Новости информационной безопасности

В антируткит-драйвере Avast и AVG нашли шестилетние уязвимости Екатерина Домашние пользователиКорпорацииAvast SoftwareAVGЭксплойты ... В легитимном драйвере, который является частью антивирусных продуктов Avast и AVG, нашли опасные уязвимости, остававшиеся незамеченными на протяжении многих лет. Речь идёт о aswArPot.sys, антируткит-драйвере уровня ядра. На проблемы в безопасности указал Касиф Декель, специалист компании SentinelOne. В отчёте эксперт приводит следующую информацию: «Эти уязвимости позволяют условному атакующему повысить права, отключить установленные в системе антивирусы, перезаписать системные компоненты и даже повредить ОС». В общей сложности Декель насчитал две уязвимости, получившие идентификаторы CVE-2022-26522 и...

Бесфайловый вредонос прячется в журнале сoобытий Windws Олеся Афанасьева 05 мая 2022 - 11:38 Домашние пользователиКорпорацииWindowsЛаборатория КасперскогоТрояны «Лаборатория Касперского» поймала трояна, который использует новую технику сокрытия в ОС — прячется в журналах событий Windows. Таким образом вредоносу удается оставаться незамеченным в файловой системе. Сам метод зафиксировали в феврале 2022 года, а первые атаки с его использованием датируются аж сентябрем 2021-го. В Kaspersky говорят, что раньше не видели подобного — журнал событий используется для маскировки вредоноса в реальных атаках. Специалисты пока не могут установить, кто стоит за атаками, но группировка выделяется патчингом «родных» API Windows, связанных с...

Эксперты выявили наиболее эффективный сценарий телефонного мошенничества 10:55 / 6 мая, 2022 мошенничество социальная инженерия Специалисты изучили более ста часов телефонных звонков с помощью технологий машинного обучения и обработки естественной речи. Специалисты Университета Маккуори (Сидней, Австралия) провели исследование, посвященное телефонному мошенничеству, и выявили наиболее эффективные скрипты и эмоции, на которых «играют» мошенники. Под руководством профессора Дали Каафара (Dali Kaafar) специалисты изучили более ста часов мошеннических телефонных звонков и с помощью технологий машинного обучения и обработки естественной речи выделили отчетливые этапы и ключевые точки в используемых мошенниками техниках социальной...

Создан эксплойт для багов в Conti, REvil, LockBit, блокирующий шифрование Домашние пользователиКорпорацииЭксплойтыВирусы-вымогателиВирусы-шифровальщики ... Операторы программ-вымогателей часто прибегают к эксплуатации уязвимостей для проникновения в корпоративные сети, однако их вредоносы тоже содержат бреши. Эксперт разработал эксплойты для багов в распространённых шифровальщиках, что позволит заблокировать их деятельность. Как новые семейства программ-вымогателей вроде REvil, Conti и LockBit, так и новички вроде Black Basta и AvosLocker содержат ряд уязвимостей, которые можно использовать для блокировки финальной стадии атаки — шифрования. Изучив несколько образцов популярных шифровальщиков, эксперт в области кибербезопасности...

4 мая 2022 г. Mitsubishi Electric, один из ведущих мировых производителей крупномасштабных электрических систем и систем отопления, вентиляции и кондиционирования воздуха, призналась, что на протяжении десятилетий мошеннически проводила проверки качества своих трансформаторов. Тысячи таких неправильно протестированных трансформаторов были отправлены как в Японию, так и за границу. И оказывается, это не первый раз, когда Mitsubishi уличают в мошенничестве. Mitsubishi Electric призналась в фальсификации данных испытаний на безопасность Токийский гигант электроники Mitsubishi Electric выявил недостатки в своих процедурах тестирования обеспечения качества (QA), в том числе фальсификацию цифр в отчетах об испытаниях трансформаторов...

Шифровальщик Black Basta за пару недель поразил 10 компаний Татьяна Никитина 28 апреля 2022 - 19:26 Малый и средний бизнесКорпорацииВирусы-вымогателиВирусы-шифровальщики Эксперты предупреждают о появлении еще одной вымогательской программы — Black Basta. Первая известная атака с ее участием произошла в начале текущего месяца; общее число организаций – жертв в разных странах уже перевалило за десяток. Новичок Black Basta примечателен тем, что не умеет обходить контроль учетных записей Windows (UAC). Зловред, как и Onyx, требует выкуп за расшифровку и неразглашение украденных секретов, но в отличие от столь же молодого коллеги создан профессионально и работает в классическом стиле. Для внедрения Black Basta в систему злоумышленники...

2,634 Рекомендуем почитать: Xakep #275. Карманные шпионы Содержание выпуска Подписка на «Хакер»-70% Хак-группа Stormous утверждает, что взломала компанию Coca-Cola и похитила более 161 Гб данных. Хакеры хотят продать эту информацию за 65 000 долларов или 1,6 биткоина. В Coca-Cola сообщают, что компании известно об этих заявлениях, и в настоящее время ведется расследование случившегося. Все началось с того, что в Telegram-канале Stormous появилось заявление о взломе Coca-Cola. Дело в том, что еще в начале марта хак-группа объявила, что поддерживает действия российского правительства в связи со «спецоперацией в Украине». Похоже, хакеры выбрали своей целью Coca-Cola, приостановившую деятельность в России, после опроса...

