WastedLocker сбивает с толку решения для защиты от вымогательского ПО, базирующиеся на анализе поведения.
Появившееся недавно одно из самых опасных семейств вымогательского ПО WastedLocker обязано своим успехом уникальному механизму обхода решений безопасности, в том числе инструментов для блокировки программ-вымогателей.
Вымогательское ПО WastedLocker появилось в мае нынешнего года и входит в арсенал известной киберпреступной группировки Evil Corp, также известной как Dridex. Именно оно использовалось в нашумевшей атаке на компанию Garmin, предположительно заплатившую Evil Corp $10 млн за инструмент для расшифровки файлов.
Исследователи компании Sophos изучили WastedLocker и обнаружили , что для обхода обнаружения вредонос...
Аналитики компании AdGuard выявили в Chrome Web Store 295 вредоносных расширений для браузера Chrome, которые были установлены более 80 000 000 раз.
Большинство опасных расширений маскировались под блокировкщики рекламы и легко находились по таким запросам, как adblock, adguard, ublock, ad blocker и так далее. Также были обнаружены расширения, замаскированные под виджеты прогноза погоды и утилиты для создания скриншотов. При этом на самом деле 245 из 295 расширений не имели никакой полезной для пользователей функциональности и могли лишь поменять настраиваемый фон для новых вкладок в Chrome.
Все эти расширения становились вредоносными не сразу: лишь после получения соответствующей команды с удаленного сервера они загружали...
Защитник Windows начал обнаруживать измененные файлы HOSTS и определять их как угрозу «SettingsModifier: Win32 / HostsFileHijack».
Компания Microsoft с конца июля нынешнего года начала определять файлы HOSTS, блокирующие серверы телеметрии Windows 10, как серьезную угрозу безопасности.
HOSTS представляет собой текстовый файл, содержащий базу данных доменных имен и используемый при их трансляции в сетевые адреса узлов. Запрос к этому файлу имеет приоритет перед обращением к DNS-серверам. В отличие от системы DNS, содержимое файла задается администратором компьютера. Файл расположен по адресу C:\Windows\system32\driver\etc\HOSTS, и редактировать его может только программа с правами администратора.
Данный файл обычно используется для...
Единственный способ, с помощью которого компания могла получить ключ для расшифровки файлов, - заплатить вымогателям.
Американский производитель цифровых устройств для навигации, активного отдыха и занятий спортом, компания Garmin, восстановила свои данные после атаки вымогательского ПО WastedLocker с помощью ключа для дешифровки.
Напомним, 23 июля нынешнего года пользователи по всему миру не могли получить доступ к подключенным сервисам, в том числе к Garmin Connect, flyGarmin, Strava и inReach. Хотя сама компания не раскрыла характер инцидента, согласно публикациям ее сотрудников в соцсетях, Garmin стала жертвой вымогательского ПО WastedLocker, зашифровавшего ее сети и потребовавшего выкуп в размере до $10 млн.
Через несколько дней...
В WordPress-плагине wpDiscuz, который установлен на более чем 80 тысячах сайтов, выявлена опасная уязвимость, позволяющая без аутентификации загрузить любой файл на сервер. В том числе можно загрузить PHP-файлы и добиться выполнения своего кода на сервере. Проблеме подвержены версии с 7.0.0 по 7.0.4 включительно. Уязвимость устранена в выпуске 7.0.5.
Плагин wpDiscuz предоставляет возможность использования AJAX для динамической отправки комментариев без перезагрузки страницы. Уязвимость вызвана недоработкой в коде проверки загружаемых типов файлов, используемом для прикрепления изображений к комментариям. Для ограничения загрузки произвольных файлов вызывалась функция определения MIME-типа по содержимому, которую было легко обойти для...
Причиной включения утилиты CCleaner в список является то, что пробные версии CCleaner поставляются в комплекте с приложениями которые не требуются для функционирования программы CCleaner или производятся тем же издателем Piriform. А именно
Google Chrome
Google Toolbar
Avast Free Antivirus
AVG Antivirus Free
Такое поведение попадает в один из критериев PUA.
CCleaner представляет собой утилиту для удаления "мусорных файлов", "очистки реестра" и "оптимизации производительности Windows", разработанную компанией Piriform. В 2017 году Avast приобрела Piriform, а в 2018 в программу была добавлена функция «мониторинга и сбора данных». Проблема заключалась в том, что данная функция отправляла на серверы Avast различную информацию...
В июне текущего года специалисты предупреждали, что 79 моделей маршрутизаторов Netgear уязвимы перед серьезным багом, который может позволить хакерам удаленно захватить полный контроль над устройством.
Уязвимость затрагивает 758 различных версий прошивки, которые использовались в 79 роутерах Netgear на протяжении многих лет, причем некоторые версии прошивки можно найти на устройствах, выпущенных еще в далеком 2007 году.
Проблема связана с компонентом веб-сервера, который входит в состав прошивок Netgear. Данный веб-сервер используется для обеспечения работы встроенной панели администрирования. Как оказалось, сервер некорректно проверяет вводимые пользователем данные, не использует canary's куки для защиты памяти, а бинарник сервера...
