Специалисты BlackBerry изучили LokiLocker — шифровальщика для Windows, предоставляемого в пользование в качестве услуги (Ransomware-as-a-Service, RaaS). Исследование подтвердило, что зловред обладает функциями вайпера, которые он пускает в ход, когда оператор выберет соответствующую опцию.
В рамках этой функциональности LokiLocker стирает все несистемные файлы и перезаписывает MBR на диске, а также пытается вызвать «синий экран смерти» (BSoD). Созданный на основе вредоноса RaaS-сервис работает с ограниченным доступом: воспользоваться им могут только проверенные лица — таких партнеров на настоящий момент выявлено около 30.
Активность LokiLocker (не путать с шифровальщиком Locky из арсенала Evil Corp и инфостилером LokiBot)...
19 марта, 2022
Один модуль может генерировать и атаковать сотни тысяч частных и общедоступных IP-адресов в день.
Вредоносное ПО под названием DirtyMoe получило новые возможности червеобразного распространения, которые позволяют ему расширять свою сферу действия, не требуя какого-либо взаимодействия с пользователем.
«Модуль использует старые известные уязвимости, например, EternalBlue и уязвимость повышения привилегий Windows Hot Potato. Один червеобразный модуль может генерировать и атаковать сотни тысяч частных и общедоступных IP-адресов в день. Многие компании подвержены рискам атак, поскольку все еще используют непропатченные системы или ненадежные пароли», — сказал специалист Мартин Хлумецки (Martin Chlumecky) из Avast.
Ботнет...
17 марта 2022 г.
В этом месяце разработчик популярного пакета npm «node-ipc» выпустил саботированные версии библиотеки в знак протеста против продолжающейся русско-украинской войны.
Более новые версии пакета node-ipc начали удалять все данные и перезаписывать все файлы на машинах разработчиков, а также создавать новые текстовые файлы с сообщениями «мир».
Node-ipc загружается более миллиона раз в неделю и является важным пакетом, используемым основными библиотеками, такими как Vue.js CLI.
Protestware: продолжающийся кризис в Украине просачивается в открытый исходный код
Некоторые версии (10.1.1 и 10.1.2) широко популярного пакета node-ipc содержали вредоносный код, который перезаписывал или удалял произвольные файлы в системе для...
17.03.22
Исследователи из компании Bulletproof выяснили, что чаще всего хакеры получают доступ к серверам с одними и теми же широко распространенными паролями, которые часто используются по умолчанию. При этом, как правило, компрометируются учетные данные устройств под управлением Raspberry Pi и Linux.
В Bulletproof отметили, что в настоящее время 70% всей интернет-активности приходится на трафик ботов. При этом хакеры, как правило, применяют автоматизированные методы атак, и учетные данные по умолчанию являются наиболее распространенными паролями, используемыми киберпреступниками.
В Сети обнаружено более 200 тысяч систем под управлением стандартной ОС Raspberry Pi. Аналогичная проблема касается и систем под управлением Linux...
17.03.2022
Вчера обеспечивающее киберзащиту приложение Microsoft Defender for Endpoint начало распознавать обновления для пакета Office как программу-вымогателя. Антивирус ошибочно принимал файл OfficeSvcMgr.exe за вредоносное ПО.
Источник изображения: Microsoft
Проблема обнаружилась, когда системные администраторы начали получать уведомления о попытке внедрения вымогательского ПО после обновления антивируса Microsoft Defender for Endpoint. Как только количество жалоб достигло определённого предела, в Microsoft начали работать над устранением сбоя и подтвердили, что речь идёт о «ложно-положительной» реакции.
Представитель компании Стив Шольц (Steve Scholz), обрисовал проблему в одном из тредов Reddit, рассказав, что с утра 16...
Домашние пользователиКорпорацииAndroidЭксплойтыУязвимости программ Исследователи в области кибербезопасности использовали критическую уязвимость Linux, известную под именем Dirty Pipe, для получения полных root-прав на двух моделях Android-смартфонов: Pixel 6 Pro и Samsung S22.
Таким способом, по словам специалистов, они продемонстрировали мощь эксплуатации Dirty Pipe в реальном сценарии. Почему эксперты взяли именно эти две модели смартфонов? Только на них можно запустить единственную уязвимую версию Android с ядром Linux версии 5.10.43.
Если условная вредоносная программа сможет грамотно задействовать Dirty Pipe, как показали исследователи, её операторам удастся незаметно красть учётные данные, фотографии, файлы, читать...
15 марта, 2022
По словам экспертов, «Лаборатория Касперского» может быть причастна к хакерским атакам.
Немецкое агентство кибербезопасности BSI призвало потребителей не использовать антивирусное программное обеспечение, созданное российской «Лабораторией Касперского». Как предупредили в агентстве, фирма может быть причастна к хакерским атакам.
«Российский IT-производитель может сам проводить наступательные операции, может быть вынужден атаковать целевые системы против своей воли, стать жертвой кибероперации без его ведома или быть неправомерно использованным в качестве инструмента для атак на собственных клиентов», — сообщили в BSI.
