А министерство юстиции США со своей стороны океана заявило о том, приняло меры по отношению к другим злоумышленникам, которые тоже обвиняются в использовании ПО Sodinokibi/REvil для зашифровки данных их жертв. Тут речь идет о гражданине Украины Ярославе Васинском и гражданине России Евгении Полянине. Васинского еще в октябре арестовали в Польше, и там идут переговоры о выдаче его в США. Обвиняются они много в чем, включая атаку на Kaseya (https://teleg.eu/alexmakus/4155). У Полянина каким-то образом изъяли 6,1 млн долларов (может быть, арестовали где-то крипто-кошелек), хотя самого, как я понял, не арестовали, потому что "он находится за границей".
Если будет доказана их вина по всем пунктам обвинения, им грозит 115 и 145 лет в тюрьме соответственно.
https://www.justice.gov/opa/pr/ukrainian-arrested-and-charged-ransomware-attack-kaseya
Если будет доказана их вина по всем пунктам обвинения, им грозит 115 и 145 лет в тюрьме соответственно.
https://www.justice.gov/opa/pr/ukrainian-arrested-and-charged-ransomware-attack-kaseya
Telegram
Информация опасносте
Конечно же, в пятницу вечером началось. Большая атака вируса-вымогателя группировки REvil через одного провайдера - компанию Kaseya. Компания предоставляет платформу для управления апдейтами и мониторинга клиентов.
Заявление компании http://helpdesk.kaseya.com/hc/en…
Заявление компании http://helpdesk.kaseya.com/hc/en…
=== РЕКЛАМА ====
Академия информационных систем приглашает подписчиков канала на БЕСПЛАТНУЮ онлайн-конференцию «Инструменты противодействия социальной инженерии и кибермошенничествам»
Перед вами выступят:
▪️ Кирилл Кулаков, менеджер по сопровождению корпоративных продаж, Лаборатория Касперского
“Эффективные методы борьбы с социальной инженерией на фоне пандемии”
▪️ Алексей Плешков, независимый эксперт по информационной безопасности
“Социальная инженерия как инструмент злоумышленников по управлению сознанием жертв. Методы детектирования и противодействия”
▪️ Алексей Сизов, начальник отдела противодействия мошенничеству, компания «Инфосистемы Джет»
“Противодействие мошенничеству: фрод ближе, чем вы думаете”
Онлайн-трансляция пройдет 11.11 в 11:00
Регистрация по >> ссылке <<
Академия информационных систем приглашает подписчиков канала на БЕСПЛАТНУЮ онлайн-конференцию «Инструменты противодействия социальной инженерии и кибермошенничествам»
Перед вами выступят:
▪️ Кирилл Кулаков, менеджер по сопровождению корпоративных продаж, Лаборатория Касперского
“Эффективные методы борьбы с социальной инженерией на фоне пандемии”
▪️ Алексей Плешков, независимый эксперт по информационной безопасности
“Социальная инженерия как инструмент злоумышленников по управлению сознанием жертв. Методы детектирования и противодействия”
▪️ Алексей Сизов, начальник отдела противодействия мошенничеству, компания «Инфосистемы Джет»
“Противодействие мошенничеству: фрод ближе, чем вы думаете”
Онлайн-трансляция пройдет 11.11 в 11:00
Регистрация по >> ссылке <<
просто смешная история про то, как шутник смог заблокировать аккаунт генерального директора Инстаграмма. Он воспользовался возможностью подать информацию о том, что владелец аккаунта умер, из ИГ попросили подтверждение, чувак показал фейковую статью с некрологом — и вот так легко вполне живой СЕО компании не мог какое-то время попасть в свой аккаунт.
https://www.vice.com/en/article/7kb9by/adam-mosseri-dead-instagram-account-locked
https://www.vice.com/en/article/7kb9by/adam-mosseri-dead-instagram-account-locked
Vice
Scammer Convinced Instagram That Its Top Executive Was Dead
A scammer said they managed to lock down the head of Instagram's account using a fake obituary.
