А министерство юстиции США со своей стороны океана заявило о том, приняло меры по отношению к другим злоумышленникам, которые тоже обвиняются в использовании ПО Sodinokibi/REvil для зашифровки данных их жертв. Тут речь идет о гражданине Украины Ярославе Васинском и гражданине России Евгении Полянине. Васинского еще в октябре арестовали в Польше, и там идут переговоры о выдаче его в США. Обвиняются они много в чем, включая атаку на Kaseya (https://teleg.eu/alexmakus/4155). У Полянина каким-то образом изъяли 6,1 млн долларов (может быть, арестовали где-то крипто-кошелек), хотя самого, как я понял, не арестовали, потому что "он находится за границей".
Если будет доказана их вина по всем пунктам обвинения, им грозит 115 и 145 лет в тюрьме соответственно.

https://www.justice.gov/opa/pr/ukrainian-arrested-and-charged-ransomware-attack-kaseya

=== РЕКЛАМА ====

Академия информационных систем приглашает подписчиков канала на БЕСПЛАТНУЮ онлайн-конференцию «Инструменты противодействия социальной инженерии и кибермошенничествам»

Перед вами выступят:

▪️ Кирилл Кулаков, менеджер по сопровождению корпоративных продаж, Лаборатория Касперского
“Эффективные методы борьбы с социальной инженерией на фоне пандемии”

▪️ Алексей Плешков, независимый эксперт по информационной безопасности
“Социальная инженерия как инструмент злоумышленников по управлению сознанием жертв. Методы детектирования и противодействия”

▪️ Алексей Сизов, начальник отдела противодействия мошенничеству, компания «Инфосистемы Джет»
“Противодействие мошенничеству: фрод ближе, чем вы думаете”

Онлайн-трансляция пройдет 11.11 в 11:00

Регистрация по >> ссылке <<

просто смешная история про то, как шутник смог заблокировать аккаунт генерального директора Инстаграмма. Он воспользовался возможностью подать информацию о том, что владелец аккаунта умер, из ИГ попросили подтверждение, чувак показал фейковую статью с некрологом — и вот так легко вполне живой СЕО компании не мог какое-то время попасть в свой аккаунт.

https://www.vice.com/en/article/7kb9by/adam-mosseri-dead-instagram-account-locked

Тут передают, что в южной Корее появилось новое вредоносное шпионское ПО для Android, которое маскируется под легитимные приложения. Корея вообще странная страна с точки зрения шпионства, пару лет назад были статьи про прямо эпидемию установки камер в женских туалетах. Вот и это шпионское ПО PhoneSpy, кроме того, что собирает пользовательские данные с телефона, получает доступ к камере и микрофону для записи звука и видео. PhoneSpy ещё умеет и приложения удалять, в частности, антивирусное ПО. Приложения с вирусом распространяются механизмами социальной инженерии и прочими редиректами, среди телефонов, на которых разрешён сайдлоадинг приложений. По мнению экспертов, обнаружившихся этот вирус, авторы собрали его из кусков других подобных приложений.

https://techcrunch.com/2021/11/10/android-spyware-legitimate-apps/

Помните историю про журналиста, который нашёл в коде сайта местного отделения образования персональную информацию на учителей? Там еще губернатор штата обвинил журналиста в хакерстве. Оказалось, что в сайте была большая дыра и через него была доступна информация на 620 тысяч учителей и других сотрудников образовательных учреждений. Поэтому местные власти извинились - перед учителями. А перед журналистом не извинились

https://www.techdirt.com/articles/20211110/11331647915/missouri-admits-it-fucked-up-exposing-teacher-data-offers-apology-to-teachers-not-to-journalists-it-falsely-accused-hacking.shtml

ну, немножко смешно

https://teleg.eu/Tatarstan24TV/4833

чуваки нашли дыру в VPN-серверах Palo Alto Networks (уровень опасности 9,8 из 10), и 12 месяцев использовали её в своих продуктах для тестирования защиты сетей клиентов. Доступ к данным внутри сетей, получение данных учетных записей, просмотр устройств внутри сетей, и тд. Опасносте!

https://www.randori.com/blog/cve-2021-3064/

CEO компании поясняет, почему для них было важно использовать обнаруженную уязвимость — для реалистичности тестирования, как это бывает в реальном мире
https://www.randori.com/blog/why-zero-days-are-essential-to-security/

Позиция, возможно, спорная, но имеет право на жизнь.