По словам специалистов, компании и операторы критической инфраструктуры особенно уязвимы, но простые...
15 марта, 2022
Эксперты предупреждают о «волновом эффекте», способном повредить западным предприятиям.
Эксперты высказывают смешанные предупреждения о безопасности после ухода Microsoft и других технологических гигантов из России: некоторые преуменьшают влияние на простых граждан, а другие предсказывают возвращение к «ручке и бумаге». Более тревожно и другое - эксперты предупреждают о «волновом эффекте», способном повредить западным предприятиям дальше по цепочке цифровых поставок.
По словам Шмулика Йехезкеля, аналитика по кибербезопасности из компании CYE, уход крупных компаний приведет к тому, что "все системы на базе Microsoft будут потенциально подвержены будущим атакам, поскольку они не смогут загружать обновления и...
14 марта 2022
Недавно обнаруженное вредоносное ПО, уничтожающее данные, было замечено ранее сегодня в атаках на украинские организации и удалении данных из систем в скомпрометированных сетях.
«Эта новая вредоносная программа стирает пользовательские данные и информацию о разделах с подключенных дисков», — пояснили в исследовательской лаборатории ESET .
«Телеметрия ESET показывает, что она была замечена на нескольких десятках систем в ограниченном числе организаций».
Хотя CaddyWiper предназначен для стирания данных в доменах Windows, на которых он развернут, он будет использовать функцию DsRoleGetPrimaryDomainInformation(), чтобы проверить, является ли устройство контроллером домена. Если это так, данные на контроллере домена не...
14.03.22
Эксперты обнаружили связь между Shamoon и Kwampirs благодаря ранее незамеченным компонентам.
Специалисты компании Cylera Labs обнаружили общие черты в исходном коде и техниках, используемых операторами вредоносного ПО Shamoon и Kwampirs, свидетельствующие о том, что они принадлежат к одной и той же группировке или очень тесно сотрудничают.
«Обнаруженные в ходе исследования факты свидетельствуют об обоюдной эволюции вредоносных семейств Shamoon и Kwampirs в известный промежуток времени. Поскольку Kwampirs базируется на оригинальном Shamoon, а код Shamoon 2 и 3 базируется на Kwampirs, […] значит, авторы Kwampirs потенциально могут быть авторами Shamoon или иметь с ними тесные связи, как мы это видели в течение известного...
14 марта, 2022
Хакеры отключили модемы, связанные со спутником KA-SAT компании Viasat, который обеспечивает доступ в интернет.
Западные спецслужбы расследуют кибератаку неизвестных хакеров, которые нарушили широкополосный спутниковый доступ к интернету в Украине. Аналитики из Агентства национальной безопасности США, французской правительственной организации по кибербезопасности ANSSI и украинской разведки пытаются выяснить, был ли дистанционный саботаж услуг провайдера спутникового интернета работой российских хакеров.
Кибератака на спутниковую службу началась утром 24 февраля нынешнего года, как раз во время начала боевых действий на территории страны.
Последствия кибератаки все еще расследуются, но спутниковые модемы...
14.03.2022 ,
В течение нескольких лет компания TP-Link, выпускающая сетевое оборудование, сотрудничает с Avira для обеспечения безопасности продуктов вроде Wi-Fi роутеров. Функции HomeCare и HomeShield призваны защитить пользователей от кибератак и других угроз, но, похоже, сотрудничество компаний предполагало передачу и пользовательских данных компании Avira.
Источник изображения: TP-Link
Как сообщил пользователь Reddit под ником ArmoredCavalry, только за сутки его роутер TP-Link Archer AX3000 передал огромное количество данных на серверы Avira SafeThings (*.safethings.avira.com), всего за 24 часа зарегистрировано более 80 000 обращений преимущественно к этим платформам, а также другим сервисам.
SafeThings представляет собой...
Некоторые смарт-контракты содержат слабые места в кибербезопасности, подвергающие пользователей рискам кибератак.
С момента появления NFT-токенов в данной сфере возникло несколько проблем, из-за которых многие люди были обеспокоены кибербезопасностью смарт-контрактов.
В первую очередь киберпреступники часто пытаются использовать уязвимости в смарт-контрактах для обхода ограничений, связанных с продажей токенов. Одним из наиболее ярких примеров является продажа токенов Adidas NFT. Пока шла распродажа, злоумышленнику удалось обойти ограничение на максимальное количество приобретаемых токенов для кошелька. В результате хакеру удалось купить 330 NFT, навсегда нарушив успешную дебютную коллекцию Adidas NFT Into the Metaverse.
Следующая...
Оперировать скомпрометированной информацией киберпреступники пытаются последние три дня. Как отметили в компании Infosecurity, которую цитирует «КоммерсантЪ», неизвестные слили данные более 100 тыс. карт на безвозмездной основе.