Появление Bumblebee в фишинговых кампаниях в марте совпадает с сокращением использования BazarLoader. Недавно обнаруженный загрузчик вредоносного ПО под названием Bumblebee, вероятно, является последней разработкой синдиката Conti, предназначенной для замены бэкдора BazarLoader. BazarLoader использовался в атаках для доставки полезной нагрузки программ-вымогателей. По словам исследователя Эли Салема (Eli Salem), появление Bumblebee в фишинговых кампаниях в марте совпадает с сокращением использования BazarLoader для доставки вредоносного ПО для шифрования файлов. Группировка Exotic Lily начала устанавливать Bumblebee вместо обычного вредоносного ПО BazarLoader для установки Cobalt Strike. Методы развертывания Bumblebee такие же, как...

Cloudflare столкнулась с очень мощной DDoS-атакой, которая в пике достигала 15,3 млн запросов в секунду. По словам специалистов компании, эта атака стала одной из самых серьёзных DDoS, зарегистрированных на сегодняшний день. «DDoS-атаки HTTPS — самые требовательные по части задействованных ресурсов, поскольку злоумышленникам нужно работать с зашифрованным соединением TLS. Таким образом, киберпреступнику сложнее запустить атаку, но и жертве сложнее её отбить», — комментируют киберкампанию представители Cloudflare. В компании отказались называть имя клиента, столкнувшегося с рекордной DDoS, однако известно, что сама продолжительность атаки была невелика — менее 15 секунд. Как правило, в таких кампаниях не обходится без участия ботнета...

Новая операция программы-вымогателя Onyx уничтожает большие файлы вместо их шифрования, предотвращая расшифровку этих файлов, даже если выплачен выкуп. На прошлой неделе исследователь безопасности MalwareHunterTeam обнаружил , что запущена новая операция программы-вымогателя под названием Onyx. Как и большинство современных операций с программами-вымогателями, злоумышленники Onyx крадут данные из сети перед шифрованием устройств. Затем эти данные используются в схемах двойного вымогательства, где они угрожают публично раскрыть данные, если выкуп не будет уплачен. Сайт утечки данных программы-вымогателя Onyx Банда вымогателей до сих пор была достаточно успешной: шесть жертв перечислены на их странице утечки данных. Однако о...

Злоумышленники использовали вредоносное ПО IcedID в качестве одного из своих первоначальных векторов до Программа-вымогатель Quantum, впервые обнаруженная в августе 2021 года, была использована в быстрых сетевых атаках. Злоумышленники использовали вредоносное ПО IcedID в качестве одного из своих первоначальных векторов доступа, которое развертывает Cobalt Strike для удаленного доступа и приводит к краже данных и шифрованию с помощью Quantum. Специалисты The DFIR Report проанализировали атаки программы-вымогателя Quantum. Атака длилась всего 3 часа 44 минуты с момента первоначального заражения до завершения шифрования устройств. В ходе атаки было использовано вредоносное ПО IcedID в качестве начального доступа к системе жертвы...

22.04.2022 На этой неделе в продажу поступил AMD Ryzen 7 5800X3D — самый мощный игровой процессор для платформы AM4. Новинка примечательна увеличенным до 96 Мбайт кэшем третьего уровня, однако официально лишена поддержки оверклокинга. Исправить эту несправедливость можно прибегнув к увеличению опорной частоты (BCLK), причём компания MSI решила открыть эту возможность владельцам топовых плат В ближайшие несколько дней Micro-Star International выпустит свежие прошивки UEFI на основе микрокода AGESA 1.2.0.7. Они обеспечат поддержку Ryzen 7 5800X3D всеми платами AM4, в том числе с логикой 300-й серии, а на флагманских моделях линейки MEG X570 появится отдельная функция для разгона новинки по BCLK. Речь идёт о моделях MEG X570 Godlike, MEG...

22/04/22 Аналитики безопасности обнаружили, что устройства Android, работающие на чипсетах Qualcomm и MediaTek, уязвимы для удаленного выполнения кода из-за недостатка в реализации Apple Lossless Audio Codec (ALAC). ALAC — это формат кодирования звука для сжатия звука без потерь, открытый Apple в 2011 году. С тех пор компания выпускает обновления для этого формата, включая исправления безопасности, но не каждый сторонний поставщик, использующий кодек, применяет эти исправления. Согласно отчету Check Point Research , сюда входят Qualcomm и MediaTek, два крупнейших в мире производителя чипов для смартфонов. Звук RCE Аналитики еще не предоставили много подробностей о фактическом использовании уязвимостей, но пообещали сделать это на...

