Когда Intel SGX обнаруживает, что на нужный криптовалютный адрес был отправлен выкуп, ключи шифрования автоматически извлекаются.
Команда специалистов Лондонского университета разработала экспериментальный образец вымогательского ПО RansomClave, использующий для сокрытия и хранения ключей шифрования высокозащищенные анклавы Intel SGX.
«Жизненный цикл типичной атаки вымогательского ПО проходит через четыре основные фазы: инсталляция, создание уникального открытого/закрытого ключа шифрования, шифрование (с помощью симметричных ключей) и вымогательство/выпуск закрытого ключа. Для успеха операции созданный во второй фазе закрытый ключ должен надежно храниться и быть выпущен только в конце последней фазы, после уплаты жертвой выкупа», -...
Вероятно, вдохновленный бандой вымогателей LockBit, нигерийский злоумышленник попытал счастья с помощью платежной приманки на 1 миллион долларов, чтобы нанять инсайдера, который взорвал полезную нагрузку вымогателя на серверах компании.
Этот план имел неприятные последствия, когда мошенник выбрал не ту цель, раскрывая свою технику, а также отсутствие опыта и навыков разведки.
Предложение на миллион долларов
Множественные сообщения, отправленные в почтовые ящики, защищенные облачной платформой безопасности электронной почты Abnormal Security, привлекли внимание исследователей из-за предложения отправителя для получателя: выплаты в размере 1 миллиона долларов за развертывание программы-вымогателя в сети.
Demonware (также известное как...
Через уязвимости в IE и Edge хакеры заражают системы жертв вымогательским ПО BLUELIGHT.
Исследователи безопасности ИБ-компании Volexity зафиксировали атаки известной северокорейской хакерской группировки на ограниченный круг жертв с использованием эксплоитов для уязвимостей в web-браузере и нового вредоносного ПО.
Хакерская группировка под названием InkySquid сумела взломать новый сайт в Южной Корее и внедрить в него вредоносный код. Данный эксплоит используется с 2020 года в атаках на браузер Internet Explorer с целью загрузки обфусцированного Javascript-кода, скрытого внутри легитимного кода.
Вышеописанная техника также использовалась для атак на пользователей устаревшего браузера Edge первого поколения, но через более новую...
Google удалила восемь мошеннических Android-приложений из официального магазина Play Store, которые маскировались под софт для добычи криптовалюты. На деле же эти программы подписывали пользователей на платные сервисы и осуществляли другую злонамеренную активность.
Несмотря на удаление этих приложений, исследователи из Trend Micro обнаружили интересный момент в Google Play Store: если искать там ключевым словам «cloud mining», в результатах выдаются весьма подозрительные программы.
Авторы фейковых приложений выбрали себе в жертвы отдельную категорию пользователей, интересующихся добычей цифровой валюты. Таким людям предлагали вложить деньги в облачный майнинг.
Все восемь программ, удалённых из официального магазина, содержали...
В этом месяце в сеть просочились обучающие материалы, используемые филиалами Conti по программам-вымогателям, что позволяет изнутри взглянуть на то, как злоумышленники злоупотребляют законным программным обеспечением и ищут полисы киберстрахования.
Ранее в этом месяце недовольный партнер опубликовал на хакерском форуме IP-адреса серверов Cobalt Strike C2, используемых бандой, и архив размером 113 МБ, содержащий обучающие материалы для проведения атак с использованием программ-вымогателей.
Сообщение на форуме от недовольного партнера
Используя этот просочившийся учебный материал, исследователи безопасности, сетевые администраторы и специалисты по реагированию на инциденты могут лучше реагировать на атаки и быстро находить общие...
В кампании вредоносного ПО используется умная подсказка с вводом кода, чтобы обманом заставить пользователей обойти предупреждения браузеров о загрузке банковского трояна Gozi (также известного как Ursnif).
Вчера исследователь безопасности MalwareHunterTeam поделился с BleepingComputer подозрительным URL-адресом, который загружает файл при попытке просмотреть встроенное видео YouTube о женской тюрьме в Нью-Джерси.
Встроенное YouTube-видео на вредоносный сайт
Источник: BleepingComputer
Когда вы нажимаете кнопку воспроизведения, браузер загружает файл с именем console-play.exe [ VirusTotal ], а сайт отображает на экране поддельное изображение reCaptcha.
Поскольку этот файл является исполняемым, Google Chrome автоматически...
Китайские правительственные хакеры используют уязвимости 58 популярных в стране веб-сайтов для слежки за их посетителями. К такому выводу пришёл исследователь, известный под ником Imp0rtp3, который и рассказал о схеме веб-атак с использованием 57 популярных в Поднебесной интернет-платформ и сайта американской газеты New York Times.
Изображение: The Record
Сложный шпионский инструмент получил название Tetris. Согласно имеющимся данным, он использует легитимные функции браузера в попытках фиксировать нажатые пользователем клавиши, при сборе информации об используемой операционной системе, геолокационные данные, а также при попытках делать снимки через веб-камеру. Отмечается, что эта техника не такая скрытная, как использование...