Известный специалист Ашот Оганесян заявил, что в последние несколько дней ему попалось как минимум одно предложение о продаже утёкших сведений. Позже соответствующее объявление на форуме, которое разместил англоязычный пользователь, было удалено за нарушение правил площадки.
Представитель компании RTM Group Евгений Царев подчеркнул, что попытки списать средства россиян наблюдаются с 26 февраля, а сами утечки произошли гораздо раньше. На фоне возможной потери денег клиентов российские банки начали усиливать...
VPN-провайдер TorGuard в этом месяце достиг судебного соглашения с более чем двумя десятками киностудий, которые подали в суд на компанию за поощрение пиратства и нарушение авторских прав.
В соглашении TorGuard согласился заблокировать трафик BitTorrent для своих пользователей.
TorGuard VPN для блокировки торрентов с помощью брандмауэра
В прошлом году более двух десятков киностудий подали в суд на TorGuard , утверждая, что провайдер VPN не ведет журналы и поощряет онлайн-пиратство своими маркетинговыми усилиями.
Та же группа истцов ранее требовала 10 миллионов долларов в качестве «ущерба» от другого провайдера VPN без логов, LiquidVPN.
Согласно судебным документам, полученным BleepingComputer, как киностудии, так и VPNNetworks, LLC...
Ботнет Emotet, возобновивший активность в конце 2021 года, по-прежнему продолжает медленно развиваться. По данным исследователей, к настоящему времени он заразил более 130 000 устройств в 179 странах мира.
Напомню, что в январе прошлого года Европол, ФБР и правоохранительные органы многих стран мира, включая Канаду, Нидерланды, Францию, Германию, Литву, Великобританию и Украину, провели масштабную скоординированную операцию по ликвидации Emotet, подготовка к которой длилась два года. Тогда правоохранителям удалось захватить контроль над инфраструктурой ботнета, нарушив ее работу. В итоге преступники лишились возможности использовать взломанные машины, а малварь прекратила распространяться на новые цели.
Однако в конце 2021 года...
Вредонос собирает широкий спектр информации профиля с зараженных систем и отправляет сведения на командный сервер.
Операторы вредоносного ПО Qakbot (также известного как QBot, QuackBot и Pinkslipbot) изменили свою тактику и теперь перехватываю т переписки электронной почты для загрузки вредоносных DLL-библиотек и внедрения в web-страницы кода для кражи паролей.
Как сообщили специалисты из компании Sophos, вредонос собирает широкий спектр информации профиля с зараженных систем, включая сведения о всех настроенных учетных записях пользователей, разрешениях, установленном программном обеспечении, запущенных службах и пр.
Qakbot — модульный многоцелевой ботнет, распространяемый по электронной почте, который становится все более...
Вымогатель RagnarLocker заразил как минимум 52 организации КИ в США
15:04 / 10 марта, 2022
вымогательское ПОRagnarLocker
ФБРкритическая инфраструктураСША
ФБР настоятельно просит жертв вымогателей сообщать о кибератаках и не платить выкуп.
Кибервымогательская группировка RagnarLocker уже заразила как минимум 52 организации критической инфраструктуры в США, в частности в сфере производства, электроэнергетики, финансов, информационных технологий, а также правительственные организации. Об этом сообщается в опубликованном на днях новом уведомлении ФБР.
Бюро впервые стало известно о группировке RagnarLocker и ее предпочтительной тактике двойного вымогательства в начале 2020 года. Злоумышленники похищают чувствительные данные, шифруют...
Специалисты Microsoft устранили 71 уязвимость в рамках Patch Tuesday за март 2022 года. Среди них были три критические.
На первом месте по распространенности оказались уязвимости удаленного выполнения кода (40,8%), на втором — уязвимости повышения привилегий (35,2%).
Microsoft исправила следующее:
CVE-2022-23277 — критическая RCE-уязвимость в Microsoft Exchange Server, которая позволяла авторизованному пользователю выполнять произвольный код на уязвимом сервере;
CVE-2022-23285 и CVE-2022-21990 — RCE-уязвимости в клиенте удаленного рабочего стола с оценкой в 8,8 балла по шкале CVSSv3. Для эксплуатации хакеру нужно было убедить пользователя подключиться к вредоносному серверу, чтобы удаленно выполнять код на системе, устанавливать...
Microsoft говорит, что пользователи Windows могут обнаружить, что некоторые из их файлов не удаляются после сброса их устройств Windows с помощью опции «Удалить все».
Это вызвано недавно обнаруженной известной проблемой, влияющей на службу размещения файлов OneDrive компании.
«При попытке сбросить настройки устройства Windows с приложениями, имеющими папки с данными повторной обработки , такими как OneDrive или OneDrive для бизнеса, файлы, которые были загружены или синхронизированы локально из OneDrive, могут не удаляться при выборе параметра «Удалить все», — Microsoft объясняется на панели мониторинга состояния Windows.
«Эта проблема может возникнуть при попытке ручного сброса, инициированного в Windows, или удаленного сброса...