PAN исправили уязвимость и апдейты можно найти тут
https://security.paloaltonetworks.com/CVE-2021-3064

если вы получили письмо от почтовых серверов ФБР сегодня, то а) поздравляю! б) похоже, чтото там у них в почте сломали

https://old.reddit.com/r/sysadmin/comments/qsun7o/email_from_fbi_looks_odd/

в) пока что все разбираются
https://twitter.com/spamhaus/status/1459450061696417792

"The FBI and CISA are aware of the incident this morning involving fake emails from an @ic.fbi.gov email account. This is an ongoing situation and we are not able to provide any additional information at this time."

Детали по поводу уязвимости, с помощью которой был разослан спам с домена американской ФБР. По сути, чувак нашёл форму, которая через POST запрос отправляла регистрирующемуся пользователю одноразовый пароль. Подмена параметров в запросе позволяла отправлять письма кому попало, чем и воспользовался исследователь (хакер?]. Вопрос в том, будет ли теперь его преследовать за это ФБР?

https://krebsonsecurity.com/2021/11/hoax-email-blast-abused-poor-coding-in-fbi-website/

Ссылка от читателя на тему канала — о том, что якобы сервис Booking.com еще в 2016 году был взломан неким американцем, работающим на разведывательные органы США. В результате взлома были похищены данные на клиентов сервиса — имена и планы поездок — проживающих в странах Ближнего Востока. Booking.com утверждает, что провели проверку и не обнаружили следов доступа к личным или финансовым данным клиентов. Может ли это служить подтверждением взлома — не очень понятно

https://arstechnica.com/gadgets/2021/11/new-book-claims-us-intel-agency-hacked-booking-com-in-2016/

На прошлой недел Google Threat Analysis Group — команда по обнаружению компьютерных злоумышленников — опубликовала отчет о кампании, в рамках которой некие злоумышленники использовали на тот момент неизвестную уязвимость в macOS для атак на активистов в Гонконге.

https://blog.google/threat-analysis-group/analyzing-watering-hole-campaign-using-macos-exploits/

Представители Google утверждают, что не могут однозначно сказать, кто стоит за этой атакой, но она имеет все признаки поддержки государства. Кампания была обнаружена в августе этого года и в сентбяре Apple выпустила обновление, исправляющее уязвимость.

Сама атака представляла собой формат "водопоя", когда легитимные сайты были взломаны и содержали в себе вредоносное ПО, эксплуатирующее zero-day уязвимость. Интересно, что параллельно к уязвимости нулевого дня в атаке также применялась и уже известная уязвимость, которую Apple исправила в версии macOS Big Sur, но на тот момент не исправила в версии Catalina. Предполагалось, что исправленная уязвимость была "совместима" только с Big Sur, но оказалось, что в предыдущей версии системы она тоже присутствовала.

также тут можно почитать детальный анализ самого вредоносного кода и его функциональности (скриншоты экрана, закачка файлов, выполнение терминальных команд, запись аудио, кейлоггинг), и даже для желающих — скачать его.
https://objective-see.com/blog/blog_0x69.html

Robinhood теперь «уточнил», что во время взлома сервиса украли еще и номера телефонов тысяч клиентов

https://blog.robinhood.com/news/2021/11/8/data-security-incident

И данные уже выставлены на продажу

https://www.bleepingcomputer.com/news/security/7-million-robinhood-user-email-addresses-for-sale-on-hacker-forum/

Таргетированный фишинг через 3…2…1…

Журналист BBC попытался в Москве найти концы хакеров, которые якобы связаны с Evil Corp (я чето не смог найти на русском версию. но TL;DR версия — поговорил с людьми, которые все отрицали, звонил на телефоны, где клали трубку).

