Дата: Воскресенье, 15.12.2019, 23:19 | Сообщение # 526
Модератор
Группа: Модераторы
Сообщений: 29272
Статус: Оффлайн
Участник «русской хакерской группы» приговорен к 6 годам тюрьмы в Великобритании
25-летний студент Зейн Кейзер из английского графства Эссекс приговорен к 6 годам тюрьмы по обвинениям в компьютерном взломе и мошенничестве, шантаже и отмывании денежных средств, полученных незаконным путем. По версии обвинения, Зейн на протяжении 6 лет был участником киберпреступной группировки Lurk, «прославившейся» атаками вредоносного ПО Reveton. Этот зловред был одним из «пионеров» эпохи шифровальщиков. Его атаки выдавались за блокировку пользовательских устройств правоохранительными органами (в частности, ФБР США), якобы наложенную за несуществующие правонарушения – чаще всего в этом качестве фигурировала причастность к распространению порнографических материалов.
Согласно оценкам следствия, за свою хакерскую карьеру Зейн Кейзер заработал порядка 700 тысяч фунтов. Не имея официальных источников дохода, он жил на широкую ногу, приобретая дорогие вещи, останавливаясь в роскошных отелях, участвуя в азартных играх с очень высокими ставками. Впервые он был арестован в 2014 году, однако вскоре отпущен на свободу из-за недостаточности улик. Но следователи не выпустили его из поля зрения и не прекратили работу. В 2017 Кейзер был арестован повторно – после того, как следствие смогло обнаружить принадлежащие ему криптовалютные счета с немалыми суммами. В результате хакер признал свою вину по ряду предъявленных обвинений. Помимо тюремного срока суд обязал его выплатить компенсацию в сумме 270 тысяч фунтов стерлингов, а также продать в счет компенсации принадлежащие ему часы Rolex (ориентировочной стоимостью в 5 тысяч фунтов).
В этой истории несколько удивляет то, что зарубежные СМИ продолжают называть хакерскую группировку Lurk российской. Действительно, в 2016 году в ходе совместной операции ФСБ и МВД в России были задержаны около 50 участников этой группы. Но очевидно, что вместе с россиянами в атаках Reveton участвовали и жители других стран. Помимо Зейна Кейзера, можно вспомнить, например, бывшего инженера Microsoft Реймонда Одиджи Уадиале, приговоренного в прошлом году в США к 18 месяцам тюрьмы именно за распространение шифровальщика Reveton. Поэтому, вероятнее, было бы справедливее считать хакерскую группу международной.
Дата: Понедельник, 24.02.2020, 00:16 | Сообщение # 527
Генералиссимус
Группа: Проверенные
Сообщений: 7757
Статус: Оффлайн
На хакерском форуме опубликованы данные 10,6 миллиона гостей отелей группы MGM Resorts
Специалисты сервиса Under the Breach, который специализируется на отслеживании утечек данных, сообщили о том, что на одном из крупных хакерских форумов опубликованы персональные данные гостей отелей группы MGM Resorts. Эта компания контролирует сеть отелей и казино во многих городах США и, в частности, в Лас-Вегасе. Ее курорты пользуются большой популярностью как среди обычных туристов, так и у многих популярных музыкантов и артистов. Кроме того в отелях группы MGM Resorts нередко проходят мероприятия крупных компаний. По этой причине среди жертв утечки уже удалось обнаружить, например, певца Джастина Бибера, главу Twitter Джека Дорси, высокопоставленных чиновников Министерства внутренней безопасности США и немало других влиятельных персон.
В общем доступе оказались имена и даты рождения гостей отелей, их адреса проживания и электронной почты, а также номера телефонов. В общей сложности утечкой затронуты 10 683 188 человек. Сотрудники ресурса ZDNet, получив информацию об утечке от Under the Breach, провели выборочную проверку опубликованных данных и смогли подтвердить их подлинность. Представители MGM Resorts уже отреагировали на эту информацию. Они подтвердили, что летом прошлого года был зафиксирован «неавторизованный доступ к облачному серверу, хранившему ограниченный объем данных клиентов». По их словам, все затронутые инцидентом гости отелей были надлежащим образом уведомлены о ситуации.
