Опрос
|
реклама
Быстрый переход
Уязвимости в 34 драйверах Windows позволяют получить полный контроль над системой
04.11.2023 [13:38],
Владимир Фетисов
Такахиро Хаурияма (Takahiro Hauryama), исследователь в сфере информационной безопасности из VMware Carbon Black, обнаружил и задокументировал 34 уязвимости в драйверах Windows Driver Model (WDM) и Windows Driver Frameworks (WDF) для устаревших устройств. Некоторые из уязвимых драйверов затрагивают продукты AMD, Intel, NVIDIA, Dell и Phoenix Technologies. Согласно имеющимся данным, исследователь обнаружил уязвимости, использование которых может дать злоумышленникам возможность взять под полный контроль атакуемую систему. Он создал PoC-эксплойты для некоторых уязвимостей, чтобы продемонстрировать, как они могут использоваться для модификации BIOS или повышения уровня прав в системе. Отмечается, что у некоторых уязвимых драйверов истёк срок действия подписей, но в списке присутствуют драйверы и с действующими подписями. Более детальную информацию касательно проделанной исследователем работы и скрипт IDAPython, используемый для автоматизации поиска уязвимых драйверов, можно найти в блоге разработчиков VMware. Также известно, что исследователь уведомил об обнаруженных уязвимостях вендоров, чьи продукты затрагивает данная проблема. Хотя с тех пор прошло несколько месяцев, только AMD и Phoenix Technologies выпустили патчи для выявленных уязвимостей в двух драйверах с действующими подписями. В России количество хакерских атак через скомпрометированные данные сотрудников выросло на 10 %
01.11.2023 [07:58],
Владимир Фетисов
За первые девять месяцев этого года количество хакерских атак на компании через скомпрометированные данные сотрудников увеличилось на 10 % по сравнению с аналогичным периодом годом ранее. По мнению экспертов, такая динамика обусловлена ростом утечек информации за год и тем, что сотрудники часто используют одни учётные данные на рабочих и личных ресурсах. Допускается также, что импортозамещение зарубежных решений привело к увеличению уязвимостей в корпоративном секторе. В октябре IT-инфраструктура российских компаний в очередной раз подверглась большому количеству хакерских атак, часть из которых закончились взломом ресурсов организаций. К примеру, 30 октября сайт Национальной системы платёжных карт был недоступен из-за атаки группировки DumpForums. В тот же день инфраструктура провайдера «Транстелеком» была поражена вирусом-шифровальщиком. Кроме того, злоумышленники атаковали крымских провайдеров, из-за чего в регионе нестабильно работали цифровые сервисы. Аналитики по кибербезопасности «Информзащиты» подсчитали, что за девять месяцев 2023 года количество кибератак, основанных на скомпрометированных учётных данных сотрудников, составило 80 % от общего количества атак, а суммарный рост числа киберинцидентов составил 10 % по сравнению с показателем за тот же временной отрезок годом ранее. Эксперты считают, что данная тенденция обусловлена кратным увеличением количества утечек данных в течение года. В «Информзащите» также отметили, что количество успешных атак, реализуемых таким способом, за девять месяцев сократилось на 15-20 % по сравнению с прошлым годом. «Компании пересматривают политику безопасности учётных записей не только привилегированных, но и рядовых сотрудников. Особенно это касается крупных организаций из финсектора и ретейла», — считают аналитики, отмечая, что в зоне риска продолжают оставаться госкомпании, малые и средние предприятия, представители промышленного сектора с распределённой сетью филиалов. По данным АНО «Институт развития предпринимательства и экономики», на средний и малый бизнес в настоящее время приходится около 20 % кибератак. Представитель разработчика промышленного софта «Цифра» отметил, что текущая ситуация оказывает влияние на увеличение инвестиций компаний в кибербезопасность. «Рост атак на корпоративные учётные записи действительно имеет место, в текущем году доля таких атак выросла в десять