В минувшие выходные несколько тысяч вычислительных систем по всему миру были взломаны и заблокированы с помощью трояна-вымогателя ESXiArgs, широкое распространение которого стало возможным благодаря уязвимости в серверном программном обеспечении VMware двухлетней давности, сообщил ресурс Bloomberg.

Источник изображения: Pixabay

Согласно данным поисковой системы Censys, на которые ссылается ресурс Bleeping Computer, в результате взлома было скомпрометировано более 3200 серверов VMware по всему миру. Больше всего пострадали от вируса-вымогателя компьютерные системы во Франции, за которой следуют США, Германия, Канада и Великобритания.

Представитель VMware Дорин Руяк (Doreen Ruyak) сообщила ресурсу TechCrunch, что вариант программы-вымогателя, получивший название ESXiArgs, «по-видимому, использует уязвимость, идентифицированную как CVE-2021-21974». Она отметила, что исправления для этой уязвимости «были доступны клиентам два года назад в рекомендациях по безопасности VMware от 23 февраля 2021 года».

«Гигиена безопасности является ключевым компонентом предотвращения атак программ-вымогателей, и организации, которые используют версии ESXi, затронутые CVE-2021-21974, и еще не применили исправление, должны принять меры, как указано в бюллетене», — добавила Дорин Руяк.

Заражённые машины представляют собой небольшую часть из более чем 66 000 подключённых к интернету серверов, которые могут стать потенциальными целями, отметил Патрис Оффре (Patrice Auffret), основатель и гендиректор французской фирмы по кибербезопасности Onyphe SAS.

По словам экспертов по безопасности, остаётся неясным, есть ли связь этой кампании с атакой программы-вымогателя на сети британской фирмы ION Trading UK, застопорившей на прошлой неделе торговлю деривативами по всему миру и совершённой печально известной хакерской группировкой LockBit.

Следственный департамент МВД РФ завершил расследование уголовного дела группировки хакеров REvil, участников которой задержали в январе прошлого года после обращения американских спецслужб. Об этом сообщил «Коммерсантъ» со ссылкой на информированные источники. В итоге подозреваемым можно вменить в вину лишь два дистанционных хищения средств, причём совершённых в США неизвестно у кого и на какую сумму.

Источник изображения: Pixabay

Адвокат одного из фигурантов дела Виктор Смилянец сообщил «Коммерсанту», что ни один из задержанных не признал ни причастность к группировке, ни свою вину. Обвинение в использовании вредоносных программ адвокат считает необоснованным, поскольку уголовную ответственность влечёт за собой использование приложений-вымогателей в корыстных целях, а не за их наличие на жёстком диске.

По словам адвоката, предъявленное его клиенту обвинение в незаконном обороте платёжных средств основано на «наборе из 24 16-значных чисел», найденном на сервере в Санкт-Петербурге. Как утверждает следствие, числа отражают номера банковских карт граждан США, дистанционно скопированные обвиняемыми. Вместе с тем не удалось установить ни имён владельцев карт, ни названия выпустивших их отделений иностранных банков. То есть, в деле отсутствуют потерпевшие. Более того, нет даже сведений о размере ущерба, нанесённого кому-то хакерской группой.

По версии следствия, жертвами хакеров были две гражданки США мексиканского происхождения — Отилия Певез (Otilia Pevez) и Отилия Сисньега Певез (Otilia Sisniega Pevez), с карточек которых хакеры якобы дистанционно сняли некую сумму, впоследствии потраченную на приобретение товаров в интернет-магазинах. Найти этих гражданок следствию не удалось.

Обещание предоставить доказательства возможной причастности хакеров к финансовым аферам в США Госдепартамент этой страны не выполнил, а в России обвиняемые, по данным следствия, никаких преступлений не совершали. Поэтому в итоге задержанным можно лишь предъявить обвинения в незаконном пользовании банковских карт и хранении вредоносной программы. Также не удалось выяснить и происхождение изъятой у обвиняемых наличности — 426 млн руб., $600 тыс. и €500 тыс.

По мнению источника, обвиняемые скорее являются клиентами хакерской группировки REvil, чем её участниками. На самом деле REvil не занимается кражей средств с счетов пользователей. Её бизнес заключается в разработке и продаже необходимого для совершения хакерских взломов ПО. С помощью платформы REvil можно дистанционно заразить вирусом компьютерные сети какой-либо компании, чтобы получить выкуп за их разблокировку.

Именно клиенты REvil совершили успешные кибератаки на Quanta Computer, JBS, фирму Colonial Pipeline и IT-компанию Kaseya.

В прошлом году хакерам удалось похитить у криптовалютных компаний цифровые активы на рекордную сумму — $3,8 млрд, причём большую часть украли хакеры, связанные с Северной Кореей. Об этом сообщается в отчёте аналитической компании по блокчейну Chainalysis. Для сравнения, в 2021 году хакеры похитили криптовалюту на $3,3 млрд.