В MGM Resorts также подчеркнули, что киберпреступники не получили доступ к такой конфиденциальной информации как данные банковских карт и пароли клиентов на сайте компании и отелей. Тем не менее, специалисты по кибербезопасности отмечают, что и опубликованные данные могут представлять немалую ценность для хакеров. В частности, они могут быть использованы для организации целенаправленных фишинговых атак, прежде всего, в отношении известных и влиятельных гостей отелей MGM Resorts.
Дата: Суббота, 18.04.2020, 22:54 | Сообщение # 528
Генералиссимус
Группа: Пользователи
Сообщений: 4486
Статус: Оффлайн
AiR-ViBeR крадет данные через вибрации кулера компьютера
Израильские ученые нашли наиболее нестандартный способ взлома компьютера — при помощи встроенных вентиляторов
Ученые израильского университета имени Давида Бен-Гуриона в Негеве разработали новый способ хищения данных с компьютера. В отличие от привычных методов взлома, AiR-ViBeR, а именно так назвали разработку, использует для своих целей кулер. Вредоносное ПО заставляет вентиляторы крутиться с необходимой скоростью, что создает вибрацию, расшифровать которую можно при помощи любого смартфона с акселерометром.
Для того, чтобы украсть данные с зараженного компьютера, достаточно положить смартфон рядом с ним. Если же возможности получить физический доступ к ПК нет, можно взломать мобильное устройство его владельца. Как заявляют ученые, последний вариант наиболее прост в реализации, так как доступ к акселерометру имеет огромное количество приложений.
Впрочем, у AiR-ViBeR есть и свои минусы, к которым, в частности, относится скорость загрузки данных. Максимальное значение, полученное в ходе тестов, составило лишь 0,5 бит/с, что делает использование технологии затруднительным.
Дата: Четверг, 23.04.2020, 23:27 | Сообщение # 529
Модератор
Группа: Модераторы
Сообщений: 29272
Статус: Оффлайн
Пентагон ищет хакеров для взлома спутника
Министерство обороны США открыло регистрацию на конкурс Hack-A-Sat, в рамках которого команды хакеров попытаются получить контроль над военным спутником на орбите.
Пентагон открыл регистрацию команд для участия в конкурсе Hack-A-Sat: через месяц, 22 мая, начнется 48-часовой квалификационный этап для допущенных в ходе отбора участников. Во время него команды будут получать задания по теме конкурса, сдавать решения и получать новые задания. По итогам этого этапа в финальную часть отберут 10 команд, из которых две последние будут запасными на случай, если придётся заменить кого-то из восьми основных.
Финальная часть тоже будет проходить в два этапа: на первом команды будут пытаться получить доступ к спутниковому оборудованию на Земле, а на втором они попытаются получить доступ к одной из основных систем реального спутника на орбите, какой именно — пока секрет. Кроме того, пока неизвестно, какой именно спутник Министерства обороны США будет задействован для этого.
После квалификационного и финального этапов команды должны будут предоставить статью с описанием методов взлома или решения задач конкурса. По итогам квалификации участники получат по 15 тысяч долларов на команду, а после финала на призы смогут претендовать три команды с лучшим результатом: первая получит 50 тысяч долларов, второй достанется 30 тысяч, третьей — 20 тысяч. Финал пройдёт на конференции DEF CON в августе.
Дата: Вторник, 28.04.2020, 18:05 | Сообщение # 530
Генералиссимус
Группа: Проверенные
Сообщений: 8171
Статус: Оффлайн
Хакеры атакуют VIP-пользователей через «дыру» в iPhone. Уязвимы все устройства, выпущенные с 2012 года
Apple исправляет две уязвимости в iOS, оспаривая их критичность. Выявленные баги позволяют читать, редактировать и удалять почтовые сообщения в предустановленном почтовом клиентах iOS во всех версиях системы с 6 по 13. Эксперты по безопасности указывают, что эти уязвимости эксплуатирует «национальное государство».
Прочесть, исправить, удалить
Эксперты по безопасности компании ZecOps нашли две уязвимости нулевого дня в почтовом клиенте в iOS, которые, по данным исследователей, уже активно используются. Компания Apple выпустила предварительные исправления, отметив, что сами по себе эти уязвимости не представляют прямой угрозы.
Изначально специалисты ZecOps расследовали ряд атак на VIP-пользователей iOS. Самые ранние из этих атак датированы январем 2018 г. «Суть атаки сводится к отправке специального почтового сообщения жертвам, которое эксплуатирует уязвимость в контексте iOS MobileMail в iOS 12 или maild в iOS 13», — говорится в заявлении экспертов.