раз с начала конфликта на Украине», — считает основатель сервиса разведки утечек данных DLBI Ашот Оганесян. Он добавил, что корпоративные учётные данные не часто выставляются на продажу на теневых форумах, в большинстве случаев для взлома хакеры используют данные пользователей, полученные из других утечек, не связанных с корпоративной сетью. Это становится возможным из-за того, что пользователи часто используют одни учётные данные для рабочих и личных учётных записей. Эксперты также не исключают, что риск взлома корпоративно инфраструктуры в России в нынешнем году возрос в том числе из-за импортозамещения: быстрая перестройка инфраструктуры и переход на отечественный софт открыли новые точки входа для злоумышленников. Google предупредила, что уязвимость в WinRAR версий до 6.23 активно эксплуатируется хакерами
19.10.2023 [16:07],
Павел Котов
Эксперты по кибербезопасности в Google, по их словам, располагают доказательствами, что связанные с российскими и китайскими властями хакеры эксплуатируют ранее выявленную и уже исправленную разработчиком уязвимость популярного архиватора WinRAR. Уязвимость за номером CVE-2023-38831 обнаружила в этом году специализирующаяся на кибербезопасности компания Group-IB — она позволяет внедрять в архивы вредоносные скрипты, маскируя их под кажущиеся безобидными файлы изображений и текстовые документы. Ошибка была классифицирована как уязвимость нулевого дня (то есть ещё не закрытая разработчиком) ещё в апреле — её эксплуатировала группа злоумышленников, которая скомпрометировала компьютеры как минимум 130 трейдеров. Ответственная за архиватор компания Rarlab выпустила обновление WinRAR 6.23, закрывающее уязвимость, ещё 2 августа. Но, по версии подразделения Google Threat Analysis Group (TAG), связанные с властями России и Китая хакеры продолжают её эксплуатировать, поскольку многие пользователи до сих пор не обновили программу, а значит, их ПК остаются уязвимыми. Кибератаки с использованием этой уязвимости приписывают: группировке Sandworm, ответственной, по одной из версий, за инцидент с вирусом-вымогателем NotPetya в 2017 году; группировке APT28, она же Fancy Bear, которую ранее обвиняли в кибератаке на ресурсы одной из американских политических партий в 2016 году; а также предположительно связанной с Пекином группировке APT40 — она осуществляет кибератаку на пользователей в Папуа — Новой Гвинее. Все эти группировки развернули фишинговые кампании, в которых расчёт делается на то, что жертва самостоятельно откроет заражённый архив. Эти инциденты, говорят эксперты TAG, указывают на эффективность кибератак, даже если они нацелены на уже известные и исправленные разработчиками ПО уязвимости — злоумышленники строят расчёт на том, что потенциальные жертвы не спешат обновлять программы. Схемы взлома WhatsApp выросли в цене до миллионов долларов
08.10.2023 [15:28],
Владимир Фетисов
Непрерывное улучшение механизмов безопасности, а также устранение различных уязвимостей и применение других мер делают взлом мобильных устройств на базе iOS и Android, а также крупных приложений для них дорогостоящим занятием. Поэтому методы взлома популярных приложений, таких как WhatsApp, в настоящее время стоят миллионы долларов. В конце прошлого месяца компания Operation Zero, позиционирующая себя как российская платформа, скупающая у исследователей в сфере информационной безопасности новые схемы взлома, объявила о готовности платить от $200 тыс. до $20 млн за схемы компрометации устройств с iOS и Android. Речь идёт об эксплойтах высшего уровня, эксплуатация которых возможна благодаря тому, что разработчики ещё не устранили связанные с ними уязвимости в своих продуктах. Источник также отмечает рост стоимости взлома отдельных мобильных приложений. В сообщении сказано, что по состоянию на 2021 год цена свежей схемы взлома Android-версии мессенджера WhatsApp, позволяющей получить доступ к чатам жертвы, колебалась в диапазоне от $1,7 млн до $8 млн. WhatsApp стал популярной мишенью для