Источник изображения: Kanchanara/unsplash.com

Согласно данным Chainalysis, хакеры, связанные с Северной Кореей, украли за год в результате взломов компьютерных систем криптовалюту на сумму около $1,7 млрд, что гораздо больше по сравнению с $429 млн в предыдущем году. ФБР обвиняет их во мартовском взломе блокчейн-платформы Ronin, на которой работает популярная NFT-игра Axie Infinity от Sky Mavis, когда было похищено цифровых активов на сумму около $625 млн и краже у криптовалютной компании Harmony финансов на сумму $100 млн в июне прошлого года.

«Объём экспорта Северной Кореей товаров в 2020 году составил $142 млн, поэтому не будет преувеличением сказать, что взлом криптовалютных платформ составляет значительную часть экономики страны», — отмечено в отчёте Chainalysis.

Основной целью хакеров были протоколы DeFi, в результате взлома которых было похищено $3,1 млрд или 82,1 % всей украденной криптовалюты в 2022 году. В 2021 году на взломы протоколов DeFi пришлось 73,3 % похищенной критповалюты.

В прошлом году 64 % атак на системы DeFi были нацелены на блокчейн-мосты (или кроссчейн-мосты), которые позволяют пользователям обмениваться активами между разными блокчейн-экосистемами. Сервисы на основе блокчейн-мостов обычно хранят большие суммы различных цифровых монет, что делает их главной мишенью для хакеров. В частности, кражи у Infinity и Harmony были осуществлены в результате взлома блокчейн-моста.

Киберпреступники, используя методы социальной инженерии и нейро-лингвистического программирования, получили доступ к инфраструктуре разработки Riot Games. Украденные гигабайты исходного кода сейчас выставлены на аукцион, так как компания не поддалась на шантаж и не пошла на переговоры с похитителями.

Источник изображения: Riot Games

Как мы сообщали ранее, в Riot Games подтвердили факт кибератаки, в результате которой хакеры получили доступ к исходникам, после чего прислали требование выкупа в $10 млн, угрожая выложить украденный программный код в общий доступ. Хотя атака, «возможно, вызовет проблемы в будущем», платить Riot отказалась, так как в компании уверены, что данные игроков и других пользователей скомпрометированы не были.

По данным аналитиков по информационной безопасности из компании VX-Underground, организаторы атаки взломали инфраструктуру Riot Games с помощью социальной инженерии — оказалось достаточно отправить SMS-сообщение одному из работников компании.

Злоумышленники утверждают, что провели 36 часов на серверах Riot Games до обнаружения взлома сотрудниками подразделения по защите информации. Однако добраться до главной цели атаки — исходников античит-технологии Riot Vanguard — преступникам не удалось.

В настоящий момент украденный исходный код League of Legends, Teamfight Tactics и устаревшей античит-платформы Packman выставлен на аукцион на популярном хакерском форуме. Начальная цена на League of Legends — $1 млн. Packman также можно купить отдельно — «всего» за $500 тыс. Там же можно скачать 1000-страничный PDF-файл, содержащий каталог исходных кодов общим объёмом 72,4 Гбайт. На основании этого документа журналисты издания Bleeping Computer пришли к выводу о правдивости хакерской информации.

Независимо подтвердить, что украдены исходники именно League of Legends, пока не удалось. В Riot отметили, что сейчас пытаются оценить перспективы утечки и сделать всё, чтобы максимально быстро вносить изменения в игровой код, если такая необходимость возникнет.

«Непонятно, смогут ли злоумышленники продать исходники по такой заоблачной цене, — отмечает Никита Павлов, эксперт по информационной безопасности компании SEQ. — Исходный код может быть использован для поиска уязвимостей, в теории угрожающих конечным устройствам запуском произвольного кода. Кроме того, исходники могут использоваться для создания новых читов — опять же, с помощью выявленных уязвимостей. Но эти "баги" можно найти с помощью обратной разработки, не тратя громадных денег. Так что захочет ли кто-то эти исходники покупать за миллион и больше — вопрос неоднозначный».

Хакер из Нидерландов, который был арестован правоохранительными органами в ноябре прошлого года, похитил и выставил на продажу данные почти всех жителей Австрии. Украденные данные включают в себя полные имена, адреса и даты рождения миллионов австрийцев. Об этом сообщило информационное агентство Reuters со ссылкой на данные австрийских правоохранителей.

Источник изображения: Pixabay

Злоумышленник попытался продать украденные данные на одном из онлайн-форумов в мае 2020 года, представив базу как «полное имя, пол, адрес и даты рождения предположительно каждого гражданина» Австрии. В ходе расследования достоверность имеющейся в руках хакера базы, в которой содержалась информация о примерно 9,1 млн австрийцев, была подтверждена. Этот же злоумышленник пытался реализовать похожие базы с данными граждан Италии, Нидерландов и Колумбии.