Первая из уязвимостей относится к классу «запись за пределами выделенного буфера памяти» (Out-of-bounds Write), вторая — к классу «удаленное переполнение кучи» (Remote Heap Overflow). Их эксплуатация позволяет в теории удаленно запускать произвольный код на скомпрометированных устройствах и как следствие просматривать, редактировать или удалять почтовые сообщения.
«Дополнительные уязвимости в ядре позволят получить полный доступ к устройству; у нас есть подозрения, что в распоряжении этих злоумышленников есть еще одна уязвимость», — указывают эксперты.
По их данным, эксплуатацией багов занимается как минимум одно национальное государство, чьи кибервойска «приобрели эксплойт на стадии Proof-of-Concept и используют его в оригинальном виде или с минимальными изменениями».
«В то время как ZecOps предпочитает воздерживаться от прямого отождествления этих атак с каким-то конкретным актором, нам известно, что как минимум одна наемническая хакерская организация продает эксплойты к уязвимостям, использующим почтовые адреса в качестве главного идентификатора», — говорится в исследовании.
Среди жертв, по данным ZecOps, оказались представители североамериканской организации, входящей в Fortune 500, директор одной из телекоммуникационных компаний в Японии, некая важная персона из Германии, работники компаний — сервис-провайдеров из Саудовской Аравии и Израиля, журналист из Европы, и, возможно, директор неназванной швейцарской корпорации.
Все версии, начиная с шестой
Уязвимости присутствовали в iOS с версии 6, выпущенной в 2012 г. Впервые эксплуатация была отмечена в январе 2018 г., жертвой стал обладатель устройства под управлением iOS 11.2.2. По всей видимости, уязвимости затрагивают все версии iOS, начиная с 6 и заканчивая самой актуальной — 13.4.1.
По мнению исследователей, атака на пользователей iOS 13 может быть произведена в фоновом режиме, без какого-либо участия пользователя, поскольку почтовый клиент скачивает все сообщения автоматически. Угроза для пользователей iOS 12 чуть меньше: для эксплуатации уязвимости нужно, чтобы жертва открыла почтовое сообщение. Однако если злоумышленникам каким-то образом удается получить контроль над почтовым сервером, атаку можно произвести тоже без малейшего содействия со стороны жертвы.
Apple выпустила бета-версию обновления iOS 13.4.5, устраняющую обе проблемы. Вероятнее всего, в скором времени обновление станет официальным и будет централизованно разослано всем пользователям устройств под iOS.
В компании также заявили, что сами по себе эти уязвимости не могут привести к полной компрометации устройств, что косвенно подтверждают и эксперты ZecOps. Так что нет смысла рассматривать их как критичные. Обновление будет выпущено штатным порядком, объявили в Apple.
«Утверждения представителей Appleо том, что уязвимости не столь опасны, скорее всего, более-менее соответствуют действительности, поскольку в iOS защита многослойная, — считает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — В этом, однако, заключается и плохая новость: следовательно, существует еще какая-то неизвестная уязвимость, в присутствии которой эти две становятся критически опасными. Остается надеяться, что ее в ближайшее время обнаружат и устранят».
Дата: Вторник, 16.02.2021, 09:43 | Сообщение # 531
Генералиссимус
Группа: Проверенные
Сообщений: 8171
Статус: Оффлайн
Microsoft назвала SolarWinds самой крупной и изощрённой хакерской атакой за всю историю
По словам президента Microsoft Брэда Смита (Brad Smith), продолжавшаяся несколько месяцев хакерская кампания SolarWinds, которая затронула правительственные учреждения США и производителей продуктов в сфере информационной безопасности, была «самой крупной и изощрённой атакой, которую когда-либо видел мир». Он также отметил, что для реализации этой кампании было привлечено огромное количество разработчиков и хакеров.
Согласно имеющимся данным, раскрытая в декабре прошлого года атака могла затронуть около 18 тыс. организаций, среди которых одна из ведущих компаний по кибербезопасности FireEye, а также Microsoft, Cisco и др. Добиться такого результата хакерам удалось благодаря внедрению вредоносного программного обеспечения в рассылку обновлений компании SolarWinds, которая ничего не подозревая распространяла бэкдор среди своих клиентов.