Тут передают, что в южной Корее появилось новое вредоносное шпионское ПО для Android, которое маскируется под легитимные приложения. Корея вообще странная страна с точки зрения шпионства, пару лет назад были статьи про прямо эпидемию установки камер в женских туалетах. Вот и это шпионское ПО PhoneSpy, кроме того, что собирает пользовательские данные с телефона, получает доступ к камере и микрофону для записи звука и видео. PhoneSpy ещё умеет и приложения удалять, в частности, антивирусное ПО. Приложения с вирусом распространяются механизмами социальной инженерии и прочими редиректами, среди телефонов, на которых разрешён сайдлоадинг приложений. По мнению экспертов, обнаружившихся этот вирус, авторы собрали его из кусков других подобных приложений.
https://techcrunch.com/2021/11/10/android-spyware-legitimate-apps/
https://techcrunch.com/2021/11/10/android-spyware-legitimate-apps/
TechCrunch
This new Android spyware masquerades as legitimate apps
The spyware has already ensnared over a thousand victims.
Помните историю про журналиста, который нашёл в коде сайта местного отделения образования персональную информацию на учителей? Там еще губернатор штата обвинил журналиста в хакерстве. Оказалось, что в сайте была большая дыра и через него была доступна информация на 620 тысяч учителей и других сотрудников образовательных учреждений. Поэтому местные власти извинились - перед учителями. А перед журналистом не извинились
https://www.techdirt.com/articles/20211110/11331647915/missouri-admits-it-fucked-up-exposing-teacher-data-offers-apology-to-teachers-not-to-journalists-it-falsely-accused-hacking.shtml
https://www.techdirt.com/articles/20211110/11331647915/missouri-admits-it-fucked-up-exposing-teacher-data-offers-apology-to-teachers-not-to-journalists-it-falsely-accused-hacking.shtml
Techdirt
Missouri Admits It Fucked Up In Exposing Teacher Data, Offers Apology To Teachers -- But Not To Journalists It Falsely Accused…
As you'll recall, last month, journalists for the St. Louis Post-Dispatch revealed that the state's Department of Elementary...
чуваки нашли дыру в VPN-серверах Palo Alto Networks (уровень опасности 9,8 из 10), и 12 месяцев использовали её в своих продуктах для тестирования защиты сетей клиентов. Доступ к данным внутри сетей, получение данных учетных записей, просмотр устройств внутри сетей, и тд. Опасносте!
https://www.randori.com/blog/cve-2021-3064/
CEO компании поясняет, почему для них было важно использовать обнаруженную уязвимость — для реалистичности тестирования, как это бывает в реальном мире
https://www.randori.com/blog/why-zero-days-are-essential-to-security/
Позиция, возможно, спорная, но имеет право на жизнь.
PAN исправили уязвимость и апдейты можно найти тут
https://security.paloaltonetworks.com/CVE-2021-3064
https://www.randori.com/blog/cve-2021-3064/
CEO компании поясняет, почему для них было важно использовать обнаруженную уязвимость — для реалистичности тестирования, как это бывает в реальном мире
https://www.randori.com/blog/why-zero-days-are-essential-to-security/
Позиция, возможно, спорная, но имеет право на жизнь.
PAN исправили уязвимость и апдейты можно найти тут
https://security.paloaltonetworks.com/CVE-2021-3064
Ibm
IBM Randori Recon
Learn about attack surface management SaaS that continuously monitors to look for unexpected changes, blind spots, misconfigurations and process failures.
если вы получили письмо от почтовых серверов ФБР сегодня, то а) поздравляю! б) похоже, чтото там у них в почте сломали
https://old.reddit.com/r/sysadmin/comments/qsun7o/email_from_fbi_looks_odd/
в) пока что все разбираются
https://twitter.com/spamhaus/status/1459450061696417792
"The FBI and CISA are aware of the incident this morning involving fake emails from an @ic.fbi.gov email account. This is an ongoing situation and we are not able to provide any additional information at this time."
https://old.reddit.com/r/sysadmin/comments/qsun7o/email_from_fbi_looks_odd/
в) пока что все разбираются
https://twitter.com/spamhaus/status/1459450061696417792
"The FBI and CISA are aware of the incident this morning involving fake emails from an @ic.fbi.gov email account. This is an ongoing situation and we are not able to provide any additional information at this time."