так называемых правительственных хакеров, которые чаще всего используют для взлома уязвимости нулевого дня. В 2019 году исследователи обнаружили нескольких клиентов NSO Group, которые использовали программное обеспечение израильской компании для взлома WhatsApp на устройствах жертв. Вскоре после этого WhatsApp подала в суд на NSO Group, обвинив компанию в создании и распространении инструментов, использовавшихся для слежки за сотнями пользователей мессенджера. По данным источника, в 2021 году компания продавала уязвимость для удалённого выполнения кода, о которой не было известно разработчикам, примерно за $1,7 млн. В случае WhatsApp такая уязвимость позволяет создать эксплойт, использование которого не требует от хакеров взаимодействия с жертвой. Эксплойт NSO Group работал в мобильных клиентах WhatsApp для Android с 9 по 11 версию и использовал уязвимость в библиотеке рендеринга изображений. В период с 2020 по 2021 годы разработчики из WhatsApp исправили три уязвимости, касающиеся обработки изображений мессенджером. Однако неизвестно, была ли исправлена уязвимость, которую использовал эксплойт NSO Group. Официальные представители компании отказались комментировать данный вопрос. Хакерский мультитул Flipper Zero вышел в спецверсии с прозрачным корпусом
06.10.2023 [00:39],
Владимир Фетисов
Хакерское устройство Flipper Zero, которое позиционируется разработчиками как программируемый инструмент для тестирования различных интерфейсов и цифровых устройств, теперь доступно в версии с корпусом из прозрачного пластика. Желающим его приобрести следует поторопиться, поскольку будет выпущено всего 7500 единиц этой версии продукта. «Первоначальный дизайн Flipper Zero был вдохновлён устройствами в форме плавника, эстетикой киберпанка, тамагочи и ретро-гаджетами 2000-х годов, а символ устройства — кибердельфином из романа Уильяма Гибсона "Джонни Мнемоник". Новая прозрачная версия демонстрирует внутренние компоненты и сложный дизайн, а также символизирует приверженность команды открытому исходному коду», — говорится в сообщении разработчиков. Единственным отличием новинки от стандартной версии Flipper Zero является наличие прозрачного корпуса. В остальном это всё тот же хакерский мультитул, в конструкции которого имеется встроенный радиомодуль на 433/868 МГц для взаимодействия с устройствами интернета вещей, ИК-порт для бытовой техники, анализатор радиосигналов для работы с неизвестными протоколами, интерфейс USB Type-C для эмуляции периферийных устройств, модули Bluetooth и RFID, а также иные интерфейсы. Приобрести новую версию Flipper Zero можно за $169,99, стандартная версия устройства стоит столько же. Китайские хакеры тайно захватили роутеры Cisco в важнейших секторах США — ФБР и АНБ забили тревогу
30.09.2023 [14:48],
Дмитрий Федоров
Хакерская группировка BlackTech, предположительно связанная с властями Китая, осуществляет масштабные атаки на роутеры Cisco, используемые в правительственных учреждениях, СМИ, военной промышленности и других ключевых секторах США. Американские и японские агентства безопасности и правоохранительные органы бьют тревогу, так как хакеры внедряют в оборудование Cisco уязвимости, оставаясь незамеченными для системных администраторов. Агентство национальной безопасности (АНБ), Федеральное бюро расследований (ФБР) и Агентство по кибербезопасности и защите инфраструктуры США (CISA), полиция США и Японский Национальный центр готовности к инцидентам и стратегии кибербезопасности (NISC) подготовили отчёт о деятельности этой хакерской группы, подчёркивая серьёзность и масштаб возникшей угрозы. В отчёте приводится список вредоносных программ, таких как BendyBear, Bifrose, SpiderPig и WaterBear, которые используются для атак на операционные системы Windows, Linux и даже FreeBSD. BlackTech, также известная как Palmerworm, Temp.Overboard, Circuit Panda и Radio Panda, ведёт свою преступную деятельность с 2010 года. Эта китайская APT-группировка (Advanced Persistent Threat — англ. постоянная серьезная угроза) создаёт и использует специализированное вредоносное ПО для проникновения в сети через оборудование компании Cisco и других крупных брендов, таких как Fortinet, SonicWall и TP-Link. Хакеры BlackTech предпочитают атаковать филиалы компаний в небольших городах, где системы защиты могут быть менее надёжными. После получения доступа к локальной сети филиалов, они подключаются к сети головных организаций. Целью группировки являются правительственный сектор, компании с госучастием, а также предприятия из сфер промышленности, информационных технологий, телекоммуникаций и электроники. Специфика методов, которыми BlackTech получает первоначальный доступ к устройствам своих жертв, остаётся неизвестной. Это могут быть как кража учётных данных сотрудников, так и неизвестные и чрезвычайно изощрённые уязвимости нулевого дня. После проникновения киберпреступники используют интерфейс командной строки Cisco IOS (CLI) для замены легитимной прошивки маршрутизатора на скомпрометированную версию. Всё начинается с того, что прошивка модифицируется в памяти с использованием метода «горячего патчинга». Этот этап критически важен для установки модифицированного загрузчика и изменённой прошивки. После завершения установки, модифицированная прошивка может обходить защитные механизмы маршрутизатора, активировать бэкдоры, не оставляя при этом следов в системных журналах и игнорируя ограничения, установленные списками контроля доступа (ACL). Киберпреступники применяют различные методы сокрытия своего присутствия в сетях жертвы, включая отключение ведения логов на скомпрометированных устройствах и используют украденные сертификаты подписи кода для подписи ROM-файлов. Хакеры используют специализированные UDP- и TCP-пакеты для включения и отключения SSH-бэкдоров на роутерах Cisco в произвольные моменты времени, скрывая таким образом свою активность от системных администраторов. Cisco усугубляет проблему, отказываясь от поддержки своего устаревшего оборудования и устранения известных уязвимостей в своих роутерах. Например, компания регулярно отказывается устранять опасные уязвимости, такие как CVE-2022-20923 и CVE-2023-20025, в своих устаревших роутерах, чей срок поддержки давно истёк. Так, весной 2023 года Cisco отказалась выпускать патч для роутеров, предназначенных для домашнего использования и малого бизнеса, в которых была найдена опасная уязвимость. Это создаёт дополнительные риски для пользователей и открывает возможности для киберпреступников. Для выявления и блокирования вредоносных действий BlackTech компаниям и организациям настоятельно рекомендуется придерживаться оптимальных стратегий смягчения рисков. ИТ-специалистам следует блокировать исходящие соединения, используя конфигурационную команду «transport output none» к виртуальным телетайповым (VTY) линиям, а также контролировать все соединения, ограничивать доступ и вести детализированный учёт событий в системных журналах. Sony прокомментировала заявления о взломе «всех систем» компании в результате хакерской атаки
26.09.2023 [20:01],
Дмитрий Рудь
Представитель Sony по запросу портала IGN прокомментировал сделанные накануне заявления хакерской группировки Ransomed.vc об успешном взломе защитных систем японской компании. Напомним, Ransomed.vc утверждает, что взломала «все системы Sony» и не будет требовать за данные выкуп, потому что платформодержатель «не хочет платить». Вместо этого группировка выставила украденное на продажу. В качестве доказательства своих слов Ransomed.vc показала несколько скриншотов (в том числе дерева файлов утечки, насчитывающего менее 6 тыс. наименований), которые журналисты Cyber Security Connect сочли «не особо убедительными». В заявлении IGN представитель Sony заверил, что компания уже запустила внутреннее расследование ситуации, но какими бы то ни было подробностями на данный момент поделиться не может. Предполагается, что, если покупатель не найдётся, Ransomed.vc выложит данные в открытый доступ 28 сентября. Большинство участников группировки якобы базируются в России и Украине. Группировка хакеров из России и Украины заявила о взломе «всех систем» Sony и намерена продать украденные данные
