Новостной дайджест за неделю с 29 марта по 4 апреля. Часть 1.

Дата: 05.04.2021 04:14

Брайан Кребс взламывает сервера Microsoft Exchange?

На самом деле нет. Это очередная подстава от андеграуд сообщества этому бедному парню. Сколько всего ему уже делали, сколько всего названо его именем. Ох уж эти злобные подпольные деятели. В этот раз неизвестные взломали более 21 тысячи серверов Microsoft Exchange и установили на них бэкдор, который подключается к серверу brian_krebsonsecurity_top.

Но как заверил сам Брайан, к данному домену и взломам он не имеет никакого отношения. Ну ничего, после посылки с героином или встречи со спецназом это не такая страшная движуха.

Ребята из Shadowserver фиксируют большое количество атак на данные серверы после публикации уязвимости ProxyLogon. Они даже начали лепить ханипоты (подставные серверы ловушки) для изучения методов и инструментов хакеров. И вот самая крупная группировка с использованием одного бекдора на всех взломанных тачках и похожим поведением - загрузкой и запуском через повершелл файла "krebsonsecurity.exe". При этом Virustotal не детектирует данный файл как вредоносный. Хотя данный файл устанавливает корневой сертификат, изменяет реестр системы и добавляет себя в исключения Windows Defender. Так же файл пытается сконнектиться с ИП адресом 159_65_136_128 по зашифрованному соединению и что-то на него отправляет.

Кстати, впервые про этот подставной домен Брайан Кребс узнал в декабре 2020, когда к нему обратился один из читателей, чья сеть была взломана и использована для майнинга криптовалюты. Майнер ломился на домен ***-**-***_ krebsonsecurity_top, где вместо звездочек находился номер социального страхования Брайана.

Пожелаем Брайану здоровья и сил бороться с киберкраймом и движемся дальше!

Шантажисты-вымогатели обращаются к клиентам взломанных компаний для помощи в уплате выкупа!

О времена, о нравы! Теперь операторы вымогателя Clop начали давить на клиентов взломанных компаний, чтобы те помогли повлиять на жертв и ускорить получение выкупа за слитые данные.

Как известно, операторы вредоносного ПО довольно давно начали сливать данные перед шифрованием их, чтобы в дальнейшем было проще давить на компании и получать более солидный выкуп. Видимо, компании стали менее охотно идти на контакт и выплачивать выкуп, что привело к использованию клиентов в качестве нового рычага давления. После совершения взлома, слива инфы и зашифровки данных, они начали писать письма клиентам компаний с угрозами опубликовать их персональную информацию, данные карт, телефоны и тд в открытом доступе. А в завершении письма идет строка "позвоните или напишите в компанию и попросите защитить ваши конфиденциальные данные!"

Новые способы давления на жертв пробуют не только операторы Clop, но и операторы REvil. Они используют DDos-атаки и грозятся сообщить про взлом бизнес-партнерам жертв.

Криптолокеры и шантаж это прям реальное дно, но что поделать, там крутятся большие деньги.

Хакеры пытались внести правки в официальный Git-репозиторий PHP

Неизвестные хакеры пытались внедрить бэкдор в PHP через официальный гит-репозиторий. Они добавили коммиты, замаскировавшись под официальных разработчиков - Расмуса Лердорфа (Rasmus Lerdorf) и Никиту Попова. Коммиты выдавались за обычное изменение типографических ошибок, но на самом деле на 370 строке находился код, который внедрял бэкдор для удаленного выполнения кода на любом web-сайте с зараженной версией PHP.

Расследование данного инцидента ещё в процессе, но как поясняют специалисты, оно случилось из-за взлома сервера git.php.net, а не из-за взлома учетки какого-то отдельного пользователя.

Разработчики задумались о полном переносе проектов на GitHub в целях повышения безопасности.

Да, вот не заметили бы и хлоп - через год десятки миллионов серверов были бы взломаны через бэкдор в официальном коде.