На этой неделе ИБ-эксперт Нил Кравец (Neal Krawetz), который сам управляет несколькими узлами Tor, обнародовал детали двух уязвимостей нулевого дня, затрагивающих саму сеть Tor и Tor Browser.
Исследователь говорит, что разработчики Tor уже не раз отказывались исправлять найденные им проблемы, поэтому он решил придать уязвимости огласке. Хуже того, Кравец обещает обнародовать информацию еще о трех 0-day багах в ближайшее время, и одна из них может использоваться для раскрытия реальных IP-адресов серверов Tor.
Первую 0-day проблему специалист описал в своем блоге 23 июля 2020 года. В этой статье он рассказал, как компании и интернет-провайдеры могут блокировать подключение пользователей к сети Tor. Для этого требуется лишь сканировать...
Эксперты компании Check Point подвели итоги первых шести месяцев 2020 года и представили отчет о самых активных киберугрозах первого полугодия. Отчет гласит, что в среднем на одну компанию в России приходилось 570 атак в неделю, причем среднее по миру число атак на одну организацию составило 474.
Динамика изменения среднего числа атак на организации в неделю в России и в мире за первое полугодие 2020 года
Исследователи рассказывают, что мошенники активно использовали пандемию и связанные с ней темы для развертывания атак. Так, в первом полугодии ландшафт киберугроз выглядел следующим образом.
Атаки на облачную среду. Масштабы облачных атак продолжают расти, при этом неправильная конфигурация облачных ресурсов по-прежнему является...
В загрузчике GRUB2 выявлено 8 уязвимостей. Наиболее опасная проблема (CVE-2020-10713), которой присвоено кодовое имя BootHole, даёт возможность обойти механизм UEFI Secure Boot и добиться установки неверифицированного вредоносного ПО. Особенностью данной уязвимости является то, что для её устранения не достаточно обновить GRUB2, так как атакующий может использовать загрузочный носитель со старой уязвимой версией, заверенной цифровой подписью. Атакующий может скомпрометировать процесс верификации не только Linux, но и других операционных систем, включая Windows.
Проблема решается только обновлением в системе списка отозванных сертификатов (dbx, UEFI Revocation List), но в этом случае будет потеряна возможность использования старых...
Ранее в этом месяце ботнет Emotet, не подававший «признаков жизни» с февраля 2020 года, вернулся в строй с новой спам-кампанией. Понаблюдав за малварью, ИБ-специалисты сообщили, что ботнет сменил основную полезную нагрузку и теперь распространяет банковский троян QakBot (QBot), который пришел на смену обычному для ботнета TrickBot. Хотя работу ботнета пытаются саботировать неизвестные "доброжелатели", подменяя пейлоады фалами GIF, Emotet все же стал одной из самых активных угроз последних недель.
TOP10 last week's threats by uploads
#Emotet 1371 (315)
#njRAT 150 (146)
#AgentTesla 118 (176)
#FormBook 105 (121)
#NanoCore 75 (84)
#AsyncRAT 61 (49)
#LokiBot 57 (67)
#Qealler 55 (106)
#Masslogger 44 (38)
#Remcos 42 (68)
Malware...
Специалисты «Лаборатории Касперского» сообщают, что северокорейская хакерская группа Lazarus (она же HIDDEN COBRA, Guardians of Peace, ZINC, NICKEL ACADEMY и APT38) начала использовать новое вымогательское ПО, получившее имя VHD.
С точки зрения функциональности VHD представляет вполне стандартный шифровальщик-вымогатель. Он перебирает все подключенные к компьютеру жертвы диски, шифрует файлы, удаляет все встреченные папки System Volume Information (чем пытается саботировать механизм восстановления данных из точек восстановления Windows). Кроме того, ведонос умеет останавливать процессы, которые потенциально могут защищать важные файлы от модификации (такие как Microsoft Exchange или SQL Server).
Эксперты исследовали два инцидента...
Киберпреступная группировка Ngrok использует троян Doki в криптомайнинговых операциях.
Времена, когда вредоносного ПО для Linux практически не существовало, давно канули в Лету. В настоящее время сообщения об угрозах для Linux появляются почти каждую неделю. К примеру, недавно специалисты ИБ-компании Intezer Labs представили подробный анализ нового трояна Doki, которым обзавелась хорошо известная киберпреступная группировка Ngrok, специализирующаяся на майнинге криптовалюты.
Группировка, активная с 2018 года, получила свое название из-за первоначального использования сервиса Ngrok для хостинга своих C&C-серверов. Однако, по данным Intezer Labs, в нынешнем году она изменила тактику и теперь атакует установки Docker, где хранятся...
Все смартфоны с Apple, начиная с iPhone 5S и заканчивая iPhone X, могут быть взломаны из-за таящейся в них аппаратной уязвимости, которую невозможно пропатчить. Проблема касается также и планшетов iPad, построенных на процессорах от А7 до А11. В новых модели смартфонов и планшетов подобная «дыра» отсутствует.