22/04/22 Цель — вклиниться в корпоративную переписку «Лаборатория Касперского» предупредила об обнаруженном всплеске сложных вредоносных рассылок, нацеленных на организации в разных странах, в том числе в России. Цель злоумышленников — вклиниться в корпоративную переписку и ответным письмом убедить пользователей скачать зловред на свой компьютер. Так атакующие пытаются получить доступ к устройствам пользователей. Согласно данным «Лаборатории Касперского», с февраля по март 2022 года количество таких писем выросло в 10 раз, увеличившись примерно с 3 до 30 тысяч. Вредоносные письма приходят на разных языках, в том числе на английском, немецком, французском, итальянском, польском, венгерском, норвежском, словенском. Одна из схем...

Российский разработчик ПО «1С» второй день подвергается мощнейшей DDoS-атаке. Хакеры атакуют различные сервисы для учета и отчетности в организациях. Не доступны «1С:ЭДО», «1С-ОФД», «1С:отчетность». Сообщения о сбоях продолжают поступать. Представители «1С» заверили CNews, что нормальное функционирование большинства ресурсов восстановлено, однако DDoS-атаки продолжаются. DDoS-атака на «1С» Российский разработчик ПО «1С» подвергается мощной и продолжительной DDoS-атаке. С 21 апреля 2022 г. хакеры атакуют различные сервисы для учета и отчетности в организациях, в том числе ресурсы «1С». Об этом CNews рассказали представители компании. С 21 апреля в сети стали появляться сообщения о недоступности различных сервисов компании, включая...

В связи со сложившейся ситуацией и блокировкой некоторых социальных сетей, ресурсов и платформ, сервисы, предоставляющие связанные с VPN услуги, стали очень востребованы. Исследователи из компании по кибербезопасности AppEsteem нашли в шести таких VPN-сервисах (Surfshark, Atlas VPN, VyprVPN, VPN Proxy Master, Sumrando VPN и Turbo VPN) опасную для пользователей проблему. Эти VPN-сервисы устанавливают корневые сертификаты, через которые хакеры могут перехватывать сообщения пользователей пользователям. Сервисы устанавливают на устройство доверенный корневой центр сертификации, что может порушить всю конфиденциальность. Специалисты считают, что установка доверенных корневых сертификатов — плохая практика. В случае компрометации...

22 апреля, 2022 Количество фишинговых атак во всем мире выросло на 29% в прошлом году. Исследователи в области кибербезопасности из Zscaler ThreatLabz отметили увеличение числа фишинговых атак во всем мире на 29% в прошлом году. Данная тенденция связана с тем, что киберпреступники стали лучше противостоять средствам защиты предприятий с помощью новых методов. В то время как США остаются страной с наибольшим количеством попыток фишинга, в других странах наблюдается более быстрый рост числа киберинцидентов — использование новых векторов, таких как SMS, и снижение порога для запуска атак с помощью готовых инструментов, доступных на подпольном рынке. «По мере того, как организации продолжают улучшать свою защиту от фишинговых атак...

21 апреля, 2022 Пекин обвинил Вашингтон в развертывании инфраструктуры Beehive в соседних с Китаем странах. Китай выразил большую обеспокоенность «безответственной и вредоносной» киберактивностью правительства США. Заместитель директора Департамента информации МИД КНР Ван Вэньбинь обвинил США в использовании кибершпионского инструмента Beehive и развертывании его в соседних с Китаем странах. «Мы требуем от США объяснений и немедленного прекращения вредоносной деятельности», - заявил Ван Вэньбинь на брифинге во вторник, 20 апреля, пишет Republic World. По словам пресс-секретаря МИДа, Национальный центр реагирования на компьютерные вирусы КНР сообщил, что, если международная магистральная интернет-сеть и критическая информационная...

21 апреля, 2022 Проблема представляет собой цифровой эквивалент пустой идентификационной карты. В новых версиях Java-фреймворка Oracle обнаружена опасная уязвимость. Ее эксплуатация позволяет злоумышленникам легко подделывать сертификаты и TLS-подписи, сообщения двухфакторной аутентификации и учетные данные авторизации, созданные рядом широко используемых открытых стандартов. Уязвимость затрагивает реализацию алгоритма с открытым ключом Elliptic Curve Digital Signature Algorithm (ECDSA) в версиях Java 15 и младше. ECDSA — алгоритм, использующий принципы эллиптической криптографии для цифровой аутентификации сообщений. Ключевым преимуществом ECDSA является меньший размер генерируемых им ключей по сравнению с RSA или другими...

21 апреля, 2022 Хакеры проводят сетевую разведку, крадут учетные данные учетной записи администратора, похищают информацию и шифруют системы. Партнер программы-вымогателя Hive атаковал серверы Microsoft Exchange, содержащие уязвимости ProxyShell, для установки различных бэкдоров, включая маячки Cobalt Strike. Злоумышленники проводят сетевую разведку, крадут учетные данные учетной записи администратора, похищают ценную информацию и в конечном итоге устанавливают вымогательское ПО для шифрования файлов. ProxyShell — набор из трех уязвимостей в Microsoft Exchange Server, которые позволяют удаленно выполнять код без проверки подлинности в уязвимых средах. После того как эксплоиты стали доступны, уязвимости использовались несколькими...