Румынская ИБ-компания Bitdefender выложила в общий доступ универсальный декриптор для REvil, созданный ею совместно с киберкопами. Утилита предлагается в пользование на безвозмездной основе и умеет восстанавливать файлы, зашифрованные зловредом ранее 13 июля 2021 года. Напомним, в этот день инфраструктура REvil / Sodinokibi неожиданно для всех ушла в офлайн — как оказалось, на два месяца.
Неделю назад сайты вредоноса в сети Tor ожили, на VirusTotal появился новый сэмпл, а в даркнете было опубликовано сообщение о том, что операторы шифровальщика просто устроили себе каникулы. Стало также известно о новых атаках REvil, и специалисты по ИБ озаботились созданием нового декриптора. Не исключено, что в этом им помогла утечка мастер-ключа...
Microsoft представила функцию, с помощью которой пользователи могут войти в аккаунт без пароля, сообщают в блоге компании.
Вместо пароля можно использовать такие способы авторизации, как приложение для смартфона Microsoft Authenticator, аппаратные ключи безопасности, ПИН-код Windows Hello, СМС, электронную почту и биометрические данные. Это событие стало логическим продолжением тестового запуска функции для обладателей корпоративных аккаунтов Microsoft в марте этого года.
Компания долгое время разрабатывала более безопасную и простую в использовании систему защиты устройств, и события, связанные с пандемией, в том числе переход большинства людей на удаленный формат работы, в разы ускорили этот процесс. Из-за столь скорых перемен в мире...
Trend_Microсегодня в 12:04
В конце 2020 года мы зафиксировали новую кибершпионскую кампанию группировки Earth Baku, более известную как APT41. Атаки были направлены против различных организаций в странах Индо-Тихоокеанского региона. Как и в других кампаниях, Earth Baku использовала высококлассный инструментарий собственной разработки. В этом посте мы расскажем об этой кампании, а также о том, как Earth Baku развивала свои вредоносные инструменты для атак.
Коротко о деятельности Earth Baku
С деятельностью этой группировки мы уже сталкивались в 2018-2020 годах. APT41 «отметилась» во множестве киберинцидентов, в которых использовались waterfall-атаки и фишинг. Основными целями атак были фармацевтические и телекоммуникационные компании...
Кибервымогатели не любят, когда в их дела вмешиваются профессиональные переговорщики.
Кибервымогательская группировка Grief угрожает удалить ключи для расшифровки файлов своих жертв, если они обратятся за помощью к фирме-посреднику, и тем самым лишить их возможности восстановить данные.
Как сообщал SecurityLab, на прошлой неделе кибервымогательская группировка Ragnar Locker пригрозила жертвам автоматической публикацией их файлов, если они свяжутся с правоохранительными органами или фирмой-посредником, ведущей переговоры с вымогателями от лица своих клиентов.
Кибервымогатели не любят, когда в их дела вмешиваются профессиональные переговорщики, поскольку это может привести к снижению прибыли и оттягиванию времени на уплату выкупа, в...
Текущая кампания в первую очередь нацелена на клиентов немецких и австралийских банковских учреждений.
Организаторы новой вредоносной кампании Zloader в ходе кибератак отключают антивирусное решение Microsoft Defender (Защитник Windows) на компьютерных системах жертв во избежание обнаружения.
Злоумышленники также изменили вектор распространения вредоносных программ со спама или фишинговых писем на рекламу TeamViewer с помощью Google Adwords, перенаправляя жертв на вредоносные сайты. Жертв обманом заставляют загружать подписанные вредоносные установщики MSI, предназначенные для установки вредоносных программ Zloader.
По словам исследователей в области кибербезопасности из SentinelLabs, для достижения более высокого уровня скрытности...
Компания Google сформировала обновление Chrome 93.0.4577.82, в котором исправлены 11 уязвимостей, в том числе две проблемы, уже применяемые злоумышленниками в эксплоитах (0-day). Детали пока не раскрываются, известно лишь, что первая уязвимость (CVE-2021-30632) вызвана ошибкой, приводящей к записи за границу буфера в JavaScript-движке V8, а вторая проблема (CVE-2021-30633) присутствует в реализации API Indexed DB и связана с обращением к области памяти после её освобождения (use-after-free).
Среди других уязвимостей: две проблемы, вызванные обращением к памяти после её освобождения в API Selection и Permissions; неправильная обработка типов (Type Confusion) в движке Blink; переполнения буфера в прослойке ANGLE (Almost Native Graphics...
Группа ученых из университетов Австралии, Израиля и США представила side-channel атаку, которая позволяет восстановить данные из Google Chrome и браузеров на базе Chromium, защищенные функцией Site Isolation.
Атака получила название Spook.js (или), что является прямой отсылкой к процессорным уязвимостям Meltdown и Spectre, обнаруженным в 2018 году. Хотя тогда обе атаки были продемонстрированы лишь как концепт, они доказали, что в дизайне современных процессоров существует множество недостатков. В итоге Intel и AMD взяли на себя обязательство изменить будущие конструкции своих ЦП, сделав их более безопасными, а поставщики ПО усилили защиту своих приложений, чтобы усложнить или вовсе предотвратить эксплуатацию подобных багов.