Глобальная проблема iPhone
В смартфонах iPhone компании Apple выявлена новая уязвимость, угрожающая сохранности персональных данных их владельцев. «Дыру» обнаружили специалисты китайской команды разработчиков Pangu, и ее невозможно устранить путем выпуска патча к прошивке.
Эксперты Pangu отмечают, что для взлома смартфонов и планшетов Apple используется эксплойт Checkm8, который также применялся для джейлбрейка ряда версий iOS...
Google якобы ввела в заблуждение своих пользователей ради финансовой выгоды.
Австралийская комиссия по вопросам конкуренции и защиты потребителей (ACCC) подала в суд на компанию Google, поскольку техногигант расширил использование персональных данных потребителей для показа рекламы на сайтах без явного их согласия.
«Данные о деятельности пользователей, не принадлежащих Google, были связаны с их именами и другой идентификационной информацией, хранящейся в Google. Ранее эта информация хранилась отдельно от учетных записей пользователей Google», — сообщили представители ACCC.
С 28 июня 2016 года по декабрь 2018 года владельцам учетных записей Google было предложено нажать «Я согласен» на всплывающее уведомление от Google, которое якобы...
Неизвестный хакер-мститель саботирует работу крупного ботнета Emotet, заменяя полезную нагрузку анимированными GIF-файлами — и таким образом эффективно предотвращая заражение жертв, пишет ZDNet.
На сегодняшний день Emotet считается самым крупным и опасным ботнетом в Сети. Он молчал в течение пяти месяцев, но возобновил активность на прошлой неделе. Но лёгкой жизни бандитам никто не обещал.
Саботаж системы начался 21 июля, а через несколько дней превратился из простой шутки в серьёзную проблему, которая затронула значительную часть операций ботнета.
Активность Emotet отслеживает группа из более 20 добропорядочных хакеров Cryptolaemus. Ежедневные обновления публикуются на официальном сайте и в твиттере.
По их данным, некий «народный...
Интернет-издание The Verge, ссылаясь на информацию, полученную от пользователей iOS 14, сообщает, что приложение Instagram пользуется доступом к камере смартфона даже тогда, когда пользователь просто просматривает ленту приложения. Владельцы смартфонов с новой версией ОС заметили, что зелёный индикатор работы камеры отображается даже тогда, когда не происходит съёмка фото или запись видео.
macrumors.com
Представители Instagram утверждают, что суть проблемы заключается в ошибке программного обеспечения, и приложение на самом деле не имеет доступа к камере или микрофону смартфона, когда пользователь сам не инициирует такую активность. Но всё же этот баг может стать как минимум тревожным звоночком для ряда пользователей, которые...
В Nginx пробита дыра, которую не заметил ни один антивирус
24.07.2020
Китайские исследователи выявили бэкдор для Nginx, использовавший модифицированный код оригинала. Прямых подтверждений этот вредонос получил очень мало. Теперь его видят как минимум девять антивирусов. Изначально не видел ни один.
Бэкдор-лабиринт
Исследователи обнаружили бэкдор для веб-сервера Nginx, который до недавнего времени не обнаруживал ни один антивирус. Эксперты китайской компании Anheng Threat Intelligence Center загрузили подозрительный файл на VirusTotal, и ни один защитный движок на тот момент не заметил ничего подозрительного.
Позднее стало ясно, что кто-то модифицировал функцию ngx_http_header_filter в оригинальном Nginx. Судя по приведенным...
Компания Garmin, производящая «умные» часы и GPS-навигаторы, была вынуждена временно приостановить рабочий процесс, поскольку внутренняя сеть и некоторые системы производства подверглись атаке шифровальщика.
Чтобы справиться с последствиями инцидента, Garmin планировала взять паузу в несколько дней. Компания сразу предупредила, что в этот период официальный сайт будет недоступен для посетителей.
Согласно официальному аккаунту Garmin в Twitter, киберпреступники добились сбоя в работе кол-центров, из-за чего компания не могла отвечать на звонки, электронные письма и текстовые сообщения в чатах.
Инцидент крайне негативно сказался на клиентах, полагающихся на сервис Garmin Connect, который помогает им синхронизировать данные своей...
Group-IB раскрыла главных бенефициаров пиратских онлайн-кинотеатров и сервисов спортивного стриминга
Компания Group-IB, работающая в сфере информационной безопасности, опубликовала отчёт по итогам собственного расследования, в ходе которого были установлены главные бенефициары пиратских онлайн-кинотеатров и сервисов спортивного стриминга. Специалисты выяснили, что пиратская индустрия активно финансируется онлайн-казино Lucky Partners, Welcome Partners, букмекерской конторой 1xBet и поддерживается хостерами «Многобайт» и «ДДОС-ГВАРД».
В отчёте отмечается, что территориально многие бенефициары пиратского бизнеса находятся на Украине. Они осуществляют финансовые переводы через российские банки и платёжные системы, не кодируя платежи. Лидеры рынка незаконных онлайн-казино и букмекерские конторы спонсируют пиратскую деятельность на всех...