Darknet Methods

2023-11-24 17:33:53 Positive Technologies: выплаты за bug bounty в РФ сопоставимы с мировыми

Компания Positive Technologies подвела итоги работы платформы по поиску уязвимостей Standoff 365 Bug Bounty, запущенной в 2022 году. За полтора года количество размещенных программ увеличилось с 2 до 53, а размер вознаграждения составляет от 9000 до 3 000 000 рублей в зависимости от уровня опасности уязвимости. Специалисты отмечают, что максимальные выплаты сопоставимы с аналогичными вознаграждениями на мировых площадках.

На текущий момент на платформе разместили свои программы bug bounty организации из разных отраслей: IT, торговля, финансы, государственные учреждения. Наибольшее количество программ представлено в секторе IT (38%), среди государственных учреждений (17%) и образовательных платформ (11%).

С момента открытия на платформе зарегистрировалось 7537 исследователей. Суммарно багхантеры отправили 1479 принятых компаниями отчетов, из которых 10% (152) были с критически опасными уязвимостями и 19% (287) — с высокой степенью опасности. Открыть/Комментировать

2023-11-20 17:33:33 В здании польского Высшего административного суда нашли мощные установки для майнинга

Сотрудники Высшего административного суда Польши в Варшаве обнаружили в здании суда, несколько мощных устройств для майнинга криптовалют, которые питались от местной электросети. Майнинговое оборудование было спрятано в вентиляционных каналах и даже под полом.

По данным польского новостного телеканала TVN 24, устройства имели собственные модемы для подключения к интернету, то есть не были подключены к сети здания суда.

Судья Сильвестр Марциняк заявил телеканалу, что этот эпизод «не представляет никакой угрозы для безопасности данных, хранящихся в Высшем административном суде», и добавил, что о находке уже уведомлены представители правоохранительных органов.

Сообщается, что устройства могли потреблять электроэнергию на несколько тысяч польских злотых в месяц (1000 злотых равняется 22 100 рублям по текущему курсу) и были размещены вблизи источников питания. Открыть/Комментировать

2023-11-14 17:33:11 Группировка RansomedVC объявила о закрытии из-за возможных арестов

Вымогательская хак-группа RansomedVC­ (она же Ransomed[.]vc), которая ранее заявляла об атаках на Sony, сайт правительства штата Гавайи и поставщика Colonial Pipeline, сообщила, что прекращает работу. О своем решении хакеры объявили из-за возможных арестов шести участников группы.

Группа RansomedVC появилась в августе текущего года, и первоначально хакеры угрожали европейским компаниям-жертвам штрафами за нарушение безопасности GDPR («Общий регламент защиты персональных данных») в случае неуплаты выкупа за похищенные данные. При этом несколько компаний, перечисленные на сайте хакеров, заявляли, что вообще не подвергались взлому.

В октябре 2023 года представители группировки неожиданно сообщили, что заинтересованы в продаже своего «бизнеса». В удаленных теперь сообщениях в Telegram, человек, называющий себя руководителем хак-группы, писал, что продает билдер вымогателя RansomedVC, доменные имена, VPN-доступ к 11 взломанным компаниям, доступ к партнерским группам, каналам в социальных сетях, а также 37 баз данных, чья общая стоимость якобы превышает 10 млн долларов США. Открыть/Комментировать

2023-11-12 17:32:53 Операторы Clop нацелились на 0-day уязвимость в SysAid

Специалисты Microsoft Threat Intelligence предупреждают, что операторы небезызвестного вымогателя Clop используют свежую уязвимость в SysAid (CVE-2023-47246) для развертывания малвари.

SysAid представляет собой комплексное ITSM-решение и предоставляет клиентам набор инструментов для управления различными ИТ-сервисами в организации. Согласно данным с официального сайта SysAid, у компании насчитывается более 5000 клиентов, среди которых: крупные компании (например, Bacardi), многочисленными больницы, правительственные учреждения и университеты.

Аналитики Microsoft пишут, что группировка, которую они отслеживают под названием Lace Tempest (она же Fin11 и TA505) уже атакует проблему CVE-2023-47246, обнаруженную в SysAid 2 ноября 2023 года. Все эти группы известны тем, что использовали вымогателя Clop в своих операциях. Открыть/Комментировать

2023-11-08 17:03:18 SecuriDropper обходит защиту Google

Специалисты ThreatFabric рассказали о новом дроппере для Android под названием SecuriDropper, который используется для доставки малвари и успешно обходит защитную функцию Restricted Settings («Ограниченные настройки»).

Одной из мер безопасности, представленных Google в Android 13, стала функция Restricted Settings, которая не позволяет загруженным из сторонних источников приложениям (APK-файлам) получать разрешения Accessibility и Notification Listener, которыми, к примеру, часто злоупотребляют банковские трояны. Так, Accessibility может использоваться для перехвата текста на экране, получения дополнительных прав и удаленного выполнения действий, а Notification Listener — для кражи одноразовых паролей.