https://www.bbc.com/news/technology-59297187

Не одна, а сразу две серьезные уязвимости, которые затрагивают целый набор процессоров Intel, и позволяют злоумышленникам эскалировать свои права на устройствах. Обе уязвимости находятся в BIOS некоторых процессоров Intel — собственно, никакого rocket science, а, например, неправильная проверка введенных данных. Работает это все только при наличии физического доступа к устройству. Затронуты процессоры
• Intel® Xeon® Processor E Family
• Intel® Xeon® Processor E3 v6 Family
• Intel® Xeon® Processor W Family
• 3rd Generation Intel® Xeon® Scalable Processors
• 11th Generation Intel® Core™ Processors
• 10th Generation Intel® Core™ Processors
• 7th Generation Intel® Core™ Processors
• Intel® Core™ X-series Processors
• Intel® Celeron® Processor N Series
• Intel® Pentium® Silver Processor Series

Собственно, рекомендация простая: поставьте апдейт, пожалуйста.

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00562.html

Ну и чтобы два раза не вставать, еще одна уязвимость в Intel, обнаруженная экспертами компании Positive Technologies:

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00528.html

https://www.ptsecurity.com/ww-en/about/news/positive-technologies-discovers-vulnerability-in-intel-processors-used-in-laptops-cars-and-other-devices/

Интересно, что один из затронутых процессоров — Intel Atom E3900 используется в нескольких моделях автомобилей, в том числе в Tesla Model 3.

=== РЕКЛАМА ====

5 коротких видеороликов, которые зайдут и профи, и новичку в ИБ

Не всегда успеваете следить за теми направлениями ИБ, в которых сейчас не делаете ничего руками? Смотрите короткие ролики Security Small Talk.

Самая улыбчивая на рынке ИБ Лера Суворова и пять узких специалистов за пять минут освежат ваши знания и дополнят их своим практическим опытом. Полезно будет и начинающим безопасникам, и перегруженным ИБ-шникам, и ИТ-специалистам, и студентам.

Уже ждут просмотров ролики о Deception, защите данных в облаках, киберполигонах, автопентесте и Digital Risk Protection.

Вот ссылка на все ролики

А o Deception можно посмотреть, не выходя из канала
https://youtu.be/VQq-KL8_S1c

И не забываем про то, что на этой неделе у Microsoft был ноябрьский patch tuesday! Количество исправленных CVE — 55 штук! ну, допустим, не 71, как в октябре, но тем не менее. 6 из них критичные, 49 — так, ерунда, не стоит даже и упоминаний 🙂

https://msrc.microsoft.com/update-guide/releaseNote/2021-Nov

Вот эта в Exchange Server, например, находится в активной эксплуатации
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42321

Более полный обзор патча тут — https://www.zerodayinitiative.com/blog/2021/11/9/the-november-2021-security-update-review

но вы и так знаете, что делать 🙂

лол
https://twitter.com/troyhunt/status/1461445558833352704

Берегите свои печеньки!

TL;DR - предполагается, что утекшие файлы сами пользователи GitHub выложили по ошибке

https://www.theregister.com/2021/11/18/firefox_cookies_github/

хакеры у хакеров украли кораллы. ой, в смысле не украли, а пытались, и не кораллы, а инструменты для взлома: серверные корейцы против китайцев

https://www.thedailybeast.com/north-korean-hackers-caught-snooping-on-chinas-cyber-squad?ref=home

Meta (которая владеет Facebook, Instagram и WhatsApp), планировала ввести сквозное шифрование в коммуникационных продуктах уже в следующем году, но теперь обещает закончить это "гдето в 2023 году".

We’re taking our time to get this right and we don’t plan to finish the global rollout of end-to-end encryption by default across all our messaging services until sometime in 2023.

https://www.telegraph.co.uk/business/2021/11/20/people-shouldnt-have-choose-privacy-safety-says-facebook-safety/