Одной из...
Вымогательская группировка REvil, пропавшая из вида несколько месяцев назад, вернулась к активной деятельности и снова атакует компании. Первые признаки активности группировки появились на прошлой неделе, когда портал REvil в даркнете снова заработал .
REvil появилась на вымогательской сцене в 2019 году и получила широкую известность в связи с атаками на ряд крупных компаний, включая JBS и Kaseya, от которых требовала многомиллионные выкупы за восстановление зашифрованных данных.
Группировка отключила свою web-инфраструктуру после масштабной атаки на американскую компанию Kaseya, затронувшей тысячи предприятий в нескольких странах мира. Вымогатели потребовали от компании $50 млн за универсальный декриптор. В конце июля Kaseya сообщила...
От авторов программ-вымогетелей уже сложно скрыться даже пользователям операционной системы Linux. Например, на днях исследователи отметили нововведения в шифровальщике PYSA (другое имя — Mespinoza), который теперь затачивают под «пингвина». Впервые о PYSA стало известно в декабре 2019 года, тогда специалисты сразу связали его с вредоносом Mespinoza, обнаруженным парой месяцев ранее. Акроним PYSA расшифровывается как ’’Protect Your System Amigo’’ («защищай свою систему, дружище»).
До недавнего времени этот вымогатель атаковал исключительно системы Windows, на которых работали организации сфер образования и здравоохранения, а также государственный сектор. В марте 2021 года ФБР даже выпустило предупреждение о кибератаках операторов...
Новый троян для Android нацелился на криптовалютные кошельки и приложения для онлайн-покупок. Получивший имя S.O.V.A. вредонос также позволяет операторам извлекать персональные данные из заражённых мобильных устройств. Для достижения своих целей «сова» использует целый набор функциональных возможностей: запись нажатия клавиш, наложение окон поверх легитимных программ, взаимодействие с буфером обмена и т. п. Именно так вредонос крадёт учётные данные и подменяет адреса криптокошельков в буфере обмена (при их копировании и вставке).
Более того, в будущем авторы планируют добавить трояну возможность запускать DDoS-атаки, разворачивать шифровальщик и даже перехватывать коды двухфакторной аутентификации. На «сову» обратили внимание...
На этой неделе компания Google опубликовала пакет сентябрьских обновлений для Android. В общей сложности в мобильной ОС устранили 40 уязвимостей, в том числе семь критических.
Первая часть обновлений этого месяца (уровень 2021-09-01) исправила 16 проблем, включая одну критическую ошибку в компоненте Framework. Эта уязвимость имеет идентификатор CVE-2021-0687 и затрагивает Android 8.1, 9, 10 и 11. Разработчики Google пишут, что это один из наиболее серьезных багов этого месяца. Так, он позволял удаленному злоумышленнику провоцировать постоянный отказ в обслуживании с помощью специально подготовленного файла.
Также в компоненте Framework было исправлено шесть других проблем, которые связаны с повышением привилегий и раскрытием...
Российский регулятор намерен вывести защиту пользователей на новый уровень. В этом месяце Роскомнадзор намерен оценить инструменты, имеющиеся в распоряжении ведомства, для блокировки иностранных интернет-протоколов. В частности, речь идёт о DoH, внедряемом Mozilla и Google — он скрывает имя сайта и усложняет блокировку доступа к запрещённым в стране сайтам.
machinemetrics.com
Для сохранения работоспособности сетей в Роскомнадзоре настоятельно советуют компаниям переходить на используемую стране Национальную систему доменных имён (НСДИ), а в начале сентября госкомпании получили от ведомства письма, призывающие проверить собственные информационные системы на использование протоколов, скрывающих имена сайтов.
Речь идёт о DNS-серверах...
Более неподдерживаемая версия IIS 7.0 содержит 17 известных уязвимостей.
Специалисты портала Cybernews обнаружили в Сети более двух миллионов web-серверов, работающих на устаревших и более не поддерживаемых версиях IIS (Internet Information Services).
Microsoft IIS является третьим по популярности web-сервером в мире, на базе которого работает свыше 50 млн интернет-сайтов. Рыночная доля IIS составляет более 12%.
Microsoft поддерживает безопасность свежих версий IIS, регулярно выпуская обновления, патчи или хотфиксы, однако версии IIS 7.5 и ниже компанией уже не поддерживаются и, как и в случае с прочим устаревшим ПО, кишат уязвимостями.
В рамках исследования специалисты просканировали интернет на предмет серверов на базе пяти...
Концепция SSD-Insider++ предусматривает оценку моделей активности накопителей в случае атак шифровальщиков.