В Казахстане лже ИТ специалисты похитили более 300 миллионов тенге

В Казахстане своя атмосфера - какие-то ребята из Алматы и хакер из России создали 14 фальшивых аккаунта на интернет-портале неизвестной крупной компании и получили доступ к её платежной системе. Таким образом они пополняли себе балансы и выводили на карты Российских и Казахстанских банков, а так же на мобильных операторов Казахстана. Далее деньги менялись на криптовалюту, закупались дополнительные банковский карты, сим-карты и тд.

Как сообщил начальник следственного департаменты министерства внутренних дел Казахстана Санжар Адилов - мошенники дублировали транзакции и незаконно переводили денежные средства на платежные карты, а так же под видом ИТ-специалистов звонили по отделениям компании в различных регионах страны и под предлогом настройки ПО проводили незаконные операции по пополнению счетов.

В общем, ребята походу внедрились в контору, нашли там косяки с безопасностью, а если ещё и по телефону сумели впарить и подключиться удаленно, то безопасность в компании отсутствовала совсем)

Разработчика одного из крупнейших фишинг-сервисов в мире задержали в Тернополе

39ти летний житель Тернопольской области был задержан в процессе расследования дела о фишинге. Его разработка использовалась для атак на пользователей банковских и других платежных систем в 11 странах мира. По предварительным данным ущерб оценивается в десятки миллионов долларов.

По сути он разработал фейки банковских сайтов с админ панелью, которые сдавал в аренду другим пользователям. А они уже направляли на них трафик различными методами и похищали данные, после чего деньги и утекали со счетов невнимательных пользователей. Правоохранительные органы выявили более 200 покупателей данного продукта. Данному персонажу грозит реальный срок, тк это международная спецоперация с США и Австралией. А если его экстрадируют, то в США ему может прилететь от 20 лет.

Интересный факт - в ходе расследования установлено, что данный продукт использовался в 2019 году в более 50% случаев фишинга в Австралии.

По видео и скринам задержания становится ясно - что такое скрытые крипто разделы и собственная безопасность данный гражданин не слышал, что довольно печально.

Едем дальше)

Хакеры выставили на продажу базу пользователей сайта "Свободу Навальному"

Данная новость больше походит на фейк, тк при попытке зарегистрироваться на сайте просят только почту и выбрать город. В общем, хакеры заявляют о 100 тысячах пользовательских данных с данного сайта, которые добыты без особого труда, тк "сайт не обеспечивает должный уровень безопасности данных". Стоимость базы 0.3 BTC (примерно 1.3 миллиона рублей по текущему курсу). Исходя из примера в базе содержатся ФИО, дата рождения, адрес, что противоречит реальности. ;)

Создатели REvil считают себя топовыми кибервымогателями

Эти ребята уже настолько сильно себя распиарили через СМИ, что мало кто о них не слышал. Они регулярно апдейтят свою инфраструктуру. Не только софт, но и различные сервисы - вроде организации колл-центра для обзвона взломанных компаний и создание инфрастрактуры для организации DDoS-атак L3-L7. Так же обновление прошел и сам софт для крипта файлов - добавлен сейф-мод для обхода решений безопасности, обновлен повершелл - уменьшен размер, добавлен морфинг основного модуля запуска длл-ки и прочее.

Как они сами заявляют - наш софт проверен временем и доказал право быть первым, с чем согласны ИБ-компании, антивирусные продукты, правоохранительные органы и спецслужбы!

Очень самонадеянные товарищи. Посмотрим как сложится их судьба дальше.

Байден продлил Чрезвычайное Положение в США из-за кибератак

1 апреля 2015 года в США Барак Обама ввел чрезвычайное положение, которое неоднократно продлевалось и запрещало американским компаниям, например, покупать оборудование иностранных производителей, представляющих угрозу нац. безопасности США. Данный документ так же дал МинФину США право вводить санкции против лиц совершивших кибератаки, блокировать их активы в стране и отключать от национальной банковской системы.