«Я думаю, что с точки зрения разработки программного обеспечения, вероятно, будет справедливо сказать, что это самая крупная и самая изощрённая атака, которую когда-либо видел мир», — сказал Смит в интервью журналистам канала CBS News. Он также отметил, что, проанализировав увиденное и оценив масштаб вредоносной кампании, в Microsoft пришли к выводу, что для реализации атаки SolarWinds было привлечено более тысячи разработчиков и хакеров. Ещё было сказано, что для реализации задуманного злоумышленникам потребовалось переписать всего 4032 строки кода программного обеспечения SolarWinds Orion, состоящего из миллионов строк кода.
Генеральный директор компании FireEye Кевин Мандиа (Kevin Mandia) рассказал о том, что обнаружить хакеров удалось после того, как служба безопасности компании зафиксировала второе зарегистрированное на одного и того же сотрудника устройство, подключённое к системам FireEye. Попытка пройти двухфакторную авторизацию для подключения к системам компании по VPN-каналу со второго устройства вызвала подозрения, благодаря которым хакеры и были раскрыты.
Стоит отметить, что спецслужбы США в начале прошлого месяца заявили о том, что за атакой SolarWinds стоит хакерская группировка APT29, которая, якобы поддерживается правительством России.
Хакеры взломали тысячи камер видеонаблюдения в больницах, тюрьмах США и на заводах Tesla
Неизвестные хакеры взломали систему безопасности стартапа Verkada, которая предлагает услуги по корпоративному видеонаблюдению, и получили доступ более чем к 150 тысячам видеокамер. Об этом сообщил Bloomberg. Злоумышленники смогли наблюдать за происходящим на фабриках Tesla, в школах, тюрьмах, больницах и отделениях полиции.
Журналист связался с хакерами и те подтвердили информацию о взломе. Злоумышленники рассказали, что сначала они вошли в учётную запись с логином «Super Admin» который нашли в Сети, а позже использовали возможности камер для получения root-доступа и удалённого управления.
Взломщики могли просматривать видео из женских клиник, психиатрических больниц и даже офисов самой Verkada. Журналист издания успел просмотреть допрос в полицейском участке в Стоутоне и одно видео с фабрики Tesla в Шанхае. Кроме этого, злоумышленники получили полный доступ ко всему видеоархиву всех клиентов компании.
Один из участников группы, взломавшей Verkada, заявил, что случившееся свидетельствует о том, насколько широко применяется видеонаблюдение и как мало внимания уделяется системам безопасности. По его словам, подобные компании преследуют только одну цель — прибыль.
Репортёр Bloomberg связался с Verkada и сообщил о взломе. Компания отреагировала, отключив все учётные записи внутренних администраторов, чтобы прервать несанкционированный доступ. Представитель стартапа также отметил, что служба безопасности занялась исследованиями уязвимостей и сообщила об инциденте правоохранительным органам. После передачи информации Verkada хакеры сообщили, что потеряли доступ к камерам.
Verkada — это стартап из Кремниевой долины. Они рекламируют себя как компанию, способную обеспечить безопасный удалённый доступ к видеонаблюдению. Стартап также предлагает своим клиентам возможности видеоаналитики с распознаванием лиц и идентификацией транспортных средств.
Дата: Воскресенье, 21.03.2021, 01:06 | Сообщение # 533
Модератор
Группа: Модераторы
Сообщений: 29272
Статус: Оффлайн
Компания Acer подверглась атаке, хакеры требуют выкуп в размере $50 млн
Компания Acer подверглась хакерской атаке группировки REvil, которая подселила на серверы компании одноимённый вирус-вымогатель и требует от известного тайваньского производителя лэптопов, десктопов и мониторов выкуп в размере $50 млн. В качестве доказательств хакеры предоставили часть списка данных, к которым они получили доступ. В него входят финансовые ведомости, банковские кредитные счета, другие финансовые документы, а также информация о сотрудниках.