Reddit
From the sysadmin community on Reddit: Email From FBI Looks Odd
Explore this post and more from the sysadmin community
Детали по поводу уязвимости, с помощью которой был разослан спам с домена американской ФБР. По сути, чувак нашёл форму, которая через POST запрос отправляла регистрирующемуся пользователю одноразовый пароль. Подмена параметров в запросе позволяла отправлять письма кому попало, чем и воспользовался исследователь (хакер?]. Вопрос в том, будет ли теперь его преследовать за это ФБР?
https://krebsonsecurity.com/2021/11/hoax-email-blast-abused-poor-coding-in-fbi-website/
https://krebsonsecurity.com/2021/11/hoax-email-blast-abused-poor-coding-in-fbi-website/
Krebsonsecurity
Hoax Email Blast Abused Poor Coding in FBI Website
The Federal Bureau of Investigation (FBI) confirmed today that its fbi.gov domain name and Internet address were used to blast out thousands of fake emails about a cybercrime investigation. According to an interview with the person who claimed responsibility…
Ссылка от читателя на тему канала — о том, что якобы сервис Booking.com еще в 2016 году был взломан неким американцем, работающим на разведывательные органы США. В результате взлома были похищены данные на клиентов сервиса — имена и планы поездок — проживающих в странах Ближнего Востока. Booking.com утверждает, что провели проверку и не обнаружили следов доступа к личным или финансовым данным клиентов. Может ли это служить подтверждением взлома — не очень понятно
https://arstechnica.com/gadgets/2021/11/new-book-claims-us-intel-agency-hacked-booking-com-in-2016/
https://arstechnica.com/gadgets/2021/11/new-book-claims-us-intel-agency-hacked-booking-com-in-2016/
Ars Technica
Booking.com was reportedly hacked by a US intel agency but never told customers
Data involving Middle Eastern countries stolen by man working for unknown US agency.
На прошлой недел Google Threat Analysis Group — команда по обнаружению компьютерных злоумышленников — опубликовала отчет о кампании, в рамках которой некие злоумышленники использовали на тот момент неизвестную уязвимость в macOS для атак на активистов в Гонконге.
https://blog.google/threat-analysis-group/analyzing-watering-hole-campaign-using-macos-exploits/
Представители Google утверждают, что не могут однозначно сказать, кто стоит за этой атакой, но она имеет все признаки поддержки государства. Кампания была обнаружена в августе этого года и в сентбяре Apple выпустила обновление, исправляющее уязвимость.
Сама атака представляла собой формат "водопоя", когда легитимные сайты были взломаны и содержали в себе вредоносное ПО, эксплуатирующее zero-day уязвимость. Интересно, что параллельно к уязвимости нулевого дня в атаке также применялась и уже известная уязвимость, которую Apple исправила в версии macOS Big Sur, но на тот момент не исправила в версии Catalina. Предполагалось, что исправленная уязвимость была "совместима" только с Big Sur, но оказалось, что в предыдущей версии системы она тоже присутствовала.
также тут можно почитать детальный анализ самого вредоносного кода и его функциональности (скриншоты экрана, закачка файлов, выполнение терминальных команд, запись аудио, кейлоггинг), и даже для желающих — скачать его.
https://objective-see.com/blog/blog_0x69.html
https://blog.google/threat-analysis-group/analyzing-watering-hole-campaign-using-macos-exploits/
Представители Google утверждают, что не могут однозначно сказать, кто стоит за этой атакой, но она имеет все признаки поддержки государства. Кампания была обнаружена в августе этого года и в сентбяре Apple выпустила обновление, исправляющее уязвимость.
Сама атака представляла собой формат "водопоя", когда легитимные сайты были взломаны и содержали в себе вредоносное ПО, эксплуатирующее zero-day уязвимость. Интересно, что параллельно к уязвимости нулевого дня в атаке также применялась и уже известная уязвимость, которую Apple исправила в версии macOS Big Sur, но на тот момент не исправила в версии Catalina. Предполагалось, что исправленная уязвимость была "совместима" только с Big Sur, но оказалось, что в предыдущей версии системы она тоже присутствовала.
также тут можно почитать детальный анализ самого вредоносного кода и его функциональности (скриншоты экрана, закачка файлов, выполнение терминальных команд, запись аудио, кейлоггинг), и даже для желающих — скачать его.
https://objective-see.com/blog/blog_0x69.html
Google
Analyzing a watering hole campaign using macOS exploits
To protect our users, TAG routinely hunts for 0\u002Dday vulnerabilities exploited in\u002Dthe\u002Dwild. In late August 2021, TAG discovered watering hole attacks targeting visitors t…
Robinhood теперь «уточнил», что во время взлома сервиса украли еще и номера телефонов тысяч клиентов
https://blog.robinhood.com/news/2021/11/8/data-security-incident
И данные уже выставлены на продажу
https://www.bleepingcomputer.com/news/security/7-million-robinhood-user-email-addresses-for-sale-on-hacker-forum/
Таргетированный фишинг через 3…2…1…
https://blog.robinhood.com/news/2021/11/8/data-security-incident
И данные уже выставлены на продажу
https://www.bleepingcomputer.com/news/security/7-million-robinhood-user-email-addresses-for-sale-on-hacker-forum/
Таргетированный фишинг через 3…2…1…
Robinhood Newsroom
Robinhood Announces Data Security Incident (Update) - Robinhood Newsroom
Update on November 16, 2021 at 9:55 AM PT: We’re providing the following update to keep our customers and other
Журналист BBC попытался в Москве найти концы хакеров, которые якобы связаны с Evil Corp (я чето не смог найти на русском версию. но TL;DR версия — поговорил с людьми, которые все отрицали, звонил на телефоны, где клали трубку).