И вот 29 марта, Джо Байден продлил данное положение ещё на один год из-за "значительных вредоносных действий в киберпространстве, осуществляемых и контролируемых в основном лицами за пределами США, которые представляют угрозу национальной безопасности, внешней политике и экономике США"!

Вот так, взломал пентагон из своего ПГТ (поселок городского типа, для тех кто не в курсе) Одинокий, а на тебя санкции потом США наложили. :)

Пора вспомнить про нашу великую страну - Число запросов на пользовательские данные от госорганов возросло почти на 10%

Компания Яндекс решила поделиться с нами отчётом о том, как часто поступают запросы на получение пользовательских данных и сколько они отказывают властям в предоставлении этих самых данных. Почти на 10% увеличилось количество запросов за второе полугодие 2020, по сравнению с первым полугодием, но и процент отказов вырос с 16% до 22%.

Самая большая доля запросов - Почта и Паспорт, потом идёт Такси, а завершает тройку лидеров - Драйв.

Так же в этом отчёте есть немного про право на забвение, но там статистика совсем печальная - в среднем 70% отказов по запросам. Так что интернет вас не забудет)

И снова мафиозные гении забывают про рисунки на теле - Беглого итальянского гангстера поймали после ролика с кулинарным шоу на Ютубе

Итальянские полицейские нашли беглого преступника из мафиозной группировки Ндрангета благодаря кулинарным видеороликам на площадке YouTube. 53 летний Марк Ферен Клод Бьярт тщательно скрывал лицо, но о рисунках на теле не позаботился. Вот по ним его и нашли. Данный персонаж находился в розыске с 2014 года, предположительно за незаконные поставки наркотиков в Нидерланды. Жил себе спокойно в городе Бока-Чика в Доминикане, а потом решил стать видео-блогером, что до добра его не довело) Его арестовали и экстрадировали в Италию.

И снова база в даркнете - На продажу выставлены данные 3.5 миллионов пользователей MobiKwik

Хотя представители и отрицают инцидент, который, вероятно, станет самой крупной утечкой KYC-данных в истории. Слив состоит из 7.5 Терабайт данных KYC (Know Your Customer - знай своего покупателя) и 350 Гигабайт дампа mysql базы данных. По описанию продавца слив содержит - 99 миллионов строк с данными почт, телефонов, адресов и прочих данных, 40 миллионов строк номеров карт с годом, месяцем и хешем, большое количество данных компании,  более 500 различных баз, более 3х миллионов фотографий паспортов, селфи и прочих идентификационных документов. На всё это добро установлена цена 1.5 BTC (примерно 70 000$). Так же продавец организовал сайт для проверки утечки с частью информации, но его быстро ушатали ботами, тк пытались спарсить)

А теперь добро пожаловать в Англию - Британия предлагает сажать в тюрьму на 5 лет за отказ в разблокировке смартфона по запросу полиции

Не захотел показывать свои интимные фоточки полиции - поехал на зону на 5 лет) В общем, у Британцев своя атмосфера - они топят за расширение полномочий полиции при использовании закона "о терроризме" от 2000 года. В данный момент полиция может потребовать пароль от любого устройства только при наличии ордера, и при законном изъятии устройства. Что совсем не устраивает королевского адвоката Джонатана Холла. Он хочет создать новый вид преступлений - отказ сотрудничать с полицией. Так же он заявляет, что у полиции должно быть право арестовывать людей за нарушение антитеррористических законов с наказанием в виде лишения свободы на пять лет.

А пока они там это всё решают сверху - Крупнейшее школьное объединение Лондона взломали и заразили криптолокером

27 март 2021 года было атаковано крупнейшее школьное объединение в Лондоне - Harris Federation. В результате взлома были отключены ИТ-системы, почтовые серверы, телефонные коммуникации в средних и начальных учебных заведениях по всему городу. Это самая крупная на сегодняшний день атака на британские образовательные учреждения вирусов-вымогателей. Точно не известно, каким именно криптолокером заразили сеть и как в неё проникли, но вопрос решается на довольно высоком уровне. В расследовании участвуют - Национальное криминальное агентство и Национальный центр кибербезопасности Великобритании.