25.09.2023 [20:34],
Дмитрий Рудь
Австралийский портал Cyber Security Connect сообщает, что хакерская группировка Ransomed.vc заявила об успешном взломе защитных систем Sony Group и теперь угрожает продать украденные данные. Как отмечают в Cyber Security Connect, Ransomed.vc начала свою деятельность меньше месяца назад, но на её счету уже числится «впечатляющее количество жертв», среди которых якобы теперь находится и Sony. «Мы успешно взломали все системы Sony. Мы не будем требовать за них выкуп, потому что Sony не хочет платить. Данные на продажу», — объявила Ransomed.vc на своих площадках в даркнете и интернете. В качестве доказательства своих слов группировка опубликовала несколько скриншотов: страница авторизации, внутренняя презентация PowerPoint, несколько файлов Java и дерево файлов утечки, насчитывающее менее 6 тыс. наименований. Cyber Security Connect обратил внимание, что многие файлы в примерах состоят преимущественно из японских символов. Тем не менее журналисты называют доказательства Ransomed.vc «на первый взгляд не особо убедительными». Цену украденных данных Ransomed.vc не назвала, но приложила свои контакты (в том числе в Telegram). «Датой публикации» значится 28 сентября — вероятно, в этот день группировка выложит утечку в открытый доступ, если покупатель не найдётся. Ransomed.vc позиционируется как оператор программы-вымогателя и поставщик таких программ. Сообщается, что большинство участников группировки базируются в России и Украине. Sony ситуацию пока не комментировала. Китайские хакеры придумали невиданный прежде способ скрытой атаки на Linux-системы
19.09.2023 [17:09],
Павел Котов
Эксперты японской компании Trend Micro, которая специализируется на вопросах кибербезопасности, обнаружили вредоносную программу SprySOCKS, которая используется для атаки на машины под управлением систем семейства Linux. Новый вредонос происходит от Windows-бэкдора Trochilus, обнаруженного в 2015 году исследователями из компании Arbor Networks — он запускается и выполняется только в памяти, а его полезная нагрузка не сохраняется на дисках, что существенно затрудняет обнаружение. В июне этого года исследователи Trend Micro обнаружили на сервере файл с именем «libmonitor.so.2», использовавшийся группой, чью деятельность они отслеживали с 2021 года. В базе VirusTotal они обнаружили связанный с ним исполняемый файл «mkmon», который помог расшифровать «libmonitor.so.2» и раскрыть его полезную нагрузку. Выяснилось, что это комплексная вредоносная программа под Linux, функциональность которой частично совпадает с возможностями Trochilus и обладает оригинальной реализацией протокола Socket Secure (SOCKS), поэтому вредоносу было присвоено название SprySOCKS. Он позволяет собирать информацию о системе, запускать командный интерфейс удалённого управления (shell), формировать список сетевых подключений, разворачивать прокси-сервер на основе протокола SOCKS для обмена данными между скомпрометированной системой и командным сервером злоумышленника, а также производить другие операции. Указание версий вредоноса позволяет предположить, что он до сих пор находится в разработке. Исследователи предполагают, что SprySOCKS используют хакеры группировки Earth Lusca — впервые она была обнаружена в 2021 году, а в списке киберпреступников оказалась годом позже. Для заражения систем группировка использует методы социальной инженерии. В качестве полезной нагрузки SprySOCKS устанавливает пакеты Cobalt Strike и Winnti. Первый — это комплект для поиска и эксплуатации уязвимостей; второй, которому уже более десяти лет, — связывается с китайскими властями. Есть версия, что работающая преимущественно по азиатским целям группировка Earth Lusca нацелена на хищение денежных средств, потому что её жертвами часто оказываются компании, которые занимаются азартными играми и криптовалютами. Хакеры за неделю взломали две крупнейшие сети казино в Лас-Вегасе