Операторы нового ботнета в ходе атак эксплуатируют более 20 уязвимостей в различном ПО.
Операторы нового ботнета под названием HolesWarm эксплуатируют более 20 уязвимостей для взлома Windows- и Linux-серверов с целью последующей установки вредоносного ПО для майнинга криптовалюты.
Согласно отчету ИБ-специалистов из компании Tencent, атаки в основном были зафиксированы по всему Китаю, но в ближайшие месяцы преступники предположительно начнут взламывать системы по всему миру.
Операторы ботнета эксплуатируют уязвимости в таком программном обеспечении, как Docker, Jenkins, Apache Tomcat, Apache Struts, Apache Shiro, Apache Hadoop Yarn, Oracle WebLogic ( CVE-2020-14882 ), Spring Boot, Zhiyuan OA, UFIDA, Panwei OA и Yonyou GRP-U8.
Хотя...
В процессе тестирования разработчик заразил вредоносом тестовый компьютер, и данные о нем были пойманы ИБ-платформой.
Разработчик вредоносного ПО «выпустил на волю» свое творение на своем же компьютере с целью протестировать новые функции, и в итоге оно было «поймано» ИБ-платформой для мониторинга взломанных систем.
Речь идет об инфостилере Raccoon, способном похищать данные из десятков приложений и приобретшем большую популярность за последние два года.
В процессе тестирования нового варианта Raccoon разработчик заразил им свой тестовый компьютер, в результате чего собранные им данные сразу же отправились на C&C-сервер, а затем на киберпреступные форумы.
Зараженный Raccoon тестовый компьютера был обнаружен с помощью платформы...
Apple будет удаленно взламывать iPhone пользователей без их на то согласия в угоду силовикам, если те предоставят ей судебный ордер. Это затронет устройства с прошивкой до iOS 7 включительно, коих сейчас насчитывается в пределах 1 млн. Не исключено, что в будущем нововведение распространится и на мобильники с более свежими версиями iOS.
Apple забыла про приватность
Компания Apple радикально изменила свое отношение к взлому смартфонов iPhone правоохранительными органами. Как пишет Wired, теперь она не просто не возражает против вторжения силовиков в личное пространство людей – она еще и может удаленно разблокировать чей-нибудь iPhone в обмен на обычный судебный ордер.
Информация о готовности идти навстречу силовикам изложена в...
Эксперты Microsoft рассказали о вредоносной кампании, которая длится уже около года. По их данным, хакеры меняют механизмы обфускации и шифрования в среднем каждые 37 дней, в том числе используют азбуку Морзе, чтобы скрыть свои следы и воровать учетные данные пользователей.
Как правило приманки фишеров замаскированы под счета-фактуры, связанные с финансовыми бизнес-операциями, а письма содержат файл HTML («XLS.HTML»). Конечная цель злоумышленников — собрать учетные данные пользователей, которые впоследствии используются в качестве отправной точки для атак.
Фишинговое письмо
Microsoft сравнивает эту кампанию со сложным паззлом, отмечая, что отдельные части HTML-файлов выглядят безобидными и ускользают от защитных продуктов, но затем...
Уязвимости в модуле Realtek RTL819xD затрагивают сотни тысяч устройств от таких производителей, как AsusTEK, Belkin, D-Link, Edimax, Hama, Netgear и т. п. С их помощью атакующие могут получить полный доступ к девайсу и операционной системе.
Проблемы в безопасности выявила команда исследователей из IoT Inspector: «Мы обнаружили и проанализировали уязвимости, создающие риски для сотен тысяч устройств. Само собой, Realtek сразу же получила всю информацию о проблеме, что позволило оперативно выпустить соответствующий патч».
«Производителям, использующим уязвимые модули Wi-Fi, настоятельно рекомендуется предоставить пользователям возможность установить необходимые заплатки».
Для успешной эксплуатации подобной уязвимости...
Операторы SynAck выложили ключи для расшифровки файлов своих жертв Екатерина Быстрова 13 августа 2021 - 16:09 Домашние пользователиВирусы-вымогателиВирусы-шифровальщики Киберпреступная группировка El_Cometa, ранее известная как SynAck опубликовала мастер-ключ, подходящий для расшифровки файлов жертв, системы которых были атакованы в период между июлем 2017 года и началом 2021-го. О ключах сообщило неизвестное лицо, представившееся одним из участников группы SynAck.
Напомним, что эта группа стояла за распространением одноимённой программы-вымогателя. Исследователь вредоносных программ Майкл Гиллеспи, работающий в компании Emsisoft, подтвердил подлинность слитых ключей дешифровки. Гиллеспи рассказал изданию The Record, что ему удалось...
Специалисты по кибербезопасности зафиксировали активность нового вируса в мессенджере Telegram.