Как пишет ресурс BleepingComputer, в разговоре с журналистами представитель компании не стал прямо отвечать на вопрос о том, действительно ли они подверглись атаке REvil. Он лишь отметил, что они «сообщили о нештатных ситуациях» в соответствующие правоохранительные органы. Полное заявление сотрудника Acer выглядит следующим образом:
«Acer регулярно проводит мониторинг своих IT-систем и от большинства кибератак компания хорошо защищена. Такие компании как наша довольно часто подвергаются хакерским атакам. Мы сообщили о недавно наблюдавшихся нештатных ситуациях в правоохранительные органы, а также органы по надзору за соблюдением законодательства о защите персональных данных в нескольких странах. Мы постоянно совершенствуем свою инфраструктуру кибербезопасности для защиты бизнеса и целостности нашей информации. Мы настоятельно рекомендуем всем компаниям и организациям не пренебрегать кибербезопасностью и быть бдительными в отношении любых нарушений сетевой активности».
На просьбу предоставить больше деталей представитель Acer ответил, что «в настоящий момент идёт расследование и в целях безопасности компания не может пока более детально комментировать ситуацию». Французскому изданию LegMagIT удалось обнаружить послание хакеров REvil компании Acer. В нём они требуют выплатить $50 млн до 28 марта. За это хакеры предоставят Acer декриптор для расшифровки зашифрованных файлов. Если компания не заплатит до указанной даты, то цена выкупа удвоится. Ресурсу BleepingComputer удалось выяснить, что один из представителей Acer провёл встречу с представителем хакерской группировки REvil 14 марта. Сумма выкупа его мягко сказать озадачила. В ходе того же разговора представитель REvil поделился ссылкой на сайт, на котором указывался список документов, к которому хакеры получили доступ. Помимо этого, киберпреступники предложили Acer снизить на 20 % сумму выкупа, если компания заплатит им до минувшей среды. Вместе с декриптором для расшифровки файлов злоумышленники пообещали удалить украденные файлы, а также предоставить отчёт об уязвимости, через которую они взломали сервера Acer. Для убедительности представитель REvil пригрозил «не повторять судьбу SolarWind». Требование выкупа в размере $50 млн является самым крупным из известных, отмечает BleepingComputer. В прошлом с требованием самого крупного выкупа в $30 млн столкнулась гонконгская розничная компания Dairy Farm, сервера которой также были взломаны хакерской группировкой REvil. По словам Виталия Кремеза (Vitali Kremez), главы компании Advanced Intelligence, занимающейся вопросами кибербезопасности, их платформа Andariel обнаружила, что недавней целью хакеров REvil стала платформа Microsoft Exchange Server, расположенная в домене, принадлежащем Acer. «Система Andariel компании Advanced Intelligence обнаружила, что одна конкретная группа хакеров, связанная с REvil, недавно пыталась заразить Microsoft Exchange Server компании Acer», — поделился Кремез в разговоре с BleepingComputer. Источник указывает, что уязвимость ProxyLogon в Microsoft Exchange Server ранее уже использовалась хакерами для подселения вируса-вымогателя DearCry. Однако тогда масштаб взлома был гораздо меньше.
«Ростелеком» и НКЦКИ выявили серию масштабных кибератак на российские органы государственной власти
Дочерняя компания «Ростелекома», национальный провайдер технологий кибербезопасности «Ростелеком-Солар», совместно с НКЦКИ (Национальным координационным центром по компьютерным инцидентам, созданным ФСБ России) выявили серию целенаправленных атак профессиональной кибергруппировки на российские федеральные органы исполнительной власти. Главной целью хакеров являлась полная компрометация ИТ-инфраструктуры и кража конфиденциальной информации, в том числе документации из изолированных сегментов и почтовой переписки ключевых сотрудников.
Николай Мурашов, заместитель директора Национального координационного центра по компьютерным инцидентам (НКЦКИ), сказал: «Исходя из сложности используемых злоумышленниками средств и методов, а также скорости их работы и уровня подготовки, мы имеем основания полагать, что данная группировка располагает ресурсами уровня иностранной спецслужбы. Это высококвалифицированные киберпреступники, которые могли долго находиться внутри инфраструктуры и не выдавать себя. Благодаря совместной работе с «Ростелеком-Солар» нам удалось своевременно выявить злонамеренную деятельность и пресечь ее. Информация, необходимая для выявления данной угрозы в других информационных ресурсах, направлена всем участникам ГосСОПКА, чтобы предотвратить повторение подобных инцидентов».