https://www.bbc.com/news/technology-59297187
https://www.bbc.com/news/technology-59297187
BBC News
Evil Corp: 'My hunt for the world's most wanted hackers'
The BBC’s Joe Tidy goes to Russia in search of men on the FBI’s cyber most wanted list.
Не одна, а сразу две серьезные уязвимости, которые затрагивают целый набор процессоров Intel, и позволяют злоумышленникам эскалировать свои права на устройствах. Обе уязвимости находятся в BIOS некоторых процессоров Intel — собственно, никакого rocket science, а, например, неправильная проверка введенных данных. Работает это все только при наличии физического доступа к устройству. Затронуты процессоры
• Intel® Xeon® Processor E Family
• Intel® Xeon® Processor E3 v6 Family
• Intel® Xeon® Processor W Family
• 3rd Generation Intel® Xeon® Scalable Processors
• 11th Generation Intel® Core™ Processors
• 10th Generation Intel® Core™ Processors
• 7th Generation Intel® Core™ Processors
• Intel® Core™ X-series Processors
• Intel® Celeron® Processor N Series
• Intel® Pentium® Silver Processor Series
Собственно, рекомендация простая: поставьте апдейт, пожалуйста.
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00562.html
Ну и чтобы два раза не вставать, еще одна уязвимость в Intel, обнаруженная экспертами компании Positive Technologies:
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00528.html
https://www.ptsecurity.com/ww-en/about/news/positive-technologies-discovers-vulnerability-in-intel-processors-used-in-laptops-cars-and-other-devices/
Интересно, что один из затронутых процессоров — Intel Atom E3900 используется в нескольких моделях автомобилей, в том числе в Tesla Model 3.
• Intel® Xeon® Processor E Family
• Intel® Xeon® Processor E3 v6 Family
• Intel® Xeon® Processor W Family
• 3rd Generation Intel® Xeon® Scalable Processors
• 11th Generation Intel® Core™ Processors
• 10th Generation Intel® Core™ Processors
• 7th Generation Intel® Core™ Processors
• Intel® Core™ X-series Processors
• Intel® Celeron® Processor N Series
• Intel® Pentium® Silver Processor Series
Собственно, рекомендация простая: поставьте апдейт, пожалуйста.
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00562.html
Ну и чтобы два раза не вставать, еще одна уязвимость в Intel, обнаруженная экспертами компании Positive Technologies:
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00528.html
https://www.ptsecurity.com/ww-en/about/news/positive-technologies-discovers-vulnerability-in-intel-processors-used-in-laptops-cars-and-other-devices/
Интересно, что один из затронутых процессоров — Intel Atom E3900 используется в нескольких моделях автомобилей, в том числе в Tesla Model 3.
Intel
INTEL-SA-00562
=== РЕКЛАМА ====
5 коротких видеороликов, которые зайдут и профи, и новичку в ИБ
Не всегда успеваете следить за теми направлениями ИБ, в которых сейчас не делаете ничего руками? Смотрите короткие ролики Security Small Talk.
Самая улыбчивая на рынке ИБ Лера Суворова и пять узких специалистов за пять минут освежат ваши знания и дополнят их своим практическим опытом. Полезно будет и начинающим безопасникам, и перегруженным ИБ-шникам, и ИТ-специалистам, и студентам.
Уже ждут просмотров ролики о Deception, защите данных в облаках, киберполигонах, автопентесте и Digital Risk Protection.
Вот ссылка на все ролики
А o Deception можно посмотреть, не выходя из канала
https://youtu.be/VQq-KL8_S1c
5 коротких видеороликов, которые зайдут и профи, и новичку в ИБ
Не всегда успеваете следить за теми направлениями ИБ, в которых сейчас не делаете ничего руками? Смотрите короткие ролики Security Small Talk.