Пользователи мессенджера Telegram могут столкнуться с последствиями нового опасного вируса. Известно, что троян удаленного доступа FatalRAT не только крадет данные россиян, но и поражает систему безопасности устройства, на котором установлен мессенджер.
Специалисты по кибербезопасности компании AT&T рассказали о новом трояне особого типа, который распространяет каналах фейковые новости.
Вредоносная программа проводит атаки дистанционно и распространяется внутри каналов и чатов.
Троян FatalRAT спрятан в гиперссылках, по которым могут пройти потенциальные жертвы. С целью повышения доверия к вредоносной ссылке киберпреступники завлекают жертв...
Преступники также устанавливают на системы мессенджер Telegram для передачи командных сообщений.
Специалисты из компании Splunk сообщили о возобновлении активности операторов ботнета Crypto. Киберпреступники атакуют виртуальные серверы под управлением Windows Server внутри Amazon Web Services с включенным протоколом удаленного рабочего стола (RDP).
После обнаружения уязвимых виртуальных машин злоумышленники осуществляют брутфорс-атаку. В случае успеха хакеры устанавливают инструменты для майнинга криптовалюты Monero.
По словам экспертов, преступники также устанавливают на системы мессенджер Telegram для передачи командных сообщений.
Один из криптовалютных кошельков Monero, используемых в текущей кампании, также был обнаружен в ходе...
В сети был опубликован PoC-эксплоит для опасной уязвимости в Windows Print Spooler (spoolsv.exe). Этот баг имеет идентификатор CVE-2021-1675 или носит имя PrintNightmare. Он был исправлен Microsoft всего пару недель назад, в рамках июньского «вторника обновлений».
Служба Windows Print Spooler является универсальным интерфейсом между ОС, приложениями и локальными или сетевыми принтерами, позволяя разработчикам приложений отправлять задания на печать. Эта служба присутствует в составе Windows с 90-х годов и печально известна благодаря огромному количеству связанных с ней проблем. В частности, с Windows Print Spooler были связаны такие уязвимости, как PrintDemon, FaxHell, Evil Printer, CVE-2020-1337 и даже ряд 0-day багов, которые...
Microsoft подтвердила подписание вредоносного драйвера, распространяемого в игровых средах.
Этот драйвер, названный «Netfilter», на самом деле является руткитом, который, как было замечено, обменивался данными с китайскими IP-адресами управления и контроля (C2).
Аналитик вредоносного ПО G Data Карстен Хан впервые обратил внимание на это событие на прошлой неделе, и к нему присоединилась более широкая информационная служба. Сообщество по отслеживанию и анализу вредоносных драйверов с печатью Microsoft.
Этот инцидент в очередной раз выявил угрозы безопасности цепочки поставок программного обеспечения, но на этот раз он возник из-за слабости процесса подписи кода Microsoft.
Драйвер "Netfilter" - руткит, подписанный Microsoft.
На прошлой...
Новая атака отличается от других состязательных атак тем, что только маскирует изображенного на фото человека, а не превращает его в кого-то другого.
Специалисты израильской компании Adversa AI, занимающейся разработкой технологий искусственного интеллекта (ИИ), представили новый метод обмана систем распознавания лиц путем добавления на фотографии так называемого шума. Этот шум представляет собой крошечные частички данных, которые невозможно увидеть невооруженным глазом, но которых вполне достаточно для того, чтобы заставить систему распознавания лиц поверить, будто на фото изображен другой человек. В частности, исследователи продемонстрировали, как им удалось заставить систему распознавания лиц PimEyes принять руководителя Adversa...
Создатели криптобиржи Africrypt из ЮАР растворились в воздухе, прихватив биткоины пользователей почти на $2,3 млрд. Их местонахождение неизвестно, их ищут бойцы элитного подразделения полиции ЮАР. За несколько месяцев до этого аналогичную аферу провернул владелец турецкой биржи Thodex, его тоже не могут найти, как и украденные им деньги.
Криптомошенничество по-африкански
Основатели южноафриканской криптовалютной биржи Africrypt пропали без вести. Как пишет Bloomberg, вместе с ними исчезли и десятки тысяч биткоинов, принадлежащих пользователям биржи.
За Africrypt стоят два брата из Южноафриканской республики (ЮАР) Амир и Раис Каджи (Ameer и Raees Cajee). На момент публикации материала их местоположение оставалось неизвестным. Они...
Google устанавливает на смартфоны пользователей программу MassNotify для отслеживания контактов с больными коронавирусом. Делает она это без разрешения и уведомлений, а само приложение скрывается под совершенно другим названием, что мешает ее поиску и удалению из системы.
Шпионское ПО Google
Корпорацию Google уличили в принудительной установке на Android-смартфоны приложения MassNotify. Эта утилита нужна для предупреждения владельцев гаджетов, что те могли заразиться коронавирусом из-за находящегося рядом с ними инфицированного человека.
Как пишет The Verge, приложение MassNotify создавалось для жителей штата Массачусетс (США). Google устанавливает его без согласия пользователей и в фоновом режиме.
После попадания в память устройства...