Для проникновения в инфраструктуру злоумышленники использовали три основных вектора атак: фишинговые рассылки с вредоносным вложением, эксплуатацию веб-уязвимостей и взлом инфраструктуры подрядных организаций, информацию о которых хакеры собирали в том числе из открытых источников. Тщательное предварительное исследование предшествовало и подготовке фишинговых рассылок, на что указывает уровень их проработки: письма были адаптированы под специфику деятельности конкретного ФОИВ и содержали темы, соотносящиеся с актуальными задачами организаций.
Проникнув внутрь инфраструктуры, злоумышленники собирали информацию об устройстве сети и о ключевых сервисах. Чтобы получить максимальный контроль, они стремились атаковать рабочие станции ИТ-администраторов с высокими привилегиями доступа и системы управления инфраструктурой. При этом киберпреступники обеспечивали себе достаточно высокий уровень скрытности за счет использования легитимных утилит, недетектируемого вредоносного ПО и глубокого понимания специфики работы средств защиты информации, установленных в органах власти.
После полной компрометации инфраструктуры целью злоумышленников был сбор конфиденциальной информации со всех интересующих их источников: с почтовых серверов, серверов электронного документооборота, файловых серверов и рабочих станций руководителей разного уровня.
Выявленные атаки отличают несколько характерных особенностей. Во-первых, разработанное злоумышленниками вредоносное ПО использовало для выгрузки собираемых данных облачные хранилища российских компаний Yandex и Mail.ru Group. Сетевую активность хакеры маскировали под легитимные утилиты Yandex Disk и Disk-O. Подобное вредоносное ПО ранее нигде не встречалось.
Во-вторых, на стадии подготовки к атакам хакеры явно изучили особенности администрирования одного из популярнейших российских антивирусов и смогли использовать его легитимные компоненты для сбора дополнительной информации об атакуемой сети.
Все эти специфические черты атаки говорят о том, что злоумышленники провели тщательную предварительную подготовку и изучили как специфику деятельности российских органов госвласти, так и особенности российских инфраструктур.
Игорь Ляпунов, вице-президент «Ростелекома» по информационной безопасности, сказал: «Эффективное противодействие подобным кибергруппировкам возможно только при сочетании нескольких факторов: богатого опыта обеспечения безопасности органов государственной власти, расширенного стека технологий по выявлению современных атак и сильной экспертной команды, способной на круглосуточное противодействие современным группировкам».
Троянец, ворующий данные из Linux, три года оставался невидимым для любых антивирусов
Обнаруженный бэкдор RotaJakiro использует многослойное шифрование для всех своих компонентов, и почти три года остается невидимым для антивирусов. Известно, что он умеет выводить данные из зараженных систем, но этим его функциональность явно не ограничивается.
Секретные материалы
Эксперты компании QihooNetlab 360 обнаружили вредонос-бэкдор под Linux, который почти три года оставался невидимым для антивирусных решений.
Первые сэмплы вредоноса RotaJakiro попали на VirusTotal еще в 2018 г., однако до сих пор антивирусы его не детектировали. Разработчики бэкдора очень многое сделали для того, чтобы он оставался невидимым как можно дольше.
Весь сетевой трафик вредоноса сжимается с помощью ZLib и шифруется с помощью сразу трех алгоритмов. Шифруются также данные внутри тела вредоноса и все ресурсы, которые он выгружает в зараженную систему. Это явно сделано для того, чтобы пресечь попытки анализа его кода и функциональности.
RotaJakiro способен определять системные привилегии текущего пользователя: root или нет. В зависимости от этого, он использует разные способы запуска и по-разному обеспечивает устойчивое пребывание в системе.
Вопрос расширений
Операторы RotaJakiro могут использовать его для вывода системных данных и других значимых сведений и доустанавливать и запускать дополнительные плагины с разной функциональностью в 64-битных системах. О каких именно функциях идет речь, остается пока загадкой.
«RotaJakiro поддерживает 12 различных функций, три из которых связаны с запуском определенных плагинов. Однако мы не видели самих плагинов и потому не знаем их истинного назначения», — отметили авторы исследования. Открытым также остается вопрос, как именно RotaJakiro распространяется, и есть ли у него какая-то особенная цель и приоритетная мишень».
«Вероятно, это намек на то, что RotaJakiro может быть лишь компонентом более широкого набора хакерских инструментов, который не ограничивается самим бэкдором и его плагинами, — полагает Алексей Водясов, технический директор компании SECConsultServices. — Впрочем, без информации о том, на что способны необнаруженные плагины, это лишь предположения. Хотя и не лишенные смысла: разработчики явно очень много ресурсов вложили в то, чтобы сделать RotaJakiro максимально неуловимым. Наверняка это делалось с расчетом на широкий спектр вероятных атак».