Самая улыбчивая на рынке ИБ Лера Суворова и пять узких специалистов за пять минут освежат ваши знания и дополнят их своим практическим опытом. Полезно будет и начинающим безопасникам, и перегруженным ИБ-шникам, и ИТ-специалистам, и студентам.
Уже ждут просмотров ролики о Deception, защите данных в облаках, киберполигонах, автопентесте и Digital Risk Protection.
Вот ссылка на все ролики
А o Deception можно посмотреть, не выходя из канала
https://youtu.be/VQq-KL8_S1c
YouTube
#SecuritySmallTalk О Deception
Зачем смотреть?
🔹 Узнать, что такое Deception Tool, если никогда не работали с этой технологией
🔹 Разобраться, есть ли разница между Honeypot и Deception
🔹 Понять, чем отличаются ловушки и приманки
🔹 Решить, будет ли польза от этой технологии в том или ином…
🔹 Узнать, что такое Deception Tool, если никогда не работали с этой технологией
🔹 Разобраться, есть ли разница между Honeypot и Deception
🔹 Понять, чем отличаются ловушки и приманки
🔹 Решить, будет ли польза от этой технологии в том или ином…
И не забываем про то, что на этой неделе у Microsoft был ноябрьский patch tuesday! Количество исправленных CVE — 55 штук! ну, допустим, не 71, как в октябре, но тем не менее. 6 из них критичные, 49 — так, ерунда, не стоит даже и упоминаний 🙂
https://msrc.microsoft.com/update-guide/releaseNote/2021-Nov
Вот эта в Exchange Server, например, находится в активной эксплуатации
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42321
Более полный обзор патча тут — https://www.zerodayinitiative.com/blog/2021/11/9/the-november-2021-security-update-review
но вы и так знаете, что делать 🙂
https://msrc.microsoft.com/update-guide/releaseNote/2021-Nov
Вот эта в Exchange Server, например, находится в активной эксплуатации
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42321
Более полный обзор патча тут — https://www.zerodayinitiative.com/blog/2021/11/9/the-november-2021-security-update-review
но вы и так знаете, что делать 🙂
Zero Day Initiative
Zero Day Initiative — The November 2021 Security Update Review
The second Tuesday of the month is upon us, and with it comes the latest security patches from Adobe and Microsoft. Take a break from your regularly scheduled activities and join us as we review the details for their latest security offerings. Adobe Patches…
Берегите свои печеньки!
TL;DR - предполагается, что утекшие файлы сами пользователи GitHub выложили по ошибке
https://www.theregister.com/2021/11/18/firefox_cookies_github/
TL;DR - предполагается, что утекшие файлы сами пользователи GitHub выложили по ошибке
https://www.theregister.com/2021/11/18/firefox_cookies_github/
The Register
Thousands of Firefox users accidentally commit login cookies on GitHub
GitHub: 'Credentials exposed by our users are not in scope'
хакеры у хакеров украли кораллы. ой, в смысле не украли, а пытались, и не кораллы, а инструменты для взлома: серверные корейцы против китайцев
https://www.thedailybeast.com/north-korean-hackers-caught-snooping-on-chinas-cyber-squad?ref=home
https://www.thedailybeast.com/north-korean-hackers-caught-snooping-on-chinas-cyber-squad?ref=home
The Daily Beast
North Korean Hackers Caught Snooping on China’s Cyber Squad
North Korean hackers are under fierce pressure to raise revenue to fund regime goals. Now they’re trying to spy on Chinese security researchers to get better hacking tools.
Meta (которая владеет Facebook, Instagram и WhatsApp), планировала ввести сквозное шифрование в коммуникационных продуктах уже в следующем году, но теперь обещает закончить это "гдето в 2023 году".
We’re taking our time to get this right and we don’t plan to finish the global rollout of end-to-end encryption by default across all our messaging services until sometime in 2023.
https://www.telegraph.co.uk/business/2021/11/20/people-shouldnt-have-choose-privacy-safety-says-facebook-safety/
We’re taking our time to get this right and we don’t plan to finish the global rollout of end-to-end encryption by default across all our messaging services until sometime in 2023.
https://www.telegraph.co.uk/business/2021/11/20/people-shouldnt-have-choose-privacy-safety-says-facebook-safety/
The Telegraph
We'll protect privacy and prevent harm, writes Facebook safety boss
The head of safety at Meta, which owns Facebook and WhatsApp, says the company is working hard to get the balance right