Использование больших данных и подключенных технологий сейчас настолько широко распространено, что мишенью может стать практически любой человек.
Данные BT показывают, что каждые 30 секунд киберпреступники сканируют любое устройство, подключенное к Интернету, в поисках слабых мест, используя автоматизацию и машинное обучение для выявления уязвимостей в защите бизнеса – цифровой эквивалент взлома, ищущего открытое окно. Все это означает, что среднестатистический бизнес будет проверять свою сеть киберпреступниками более 3000 раз в день, поэтому крайне важно иметь правильные инструменты для выявления и предотвращения атак, а также регулярно проверять их.
Эти цифры становятся особенно тревожными, когда более половины предприятий (61 процент) в Великобритании заявляют, что соблюдать меры кибербезопасности становится все труднее. Это усугубляется проблемой информирования всей организации об угрозах, поскольку каждая четвертая компания (26 процентов) заявляет, что это их самая большая болевая точка.
BT запускает новую серию подкастов, рассказывающих о реальных историях, стоящих за некоторыми из самых страшных кибератак в мире. Правдивые истории о киберпреступлениях от BT , рассказанные Эдрианом Лестером, звездой Необъявленной войны , доступны уже сейчас.
Трис Морган, управляющий директор по безопасности BT, прокомментировала: “Объем киберугроз в Великобритании растет тревожными темпами, поэтому действительно вызывает беспокойство тот факт, что так много предприятий и общественных служб оставляют себя открытыми для атак. Структура современного бизнеса изменилась, и теперь хакеры могут использовать больше подключенных технологий, нацеливаться на более ценные данные и получать больший приз, если им это удастся. Имея более миллиона бизнес-клиентов, BT является первой линией киберзащиты для организаций по всему миру, и мы гордимся нашим многолетним опытом защиты людей, предприятий и критически важной национальной инфраструктуры. Вот почему мы запускаем подкаст " Правдивые истории киберпреступности ”, чтобы пролить свет на шокирующее воздействие, которое может оказать эта криминальная эпидемия, повысить осведомленность о рисках и призвать всех задуматься о том, что они могли бы сделать для защиты нашего бизнеса и основных услуг ".
Последняя утечка данных Samsung раскрывает информацию о клиентах более года назад 17 ноября 2023 года
Samsung раскрыла новую утечку данных, в результате которой была раскрыта личная информация некоторых ее клиентов в Соединенном Королевстве (UK).
Компания заявляет, что нарушение затронуло только клиентов, совершивших покупки в интернет-магазине Samsung в Великобритании в период с 1 июля 2019 года по 30 июня 2020 года.
Хакеры используют ошибку в стороннем приложении Samsung
В письме, которым поделился пользователь платформы X (ранее Twitter), Samsung сообщила, что нарушение было обнаружено 13 ноября и стало результатом использования хакером уязвимости в стороннем приложении Samsung.
Открытые данные могут включать имена, номера телефонов, почтовые адреса и электронную почту. Однако Samsung уточнила, что “проблема не повлияла на ваш пароль или финансовую информацию”.
Samsung предприняла шаги для решения проблемы безопасности и сообщила об инциденте в офис комиссара Великобритании по информации. Это третья утечка данных Samsung за два года.
В конце июля 2022 года хакеры получили доступ к именам клиентов Samsung, контактам, демографической информации, датам рождения и регистрационным данным продукта и украли их.
В марте 2022 года группа по вымогательству данных Lapsus$ взломала сеть Samsung и похитила конфиденциальную информацию, включая исходный код для смартфонов Galaxy.
Полиция Украины арестовала руководство хакерской группировки, атаковавшей компании в 71 стране 28.11.2023 [16:01]
На Украине прошли аресты основных участников группировки хакеров-вымогателей, причастной к атакам на различные компании в 71 стране. В операции приняли участие правоохранительные органы семи стран в сотрудничестве с Европолом и Евроюстом.
Для совершения атак на крупные корпорации злоумышленники использовали такие программы-вымогатели, как LockerGoga, MegaCortex, HIVE и Dharma. Доступ к сетям намеченных жертв преступники получали с помощью кражи учётных данных пользователей с использованием брутфорса (подбор пароля) и SQL-инъекций, а также фишинговых электронных писем с вредоносными вложениями.
Оказавшись внутри компьютерной сети, злоумышленники использовали такие инструменты, как вредоносное ПО TrickBot, или системы пост-эксплуатации, такие как Cobalt Strike или PowerShell Empire, чтобы остаться незамеченными и получить доступ к другим системам, прежде чем запустить программу-вымогатель, блокирующую данную систему. В группировке у каждого участника была своя роль: некоторые из них взламывали ИТ-сети, а другие занимались отмыванием криптовалютных платежей, сделанных пострадавшими в качестве выкупа за восстановление доступа к заблокированным данным.