С 2018 г. на VirusTotal были загружены в общей сложности четыре сэмпла вредоноса — антивирусы игнорировали их всех. Теперь ситуация, вероятно, изменится.
Интересно, что контрольные серверы, выявленные специалистами Qihoo 360, были запущены в 2015 г. По мнению экспертов, RotaJakiro использует ту же инфраструктуру, что и ботнет интернета вещей Torii, впервые замеченный в сентябре 2018 г.
Torii и RotaJakiro выполняют одни и те же команды после изначальной компрометации целевой системы, имеют похожую структуру и используют одни и те же константы. Вероятнее всего, речь идет о разработках одной и той же группировки.
Дата: Вторник, 08.06.2021, 20:14 | Сообщение # 536
Генералиссимус
Группа: Проверенные
Сообщений: 11484
Статус: Оффлайн
Новости о хакерах обрушили курс биткоина
Стоимость биткоина упала более чем на девять процентов на фоне новостей из США, связанных с криптовалютой, свидетельствуют данные торгов.
По состоянию на 12:28 по московскому времен курс биткоина рухнул до 32,8 тысячи долларов (на 9,26 процента). Это произошло на фоне известия о том, что американские власти смогли вернуть часть выкупа в биткоинах, который заплатил крупнейший в США оператор топливных трубопроводов Colonial Pipeline хакерской группировке DarkSide.
Следователи смогли отследить платеж на криптовалютный кошелек, используемый хакерами, которые якобы находятся в России. В итоге власти вернули компании несколько миллионов долларов.
Компания Colonial Pipeline заявила, что была атакована вирусом-вымогателем в начале мая. Практически сразу вымогателям заплатили 4,4 миллиона долларов.
Дата: Воскресенье, 11.07.2021, 20:47 | Сообщение # 537
Генералиссимус
Группа: Проверенные
Сообщений: 11484
Статус: Оффлайн
Хакеры украли биткойны прямо из полицейского кошелька
Полиция планировала использовать криптовалюту для контрольной закупки наркотиков По данным New Zealand Herald, хакеры украли 45000 новозеландских долларов (или около 32000 долларов США) в биткойнах из кошелька полиции Новой Зеландии.
Полиция намеревалась использовать биткойны для скрытой контрольной закупки наркотиков. Однако неизвестная организация получила контроль над ключами, необходимыми для доступа к кошельку, и похитила криптовалюту.
Полиция до сих пор не знает, кто украл биткойны, хотя детектив-инспектор Стюарт Миллс (Stuart Mills) из Национальной группы по борьбе с организованной преступностью полиции Новой Зеландии говорит, что злоумышленники «вероятно, находятся за границей» и что «преступление было частью более широкого мошенничества, нацеленного на биткойн-кошельки». Расследование того, как преступники получили ключи и куда ушли деньги, продолжается.
Хакеры украли биткойны прямо из полицейского кошелька Полиция Новой Зеландии не в первый раз работает с криптовалютой. В прошлом году власти Новой Зеландии конфисковали BTC на сумму около 90 миллионов долларов США у Александра Винника (Alexander Vinnik), предполагаемого оператора закрытой в настоящее время криптобиржи BTC-e, который должен отсидеть пять лет тюрьмы за мошенничество с использованием криптовымогателей.
А ещё в конце 2019 года полиция Новой Зеландии конфисковала 4,2 млн долларов в криптовалютах у владельца сайтов по распространению пиратских фильмов.
Дата: Вторник, 10.08.2021, 14:45 | Сообщение # 538
Модератор
Группа: Модераторы
Сообщений: 29272
Статус: Оффлайн
Хакеры заполучили конфиденциальные данные AMD и Intel. Серверы Gigabyte подверглись кибератаке
Хакеры якобы заполучили 112 ГБ данных Компания Gigabyte стала жертвой хакеров. Неизвестные злоумышленники использовали программу-вымогатель RansomEXX, в итоге якобы завладев 112 ГБ данных.
Хакеры заполучили конфиденциальные данные AMD и Intel. Серверы Gigabyte подверглись кибератаке Пока подтверждения утечки этих данных со стороны Gigabyte нет, хотя атака хакеров повлияла на работоспособность некоторых разделов сайта компании.
