Опубликован бесплатный дешифратор для вымогателя BlackByte

Эксперты компании Trustwave выпустили бесплатную утилиту для жертв вымогателя BlackByte, которую те могут использовать для расшифровки и восстановления пострадавших файлов. Уже доступный на GitHub дешифратор работает благодаря эксплуатации бага в коде вымогателя. Исследователи опубликовали развернутый технический анализ малвари в двух частях, в котором рассказывают, что процедура шифрования BlackByte начинается с того, что хакеры загружают на машину жертвы фальшивый файл изображения forest...

Zerodium покупает уязвимости в ExpressVPN, NordVPN и Surfshark

Известный брокер уязвимостей, компания Zerodium, объявила, что покупает уязвимости нулевого дня в Windows-клиентах трех крупных VPN-продуктов: ExpressVPN, NordVPN и Surfshark. Напомню, что основанная в 2015 году компания Zerodium давно скупает эксплоиты для различных уязвимостей нулевого дня, чтобы затем перепродавать их правительствами и правоохранительным органам разных стран. Для этого у компании существует собственная программа bug bounty, в рамках которой исследователи могут продать...

За взломом сайтов REvil стояли правоохранительные органы

Reuters сообщает, что недавнее прекращение деятельности хак-группы REvil – это дело рук правоохранительных органов, которые скомпрометировали инфраструктуру хакеров. Напомню, что ранее на этой неделе операции вымогателя REvil вновь были приостановлены, так как неизвестный человек взломал сайт группировки, через который хакеры принимали платежи от жертв и «сливали» украденные у компаний данные. Представитель REvil, известный под ником 0_neday, разместил на хакерском форуме XSS сообщение о...

Уязвимость ProxyToken позволяет воровать почту через Microsoft Exchange

В Microsoft Exchange обнаружили опасную уязвимость, получившую название ProxyToken. Атакующий может воспользоваться этой проблемой, создавая запросы к веб-сервисам Exchange Control Panel (ECP) и похищая сообщения из почтового ящика жертвы. Исходно проблему обнаружил специалист VNPT ISC, который еще в марте 2021 года сообщил о ней экспертам Trend Micro Zero-Day Initiative (ZDI). ProxyToken получила идентификатор CVE-2021-33766 и дает неаутентифицированным злоумышленникам доступ к настройкам...

T-Mobile взломали через уязвимый роутер

Глава компании T-Mobile и 21-летний житель Турции, который утверждает, что это он стоит за недавним взломом мобильного оператора, поделились данными о том, как была проведена атака. Предыстория Напомню, что о масштабной утечке данных стало известно в середине августа, когда на хакерском форуме появилось объявление о продаже личных данных примерно 100 миллионов клиентов компании T-Mobile. Продавец утверждал, что две недели назад он взломал серверы компании (производственные, промежуточные и...

Ботнет Phorpiex прекратил работу, его исходный код выставлен на продажу

Операторы малвари Phorpiex закрыли свой ботнет и выставили его исходный код на продажу на хакерском форуме, заметили исследователи из компании Cyjax. В объявлении, которое опубликовал человеком ранее связанный с работой Phorpiex, утверждается, что ни один из двух изначальных разработчиков малвари не принимал участия в работе ботнета, поэтому исходный код решено было продать. «Поскольку я больше не работаю, а мой друг ушел из бизнеса, я здесь, чтобы предложить вам продажу Trik (название...

Критическая уязвимость в Cosmos DB

Microsoft предупредила тысячи клиентов Azure об устранении критической уязвимости в Cosmos DB. Баг позволял любому пользователю удаленно управлять базами данных других людей, и предоставляет права администратора без необходимости авторизации. Проблему обнаружила исследовательская группа компании Wiz, занимающейся облачной безопасностью. Эксперты назвали уязвимость ChaosDB и сообщили о ней Microsoft 12 августа 2021 года. При этом, по данным исследователей, уязвимость скрывалась в коде «по крайней...

Исследователи научились обходить PIN-коды для карт Mastercard и Maestro

Группа ученых из Швейцарской высшей технической школы Цюриха нашла способ обхода PIN-кодов на бесконтактных картах Mastercard и Maestro. В сущности, эта уязвимость позволяла использовать украденные карты Mastercard и Maestro для оплаты дорогих продуктов. И PIN-код при этом не понадобится. Главная идея разработанной исследователями атаки заключается в том, что злоумышленник внедряется между украденной картой и PoS-терминалом, реализуя классический MitM-сценарий. Для этого преступнику потребуется:...

WhatsApp уверяет пользователей, что Facebook не имеет доступа к их личным сообщениям и звонкам

В начале января мессенджер WhatsApp изменил свою политику конфиденциальности и поставил всех пользователей (кроме жителей ЕС и Великобритании) перед выбором: делиться персональными данными с Facebook или отказаться от использования приложения вовсе. Пользователей вынуждают делиться с компанией Facebook номерами телефонов, именами и фото профилей, сведениям о транзакциях, диагностическим данными из логов приложений и IP-адресами. Более того, Facebook оставила за собой право делиться собранными...

Однострочная команда в Windows 10 может повредить жесткий диск с NTFS

Издание Bleeping Computer сообщило, что неисправленный баг нулевого дня в Windows 10 позволяет повредить жесткий диск с файловой системой NTFS с помощью однострочной команды. Эксплоит для этой проблемы можно спрятать внутри файла ярлыка, ZIP-архива, batch-файлов и так далее, и такие файлы вызовут моментальное повреждение структуры файловой системы. Проблему еще в прошлом году обнаружил ИБ-исследователь, известный как Джонас Л (Jonas L). Он пытался привлечь внимание к багу еще в августе и октябре...