14.09.2023 [19:09],
Сергей Сурабекянц
Во вторник группа киберпреступников, называющая себя ALPHV/BlackCat, нарушила работу сети казино MGM Resorts. Хакеры утверждают, что добыли чувствительную информацию и требуют выкуп, но компания пока платить отказывается. А сеть казино Caesars Entertainment якобы заплатила «десятки миллионов долларов» хакерам, угрожавшим обнародовать украденную информацию, в том числе данные клиентов. Взлом совершила группировка Scattered Spider, хотя ALPHV также настаивает на своей причастности. Во вторник MGM Resorts начала испытывать перебои в работе игровых автоматов. По состоянию на утро среды MGM Resorts по-прежнему демонстрировала признаки взлома, что, в частности, отражалось в перебоях в работе сайта компании. Сама MGM Resorts утверждает, что её «курорты, включая рестораны, развлечения и игры, в настоящее время работают». ALPHV использовала методы социальной инженерии для кибератаки на международную сеть отелей и казино. Хакеры утверждают, что для взлома MGM Resorts им потребовался всего один 10-минутный телефонный звонок. Преступникам оказалось достаточно отыскать данные сотрудников казино на LinkedIn, а затем позвонить в службу поддержки. Группа ALPHV имеет в сообществе кибербезопасности репутацию «выдающегося специалиста в области социальной инженерии для первоначального доступа». После взлома группа обычно использует программы-вымогатели, чтобы вынудить жертву заплатить. Хакеры в первую очередь атакуют крупные корпорации, в частности в июле ALPHV совместно с другими хакерами смогли организовать утечку данных с сайта гиганта индустрии красоты Estée Lauder. Caesars Entertainment заплатила «десятки миллионов долларов» хакерам, которые угрожали обнародовать данные компании. Атаку совершила группа под названием Scattered Spider (также известная как UNC 3944), использовавшая социальную инженерию для обхода безопасности корпоративной сети. Атака на Caesars началась ещё 27 августа с получения доступа к внешнему поставщику компании, после чего преступникам удалось проникнуть в сеть Caesars Entertainment. Группа Scattered Spider активизировалась в мае 2022 года и занимается атаками на телекоммуникационные и бизнес-аутсорсинговые организации. Члены группы выдают себя за ИТ-персонал и используют социальную инженерию и другие инструменты, чтобы убедить должностных лиц компании предоставить удалённый доступ. Также они успешно эксплуатируют уязвимости и используют специализированные инструменты для взлома, чтобы обойти защитное программное обеспечение. Ущерб от взлома аккаунта создателя Ethereum в соцсети X составил почти $700 000
10.09.2023 [18:25],
Владимир Мироненко
10 сентября хакеры взломали аккаунт создателя Ethereum Виталика Бутерина в соцсети X (бывший Twitter) и разместили от его имени пост с фишинговой ссылкой, сообщили «Ведомости». В нём предлагалось пройти по ссылке, чтобы получить бесплатно памятный NFT в честь запуска в Ethereum новой функции по увеличению транзакций. Позже отец Виталика Дмитрий Бутерин предупредил о взломе. «Не обращайте внимания на этот пост, видимо Виталика взломали. Он работает над восстановлением доступа», — написал старший Бутерин в своём аккаунте в соцсети X. Но, по всей видимости, до появления этого предупреждения немало пользователей приняли этот пост за чистую монету и открыли доступ к своим криптокошелькам, поскольку ущерб от действий хакеров оценивается в немалую сумму. Согласно подсчётам блокчейн-аналитика ZachXBT, суммарный ущерб на момент взлома составил $691 000. В числе украденных NFT оказались два CryptoPunk (коллекция токенов на блокчейне Ethereum) стоимостью 153,62 Ethereum (около $250 000 на 10 сентября) и 58,18 Ethereum (около $95 000). ZachXBT предупредил о случившемся инциденте своих фолловеров, число которых превышает 438 200 человек. Основатель криптобиржи Binance Чанпэн Чжао (Changpeng