SecuriDropper стремится незаметно обойти это ограничение, при этом сам дроппер часто маскируется под безобидные на первый взгляд приложения. Например, исследователи наблюдали образцы, имитировавшие com appd instll load (Google) и com appd instll load (Google Chrome), видеоплееры, защитные решения и игры, которые затем устанавливали на устройство вредоносную полезную нагрузку. Открыть/Комментировать

2023-11-06 17:02:54 Вымогатели атакуют критическую уязвимость в Apache ActiveMQ

Недавно исследователи предупредили, что более 3000 тысяч серверов Apache ActiveMQ, доступных через интернет, уязвимы перед свежей критической RCE-уязвимостью (CVE-2023-46604). В настоящее время баг уже подвергается атакам. Например, эксплуатировать проблему пытаются операторы шифровальщика HelloKitty.

Apache ActiveMQ представляет собой масштабируемый брокер сообщений с открытым исходным кодом, который весьма популярен в корпоративных средах, так как поддерживает разнообразные безопасные механизмы аутентификации и авторизации.

Уязвимость CVE-2023-46604, получила статус критической и оценивается в 10 баллов из 10 возможных по шкале CVSS. Баг позволяет злоумышленникам выполнять произвольные шелл-команды, используя сериализованные типы классов в протоколе OpenWire. Открыть/Комментировать

2023-11-04 17:33:22 Компания Boeing подтверждает, что стала жертвой кибератаки

Компания Boeing, о взломе которой недавно заявила вымогательская группировка LockBit, подтвердила факт кибератаки. Как стало известно теперь, инцидент затронул бизнес компании по производству и дистрибуции запчастей.

Напомним, что в конце прошлой недели хакеры из группировки LockBit заявили о взломе американской авиакосмической корпорации Boeing, утверждая, что похитили «огромное количество конфиденциальных данных».

Образцы украденной информации не были обнародованы, так как группировка сообщала, что пока хочет «защитить компанию», рассчитывая начать переговоры.

Позже информация о скором «сливе» данных Boeing была удалена с сайта LockBit, и представители группы заявили специалистам VX underground, что начали переговоры с пострадавшей компанией. Открыть/Комментировать

2023-11-02 17:03:39 Хакеры крадут учетные данные AWS с GitHub за считанные минуты

Эксперты Palo Alto Networks предупреждают, что злоумышленники, стоящие за кампанией EleKtra-Leak, успевают похитить учетные данные AWS из публичных репозиториев GitHub в течение 4-5 минут после их случайной утечки.

По подсчетам исследователей, кампания EleKtra-Leak активна не менее двух лет, что позволяет злоумышленниками создавать множество инстансов AWS Elastic Compute (EC2) и использовать их для криптоджекинга.

Злоумышленники используют автоматизированные инструменты для клонирования публичных репозиториев GitHub и сбора из них учетных данных AWS, но при этом блокируют репозитории, регулярно раскрывающие учетные данные, чтобы избегать ханипотов, расставленных ИБ-специалистами.

Фактически операции EleKtra-Leak строятся на сканировании репозиториев GitHub в режиме реального времени в поисках раскрытых секретов, а также на создании инстансов EC2 в любом доступном регионе AWS для добычи криптовалюты Monero. Открыть/Комментировать

2023-10-31 17:04:12 Пользователи теряют данные из-за ошибки в Android 14

В Android 14 обнаружили ошибку, связанную с хранением данных, которая затрагивает пользователей функции multiple profiles. Из-за этой проблемы устройства становятся практически неработоспособны, так как оказываются отрезаны от собственного хранилища. Из-за разрушительности бага некоторые пострадавшие пользователи сравнивают эту проблему с атакой шифровальщика.

В первых сообщениях, появившихся около двух недель назад, предполагалось, что эта ошибка характерна только для устройств Pixel 6. Однако разработчики Google, похоже, проигнорировали эти жалобы пользователей, и теперь, после более широкого распространения выяснилось, что ошибка не зависит от конкретного девайса. Судя по всему, проблема затронула все устройства, уже обновившиеся до Android 14: Pixel 6, 6a, 7, 7a, Pixel Fold и Pixel Tablet.

Issue-трекер Google, посвященный этой проблеме, уже набрал более 500 сообщений, но ответа от представителей Google пока нет. Ошибка имеет лишь средний приоритет «P2» (наивысший приоритет — P0) и статус «unassigned». То есть, похоже, ее решением никто не занимается. Открыть/Комментировать

2023-10-29 17:32:42 Side-channel атака iLeakage позволяет воровать конфиденциальные данные через Apple Safari

Группа ученых разработала спекулятивную side-channel атаку iLeakage, которая работает против устройств Apple и позволяет извлекать конфиденциальную информацию из браузера Safari, включая пароли и содержимое вкладок.

Специалисты из Технологического университета Джорджии, Мичиганского университета и Рурского университета в Бохуме рассказывают, что iLeakage работает против любых современных устройств Apple с процессорами серий A и M. Исследователи говорят, что с помощью этой атаки можно извлечь данные из Safari, а также Firefox, Tor и Edge для iOS практически с «идеальной точностью».

Ученые уверяют, что iLeakage — это не просто концепт, и атака может использоваться в реальности. Для этого достаточно заманить пользователя на вредоносную веб-страницу, а затем восстановить данные из их других вкладок, отрытых в его браузере Safari.

По сути, iLeakage представляет собой timerless-версию нашумевшей проблемы Spectre и обходит защиту от side-channel атак, давно реализованную всеми производителями браузеров. Так, изучая устойчивость Safari к таким атакам, специалисты сумели обойти существующие контрмеры и реализовать не зависящий архитектуры timerless-метод атаки, связанный с состоянием гонки. Открыть/Комментировать