Кардерский форум Joker’s Stash объявил о закрытии

Операторы Joker's Stash сообщили, что они один из крупнейших в сети кардерских ресурсов прекратит работу 15 февраля 2021 года. После этой даты все серверы будут стерты, а резервные копии удалены. Эта новость была размещена как на самом Joker's Stash, так и на других площадках, где ресурс часто рекламировался. Напомню, что­ кардерская площадка работает с осени 2014 года и часто публикует пакеты украденных данных платежных карт, которые могут использоваться как для мошеннических транзакций...

Релиз ядра Linux 5.9

После двух месяцев разработки Линус Торвальдс представил релиз ядра Linux 5.9. Среди наиболее заметных изменений: ограничение импорта символов из проприетарных модулей в GPL-модули, ускорение операций переключения контекста при помощи процессорной инструкции FSGSBASE, поддержка сжатия образа ядра при помощи Zstd, переработка расстановки приоритетов для потоков в ядре, поддержка протокола PRP (Parallel Redundancy Protocol), планирование с учётом пропускной способности в планировщике deadline...

Российские хакеры вооружились уязвимостью Zerologon

Группировка TA505, она же Evil Corp, использует в своих атаках поддельные обновления для ПО. Компания Microsoft предупредила пользователей о том, что российская киберпреступная группировка TA505 эксплуатирует в своих атаках уязвимость Zerologon. В зафиксированных специалистами атаках используются поддельные обновления для программного обеспечения, подключающиеся к с C&C-инфраструктуре, которую ИБ-эксперты связывают с группировкой TA505 (CHIMBORAZO в классификации Microsoft). Поддельные...

Тысячи приватных звонков американских заключенных оказались в открытом доступе

Панель управления одной из баз данных компании HomeWAV оказалась незащищенной паролем и доступной в Сети. Один из поставщиков компании HomeWAV, обслуживающей ряд тюрем по всей территории США, допустил ошибку, в результате которой в открытом доступе оказались тысячи телефонных звонков между заключенными и их семьями, а также конфиденциальные звонки адвокатам, защищенные в рамках адвокатской тайны. Панель управления одной из баз данных оказалась незащищенной паролем и доступной в Сети, позволяя...

Шифровальщик атаковал немецкую компанию Software AG

В начале октября 2020 года операторы вымогателя The Clop атаковали немецкую ИТ-компанию Software AG и ­требуют около 23 000 000 (2083,0069 BTC) долларов выкупа. Журналисты издания ZDNet сообщают, что атака произошла 3 октября 2020 года. Именно тогда злоумышленники зашифровали файлы компании и перешли к шантажу. В минувшие выходные, после провала переговоров, операторы The Clop опубликовали скриншоты данных, украденных у компании, на своем сайте в даркнете. На скриншотах, выложенных злоумышленниками...

Злоумышленники используют службу Windows Error Reporting для бесфайловых атак

Эксперты Malwarebytes обнаружили хак-группу, которая занимается кибершпионажем и злоупотребляет функциональностью службы регистрации ошибок Windows (Windows Error Reporting, WER) для проведения бесфайловых атак. В целом использование WER с целью обхода защиты – не новая тактика, однако теперь ее, похоже, использует некая новая хак-группа. «Злоумышленники взломали сайт, на котором в итоге разместили свои пейлоады, и применили фреймворк CactusTorch для проведения бесфайловой атаки с использованием...

Microsoft предупредила о вымогателях, которые выдают себя за МВД РФ

Специалисты компании Microsoft рассказали о новом Android-вымогателе AndroidOS/MalLocker.B (далее просто MalLocker), который злоупотребляет механизмами, стоящими за уведомлениями о входящих звонках и кнопкой «Домой» (Home). Эта малварь скрывается внутри приложений, которые распространяются через различные форумы и сторонние сайты. Как и большинство мобильных вымогателей MalLocker не шифрует файлы пользователя, а просто блокирует доступ к телефону. Проникнув на устройство, MalLocker захватывает...

Инфостилер Valak ворует информацию из почтовых систем Microsoft Exchange

Эксперты компании Check Point подготовили ежемесячный отчет о наиболее активных угрозах, Global Threat Index, за сентябрь 2020 года. По данным исследователей, обновленная версия инфостилера Valak впервые вошла в топ самых распространенных вредоносных программ месяца, заняв в нем девятое место. Впервые Valak был обнаружен в конце 2019 года, и на данный момент он представляет собой весьма сложную угрозу. Так, если ранее Valak классифицировали как обычный загрузчик малвари, то в последние месяцы...

GitLab обнаружил множество уязвимостей в исходном коде проектов своих клиентов

Самыми распространенными уязвимыми библиотеками оказались Lodash и JQuery. Специалисты online-сервиса для работы с git-репозиториями GitLab проверили безопасность программных проектов своих клиентов и обнаружили множество уязвимостей. «Процент проектов, в которых обнаружились проблемы с зависимыми используемыми библиотеками, значительно увеличился за последний год — с 26% до 69%. Это еще раз подтверждает, что обновление зависимых библиотек должно иметь высокий приоритет, исходя из рисков...

Хакеры используют службу WER в бесфайловых кибератаках

За новой вредоносной кампанией предположительно стоит вьетнамская кибершпионская группировка APT32. Неизвестная хакерская группировка внедряет вредоносный код в легитимную Службу регистрации ошибок Windows (Windows Error Reporting, WER) для обхода обнаружения в рамках бесфайловых кибератак. Использование WER в вредоносных операциях не является чем-то новым, однако, как отметили специалисты Malwarebytes Хуссейн Джази (Hossein Jazi) и Жером Сегура (Jérôme Segura), данная кампания...