Zhao) посоветовал «руководствоваться здравым смыслом при чтении контента в социальных сетях, даже у лидеров общественного мнения», поскольку «безопасность аккаунта Twitter не предназначена для финансовых платформ». «Ему нужно немного больше функций: 2FA [две степени защиты], логин должен отличаться от дескриптора или адреса электронной почты», — отметил он, добавив, что его аккаунт в Twitter несколько раз блокировали из-за попыток хакеров взломать его. «Это было ещё до “эпохи Илона”», — уточнил Чжао, имея в виду владельца X Илона Маска (Elon Musk). Личные данные клиентов «МТС Банка» попали в открытый доступ — в банке считают, что ничего страшного не случилось
07.09.2023 [23:33],
Владимир Мироненко
Неизвестный хакер выложил в открытый доступ данные клиентов «МТС Банка», сообщил Telegram-канал «Утечки информации» российского сервиса разведки уязвимостей и утечек данных, а также мониторинга мошеннических ресурсов в даркнете DLBI. Утёкшие данные содержатся в трёх файлах в формате .csv. В одном из этих файлов с 1 млн строк содержатся персональные данные клиентов, включая ФИО, дату рождения, пол, номер ИНН, гражданство. В другом файле, содержащем 3,1 млн строк, указаны данные о банковских картах клиентов, включая тип карты (дебетовая, кредитная, корпоративная), частичную информацию о её номере (6 первых и 4 последних цифры), даты выпуска и завершения срока действия карты. В третьем файле указаны 1,8 млн уникальных номеров телефонов клиентов, 50 тыс. уникальных адресов электронной почты и числовые идентификаторы. Хакер сообщил, что у него имеется полная база из 21 млн строк. Ресурс securitylab.ru утверждает, что базу данных «МТС Банка» взломали хакеры из группировки NLB, которые ранее сливали данные клиентов и сотрудников компании «СберЛогистика», образовательного портала «GeekBrains», сервиса электронных книг «Литрес» и многих других. В свою очередь, «МТС Банк» заверил клиентов, что его инфраструктура не подвергалась атакам, и данные пользователей вне опасности. «Представленная в базе информация не позволяет злоумышленникам совершать финансовые операции от лица клиентов банков, их счета вне опасности, — сообщили в пресс-службе банка. — Проверка базы, опубликованной хакерами, показала, что в ней содержатся персональные данные граждан и маскированные номера банковских карт, выпущенных различными российскими банками. Маскирование представляет собой меру защиты, в рамках которой номер банковской карты виден лишь частично». «Наличие в базе карт различных эмитентов указывает на то, что утечка произошла не в каком-либо конкретном банке, а, предположительно, у ретейл-компании либо поставщика цифровых сервисов, которые хранят и обрабатывают платёжные данные пользователей именно в таком виде», — добавили в пресс-службе «МТС Банка». Хакеры из Северной Кореи украли пятую часть всей похищенной преступниками криптовалюты в этом году
06.09.2023 [16:15],
Владимир Мироненко
Согласно новому исследованию TRM Labs, в период с января по 18 августа 2023 года связанные с Северной Кореей хакеры украли криптовалюту на $200 млн, что составляет более 20 % всей похищенной злоумышленниками криптовалюты в этом году. По мнению экспертов TRM Labs, похищенные средства используются для реализации военных программ правительства КНДР. Для кражи криптовалюты хакеры используют различные способы: фишинговые атаки и атаки на цепочки поставок, а также взлом инфраструктуры, включая компрометацию приватного ключа или Seed-фразы, говорится в отчёте TRM Labs. По данным Chainalysis, прошедший 2022 год стал самым удачным для криптохакеров. Ими было похищено $3,8 млрд в криптовалюте, в основном в результате использования децентрализованных финансовых протоколов, и в этом активно участвовали злоумышленники, связанные с Северной Кореей. В марте прошлого года официальные лица США обвинили хакеров, связанных с Северной Кореей, в краже рекордной суммы криптоактивов на более $600 млн путём взлома блокчейн-моста Ronin, на котором основана популярная блокчейн-игра Axie Infinity, с использованием украденных приватных ключей. Как сообщает The Wall Street Journal, для этого хакеры под видом вербовщиков передали инженеру из компании Sky Mavis, занимающейся играми на блокчейне, документ, содержащий вредоносное ПО. Это позволило преступникам получить доступ к компьютеру инженера и взломать игру Axie Infinity, благодаря чему удалось похитить 173,6 тыс. Ethereum на сумму более $600 млн и стейблкоины USDC на сумму более $25,5 млн. Клиенты LogicMonitor попали под кибератаку, потому что у всех были почти одинаковые пароли