Сами же хакеры грозятся обнародовать конфиденциальные документы, имеющие отношения к Intel, AMD и American Megatrends. Для подтверждения хакеры опубликовали несколько страниц документов, на которые распространяется соглашение о неразглашении.
Сумма, которую требуют злоумышленники, не сообщается. Gigabyte пока подтвердила факт самой атаки и уже обратилась в полицию.
Дата: Воскресенье, 14.11.2021, 12:46 | Сообщение # 539
Генералиссимус
Группа: Пользователи
Сообщений: 1212
Статус: Оффлайн
Неизвестным хакерам удалось взломать систему электронной почты ФБР
Стало известно, что на этой неделе неизвестные хакеры взломали внешнюю систему электронной почты Федерального бюро расследований США. Об этом пишет Bloomberg со ссылкой на данные организации Spamhaus, которая следит за распространением спам-сообщений и связанными с ними кибератаками.
Согласно имеющимся данным, после проведения успешной атаки хакеры разослали от имени ФБР десятки тысяч электронных писем с предупреждением о возможной кибератаке. Представители ФБР подтвердили инцидент и сообщили, что ведомство совместно с Агентством по кибербезопасности и защите инфраструктуры расследуют его обстоятельства. «Это текущая ситуация, и в настоящее время мы не можем предоставить дополнительную информацию», — прокомментировал данный вопрос представитель ФБР.
Источник отмечает, что у ФБР есть несколько систем электронной почты. Похоже, что взлому подверглась внешняя система, которая является общедоступной и используется сотрудниками ведомства для взаимодействия с общественностью. Для передачи секретной информации агенты ФБР используют внутреннюю почту, до которой в этот раз хакерам добраться не удалось.
Специалисты из Spamhaus установили, что хакеры рассылали письма с темой «Срочно: злоумышленник в системе» от имени Министерства внутренней безопасности США. В сообщении говорилось, что злоумышленником является специалист по информационной безопасности Винни Троя (Vinny Troia), который в прошлом году вёл расследование инцидентов, связанных с хакерской группировкой The Dark Overlord. Отмечается, что письма не содержали вредоносных файлов, поэтому цель атаки злоумышленников могла заключаться в том, чтобы опорочить имя специалиста.
Дата: Воскресенье, 12.12.2021, 18:53 | Сообщение # 540
Генералиссимус
Группа: Проверенные
Сообщений: 4409
Статус: Оффлайн
Хакеры атаковали более 1,6 млн веб-сайтов на базе WordPress
Специалисты компании Wordfence, работающей в сфере информационной безопасности, зафиксировали резкий рост числа хакерских атак на веб-сайты на базе WordPress. Согласно имеющимся данным, всего за 36 часов было выявлено около 13,7 млн атак с использованием уязвимостей WordPress-плагинов и тем Epsilon Framework, которые исходят с 16 тыс. IP-адресов и направлены против более чем 1,6 млн сайтов. В сообщении сказано, что преимущественно атаки злоумышленников связаны с уязвимостями четырёх плагинов: PublishPress Capabilities, Kiwi Social Share, WordPress Automatic и Pinterest Automatic. Отмечается, что патчи для исправления некоторых уязвимостей были выпущены ещё в 2018 году. Однако некоторые из уязвимостей были исправлены только в этом году, поэтому они всё ещё могут оставаться актуальными. Кроме того, жертвами злоумышленников могут стать ресурсы, использующие темы Epsilon Framework, такие как Shapely, News Mag, Activello и др.
В большинстве случаев злоумышленники пытаются осуществить обновление параметров, таких как user_can_register, активируя и настраивая с правами администратора опцию default_role. В случае успеха злоумышленники регистрируют пользователя с правами администратора, что позволяет им перехватить контроль над уязвимым ресурсом.
Пользователям уязвимых плагинов и тем рекомендуется убедиться, что их сайты не были скомпрометированы в ходе масштабной вредоносной кампании. Для предотвращения атак следует обновить используемое программное обеспечение до актуальных версий. Также необходимо убедиться в отсутствии зарегистрированных учётных записей с правами администратора, которым такие привилегии не должны были быть выданы. Ознакомиться с полным списком уязвимых тем, а также актуальных версий ПО, можно на сайте Wordfence.