Команда ученых из университетов Южной Кореи и США разработали новую технологию, помогающую защитить твердотельные накопители (SSD) от атак программ-вымогателей, путем быстрого обнаружения и отмены шифрования в течение нескольких секунд.
Концепция SSD-Insider++ предусматривает оценку моделей активности накопителей в случае атак шифровальщиков. Вместо программной защиты технология задействует непосредственно сам накопитель – защита обеспечивается на уровне контроллера с помощью специальной прошивки.
По словам авторов исследования, данная идея возникла из-за того, что большинство пользователей не заботятся об установке ПО для...
Microsoft сообщила, что исправила уязвимость в своих службах контейнеров Azure, которая могла быть использована злоумышленником для «доступа к информации клиентов». Неделю назад компания предупредила тысячи компаний о том, что в уязвимость в Azure позволяет злоумышленникам читать, изменять или даже удалять документы из базы данных Cosmos DB Microsoft Azure.
Medium
Экземпляры контейнеров Azure (ACI) представляют собой бессерверную контейнерную среду. Microsoft не привела никаких технических деталей относительно выявленной уязвимости за исключением того, что пользователи должны «отозвать все привилегированные учетные данные, которые были развернуты на платформе до 31 августа 2021 года», и что ротация привилегированных учетных данных...
На этой неделе разработчики Google выпустили ежемесячный набор обновлений для мобильной операционной системы Android. Согласно опубликованной информации, это патчи устраняют 40 уязвимостей, 7 из которых — критические. Одна из самых опасных критических дыр, устранённых в этом месяце, затрагивает системный компонент Framework. Баг получил идентификатор CVE-2021-0687, а с его эксплуатацией могут столкнуться пользователи Android 8.1, 9, 10 и 11. «Самая опасная брешь находится в компоненте Framework и позволяет атакующему удалённо вызвать отказ в обслуживании (DoS).
ПДля эксплуатации нужно создать специальный файл», — пишет сама Google. Ещё шесть уязвимостей в этом же компоненте получили высокую степень риска. Пять из них приводят к...
Российский интернет-гигант Яндекс стал объектом масштабной распределенной атаки типа «отказ в обслуживании» (DDoS), которая началась на прошлой неделе и, как сообщается, продолжается на этой неделе.
В сообщении российских СМИ говорится, что это нападение является крупнейшим за короткую историю российского Интернета, Рунета, и что оно было подтверждено американской компанией.
Рунет - это российский сегмент Интернета, созданный для работы независимо от всемирной паутины. Его цель - поддерживать работоспособность единой общенациональной коммуникационной инфраструктуры в случае кибератаки со стороны иностранного противника.
Услуги и данные не затронуты
Как сообщает русскоязычное издание «Ведомости» со ссылкой на источники в «Яндексе»...
Эксперты Microsoft выпустили предупреждение о новой уязвимости нулевого дня в Microsoft MHTML (он же Trident), проприетарном движке браузера Internet Explorer. Проблема уже используется в реальных атаках на пользователей Office 365 и Office 2019 в Windows 10. Патча пока нет.
Уязвимость получила идентификатор CVE-2021-40444 и затрагивает Windows Server 2008-2019 и Windows 8.1-10 (8,8 баллов из 10 по шкале CVSS). Хотя MHTML в основном использовался для браузера Internet Explorer, этот компонент также применяется в приложениях Office для рендеринга размещенного в интернете контента внутри документов Word, Excel и PowerPoint.
Как объясняют представители Microsoft, при помощи этого бага злоумышленник может создать вредоносный компонент...
Почти две трети интернет- трафика исходит от ботов.
В первой половине 2021 года существенно возрос объем трафика, исходящего от вредоносных ботов, что повлекло рост автоматизированных атак на организации, сообщается в сентябрьском отчете компании Barracuda.
По наблюдениям специалистов, почти две трети (64%) интернет-трафика исходит от ботов, при этом объем вредоносного трафика составляет 40%.
«Хотя некоторые из ботов, такие как поисковые роботы, - хорошие, наше исследование показало, что гораздо большее число ботов предназначены для выполнения вредоносных действий. Эти боты могут нанести серьезный ущерб бизнесу и в конечном итоге привести ко взлому. Поэтом важно быть готовым к обнаружению и блокировке этих атак», - отмечают...
Древнее зло вернулось.
После серии скандальных атак группировка REvil внезапно замолчала в июле этого 2021 г. Теперь часть её ресурсов вновь активизировалась, и пока не ясно, включили ли их сами операторы шифровальщика или кто-то другой.
Древнее зло пробудилось
Шифровальная группировка REvil неожиданно пробудилась: в начале сентября 2021 г. возобновила функционирование ее серверной инфраструктуры, и пока остаётся гадать, с чем это связано.
Группировка REvil, также известная как Sobinokibi, 2 июля 2021 г. совершила одну из самых масштабных кибератак в истории: используя уязвимость нулевого дня в ПО компании Kaseya, REvil смогла разом атаковать несколько десятков сервис-провайдеров, использовавших это ПО, а через них - 1500 других...