01.09.2023 [06:27],
Дмитрий Федоров
Клиенты компании по обеспечению сетевой безопасности LogicMonitor столкнулись с хакерскими атаками из-за использования стандартных паролей. Отмечается, что компания до недавнего времени предоставляла своим клиентам слабые пароли по умолчанию, что стало причиной инцидента. Компания LogicMonitor, специализирующаяся на сетевой безопасности, подтвердила факт нарушения безопасности, затронувшего некоторых её клиентов. По словам представителя компании Джессики Чёрч (Jessica Church), она активно работает над устранением последствий инцидента и находится в тесном контакте с пострадавшими клиентами. Основной причиной инцидента стало то, что LogicMonitor до недавнего времени предоставляла своим клиентам стандартные и слабые пароли, такие как «Welcome@» с последующим коротким номером. Источник, знакомый с ситуацией, сообщил, что при регистрации аккаунта в LogicMonitor компания устанавливала стандартный пароль для всех пользовательских аккаунтов организации. До этого времени менять пароли не требовалось, и они не были временными. Теперь же пароль действителен 30 дней и должен быть изменён при первом входе. По информации одного из клиентов LogicMonitor, компания активно связывается со своими клиентами, предупреждая о возможном нарушении безопасности учётных данных. Хотя представитель LogicMonitor не раскрывает дополнительных подробностей о происшествии, известно, что одна из компаний потеряла более 400 систем из-за хакерской атаки с требованием выкупа, эксплуатирующей слабый стандартный пароль. Сервис LogicMonitor позволяет клиентам контролировать свою сетевую инфраструктуру, включая облачные ресурсы. На официальном сайте компании указано, что она контролирует 800 млрд метрик в день на 3 млн активных устройств и имеет более 100 000 пользователей ПО в 30 странах. Инцидент с паролями подчёркивает важность строгого контроля и обновления мер безопасности, особенно для компаний, работающих в ИТ-сфере. Это также напоминает о необходимости регулярного обновления и усиления паролей для предотвращения подобных инцидентов в будущем. Заботливые хакеры спасли от слежки пользователей 76 000 смартфонов
28.08.2023 [19:41],
Сергей Сурабекянц
Неназванные хакеры утверждают, что получили доступ к системам разработчика шпионского ПО (stalkerware) WebDetetive и удалили информацию об отслеживаемых устройствах, чтобы защитить жертв компании от слежки. Шпионский софт предоставляет беспрепятственный доступ к устройству человека, как правительству для слежки за гражданами, так и злоумышленнику для незаконного сбора данных. Теперь WebDetetive не смогут собирать данных с устройств своих жертв. Википедия выделяет следующие основные отличительные признаки stalkerware:
По данным хакеров, WebDetetive вела слежку за более чем 76 000 устройств и их владельцами, собрав более 1,5 Гбайт данных. Виртуальные Робин Гуды удалили всю информацию, к которой им удалось получить доступ. «Потому что #f**kstalkerware», — написали хакеры в послании, полученном TechCrunch. Хотя TechCrunch независимо не подтвердил удаление данных жертв с сервера WebDetetive, кэш данных, которым поделились хакеры, позволил оценить, чего им удалось достичь. Судя по информации от некоммерческой организации DDoSecrets, регистрирующей данные, попавшие в открытый доступ, хакерам действительно удалось получить IP-адреса и характеристики устройств жертв WebDetetive. |