Как сообщается, 21 ноября в результате скоординированных рейдов по 30 объектам в Киеве, Черкассах, Ровно и Виннице был арестован 32-летний руководитель группировки, а также задержаны четыре сообщника. Эта акция последовала за первым раундом арестов в 2021 году в рамках того же расследования, когда было задержано 12 человек.
В расследовании Национальной полиции Украины помогали более 20 следователей из Норвегии, Франции, Германии и США. Также Европолом был создан виртуальный командный центр в Нидерландах для обработки данных, изъятых во время обысков домов. Эта международная полицейская акция была инициирована французскими властями в сентябре 2019 года. В созданной совместной следственной группе приняли участие Норвегия, Франция, Великобритания и Украина при финансовой поддержке Евроюста и помощи Европола, а также властей Нидерландов, Германии, Швейцарии и США.
Во всех iPhone, iPad и Mac нашли опасные уязвимости, используемые хакерами — Apple выпустила заплатку 01.12.2023 [11:53],
Apple выпустила экстренный патч для исправления двух активно эксплуатируемых злоумышленниками уязвимостей в WebKit — движке веб-браузера Safari. Эти уязвимости служили путём для атак на все смартфоны iPhone, планшеты iPad и компьютеры на macOS.
Компания Apple столкнулась с двумя уязвимостями в WebKit — открытом браузерном движке, который лежит в основе интернет-обозревателя Safari. Это ключевой компонент, отвечающий за отображение веб-страниц и выполнение JavaScript-кода на устройствах с операционными системами Apple, таких как iPhone, iPad и Mac.
Первая уязвимость, получившая идентификатор CVE-2023-42916, позволяла хакерам получить доступ к защищённым участкам памяти устройства. Это могло привести к несанкционированному извлечению конфиденциальной информации. Вторая уязвимость CVE-2023-42917 была связана с ошибкой, в результате которой могло происходить искажение данных в памяти. Такое искажение данных могло быть использовано для выполнения вредоносного кода, что представляет собой серьёзную угрозу для безопасности устройств.
О недоработках WebKit стало известно благодаря исследователю в сфере кибербезопасности Клеману Лесину (Clément Lecigne) из Google Threat Analysis Group. Кроме того, Лесин недавно обнаружил аналогичную уязвимость в браузере Chrome, что также потребовало выпуска немедленного патча для её устранения.
Предполагается, что хакеры эксплуатировали уязвимости «яблочных» устройств, отправляя жертвам заражённые веб-страницы. Это могло происходить через фишинговые сообщения или поддельные сайты, что подчёркивает необходимость осторожности при работе с непроверенными источниками.
В ответ на угрозу Apple выпустила обновления безопасности для iOS 17.1.2, iPadOS 17.1.2 и macOS Sonoma 14.1.2, а также для браузера Safari.
Хакеры завладели личными данными сотрудников Insomniac Games и скриншотами Marvel’s Wolverine — злоумышленники готовы продать их за 50 биткоинов 12.12.2023 [12:00]
Австралийский портал Cyber Daily сообщил, что разработчики Marvel’s Spider-Man 2 и грядущей Marvel’s Wolverine из принадлежащей Sony Interactive Entertainment американской студии Insomniac Games стали жертвами хакерской атаки.
О взломе Insomniac Games сообщили злоумышленники из группировки Rhysida. В качестве доказательства успешной операции оператор программ-вымогателей приложил изображение с некоторыми из добытых данных.
В числе украденных Rhysida материалов — личные данные и документы сотрудников Insomniac Games, включая одного бывшего, и актёра озвучения Юрия Ловенталя (Yuri Lowenthal), известного по роли Питера Паркера в дилогии Marvel’s Spider-Man.
Кроме того, злоумышленники завладели материалами по экшену Marvel’s Wolverine про Росомаху. На опубликованном Rhysida изображении (см. ниже) можно заметить несколько скриншотов и концепт-артов из будущей игры.
Как передаёт Cyber Daily, Rhysida дала Insomniac семь дней перед тем, как опубликует украденные данные целиком, а пока устроила аукцион для потенциальных покупателей. Стартовая цена — 50 биткоинов, что чуть меньше $2,1 млн.
«Не упустите возможность сделать ставку на эксклюзивные, уникальные и впечатляющие данные. Откройте свои кошельки и будьте готовы купить эксклюзивные данные», — агитирует Rhysida.
Rhysida начала свою деятельность в мае текущего года и, как докладывает Gizmodo, совершила кибератаки более чем на 60 компаний, включая национальную Британскую библиотеку и лондонскую больницу короля Эдуарда VII.