«Поскольку эти данные были в свободном доступе в интернете, можно с большой долей вероятности предположить, что эта регистрационная информация полностью или частично безвозвратно попала в руки преступников», — говорится в заявлении австрийской полиции. Также отмечается, что до ареста хакера база данных была продана неустановленным лицам.

Что касается самого хакера, то им оказался 25-летний житель Амстердама, который был известен международной полиции и уже находился под следствием в Нидерландах. В полиции не уточнили, какие последствия этот инцидент может нести для жителей Австрии, чьи данные были скомпрометированы.

Британская Королевская почта, подвергшаяся на прошлой неделе кибер-атаке, из-за чего была временно прекращена отправка посылок и писем за пределы страны, утверждает, что личные данные её клиентов при взломе не были скомпрометированы.

Источник изображения: Pixabay

Гендиректор Royal Mail Саймон Томпсон (Simon Thompson) заявил во вторник на заседании Палаты общин британского парламента, что, согласно проведённому расследованию, утечки данных не произошло, хотя Управление Комиссара по информации Великобритании, которое регулирует вопросы конфиденциальности данных, было проинформировано о происшедшем инциденте.

«Если эта ситуация изменится, то мы, конечно, немедленно сообщим об этом клиентам и властям», — сказал Томпсон членам парламента. Он добавил, что компанию предупредили о том, что обсуждение даже незначительных или дополнительных деталей, касающихся инцидента, может нанести вред расследованию.

По словам Томпсона в ближайшее время следует ждать новостей по этому поводу, что предполагает появление возможности возобновления международных почтовых отправлений.

Как утверждает Bloomberg со ссылкой на информированные источники, за кибератакой на Королевскую почту стоит хакерская группировка LockBit, которая, используя вирус-вымогатель, блокирует работу компьютерных сетей, и требует за их разблокировку выкуп.

Устройства с поддержкой беспроводного протокола Wi-Fi обмениваются друг с другом данными даже в случаях, если они не подключены к одной сети. Специалисты в области кибербезопасности выяснили, что это свойство может использоваться злоумышленниками для того, чтобы дистанционно разряжать аккумуляторы гаджетов, например, камер наблюдения, или в качестве одного из элементов комплексной атаки с обращением к другим уязвимостям, пишет New Scientist.

Источник изображения: geralt/pixabay.com

По словам эксперта из Стэнфордского университета в Калифорнии Али Абеди (Ali Abedi), он и его коллеги обнаружили феномен, который назвали «вежливым Wi-Fi» — устройства обмениваются данными с другими беспроводными гаджетами, не имеет значения, принадлежат ли они к одной информационной сети. Для этого не требуется знания паролей или специальных разрешений, сами ответы и запросы могут вообще не содержать никакой важной информации. Тем не менее, Абеди и его команда нашли способ «злоупотребления» такой связью.

Ранее они провели исследование, показавшее, что постоянная отправка фейковых пакетов данных и направление, с которого поступают отклики на них, позволяют отслеживать перемещения гаджета — можно следить за тем, как устройства движутся в здании. Например, речь может идти о смартфонах или смарт-часах. Это позволяет отслеживать перемещения людей.

Теперь исследователи выяснили, что постоянный пинг устройств с Wi-Fi, работающих от аккумуляторов, не позволяет гаджетам уходить в спящий режим, из-за чего быстрее истощается заряд аккумуляторов. Примечательно, что такую атаку можно устроить с помощью электроники стоимостью в $10 — она и рассылает пакеты «мусорных» данных.

Источник изображения: anncapictures/pixabay.com

Команда протестировала 5 тыс. различных устройств от 186 производителей и выяснила, что все они уязвимы для атак такого типа. Когда устройство получает пакет фейковых данных, оно всегда отвечает с помощью ACK-сигнала, схема работает на дистанции до 200 м. По словам Абеди, если бы устройствам пришлось каждый раз идентифицировать друг друга при получении сигнала перед тем, как ответить, это привело бы к фактической остановке их работы. Уязвимость будет очень трудно устранить.

По мнению специалистов, на первый взгляд, разрядка аккумуляторов кажется маловероятной таким способом, но это может в теории обеспечить возможность опасной атаки в комбинации с использованием других уязвимостей. Например, взломщики могут обесточить таким способом аккумуляторную камеру видеонаблюдения, причём со временем подобные атаки будут становиться всё искуснее, а число случаев использования будет увеличиваться.

Как сообщают специалисты по кибербезопасности из компании ESET, когда протоколы создаются, невозможно предсказать, как именно ими будут злоупотреблять. Фактически при «творческом» подходе число таких способов может оказаться просто бесконечным.