 

И снова криминальная Россия - Девушку из Калуги будут судить за взлом сайта школы и колледжа

Предварительное следствие установило, что 24-х летняя девушка в сентябре 2020 года с помощью программы для взлома сайтов нейтрализовала защиту сайтов школы и колледжа, где когда-то обучалась. Официально заявляют, что она хотела получить доступ к разделу администрирования сайтов. Но не указано, получилось у неё или нет. Но зато мы точно знаем, что запускала она софт на своём ПК из дома. Что делать ну никак нельзя, если у тебя есть хоть немного серого вещества в черепной коробке) Так что даму теперь ждет статья 273 УК РФ, где есть срок до 4х лет и штраф до 200 000 рублей. Если дело не будет показательным и девочка не торговала метом на гидре, то на первый раз прилетит 1.5 года условно и штраф.

Зато в США безопасность на высшем уровне - Шкет запостил твит от имени командования армии США

Утром 29 марта пользователи твиттера подписанные на аккаунт стратегического командования американской армии, которое отвечает за ядреное вооружение, накидали кирпичей себе в чистые штанишки - в аккаунте появился загадочный твит, состоящий из бессмысленного набора букв, цифр и символов. А, ну и ракеты начали подниматься по всей стране. Хотя не, про ракеты я пошутил. (Хотя они были бы намного стильнее какого-то твита) Оказывается - данный твит был опубликован из-за серьезной ошибки в системе безопасности, в ходе которой доступ к аккаунту ведомства получил ребенок одного из сотрудников. И это у типов которые отвечают за ядреное вооружение! Ну типа хлоп, ракеты полетели, официальное заявление - это всё произошло из-за серьезной ошибки в системе безопасности, ребенок одного из сотрудников получил доступ к красной кнопке и нажал её)))

Запись довольно быстро удалили, ребенка больше никто не видел, как и всю его семью.(шутка) Военные извинились за переполох и попросили не обращать внимание на это сообщение.

Китайские хакеры RedEcho продолжают взламывать энергетический сектор Индии

RedEcho - Китайская хакерская группировка, спонсируемая правительством. Она является одной из многих кибершпионажных группировок Китая. Первые атаки на энергетический сектор и объекты критической инфраструктуры Индии были зафиксированы в начале 2020 года. Они предположительно взломали более десяти энергетических организаций. В феврале 2021 года специалисты из ИБ-компании Recorded Future опубликовали отчет о деятельности данной группы в Индии, где они нашли взаимосвязь между вредоносами и серверной инфраструктурой, которую использует данная группировка. Это позволило отслеживать атаки. Через несколько недель после опубликования отчёта часть инфраструктуры для управления вредоносным ПО от RedEcho была отключена. Большинство подобных группировок боятся огласки. И при публичном раскрытии их активности начинают полностью перемещать инфраструктуру на новые серверы и адреса.

А в США снова печаль - Из Госдепа США слито несколько тысяч электронных писем

Хакеры снова похитили тысячи официальных писем из Государственного департамента США. И снова кто это сделал? Правильно - злобные русские хакеры) Это второе проникновение за 7 лет в систему электронной почты Госдепа. Может они уже займутся обеспечением безопасности?

Как сообщается пострадали два Бюро - по делам Европы и Евразии, и по делам Восточной Азии. Информация о уровне секретности и прочих подробностях нет, тк ещё идёт расследование данного инцидента.

Пора звать Брюса на помощь, ребята)

У владельцев криптолокера Ziggy проснулась совесть

В начале февраля 2021 года операторы вымогателя заявили о своём уходе из киберкрайма, а теперь готовы вернуть деньги всем, кто заплатил выкуп. Необходимо отправить им запрос на электронную почту с подтверждением оплаты в биткоинах и идентификатором компа. И через две недели деньги будут возвращены на криптокошелек.

В феврале они выложили 922 ключа для дешифровки всех данных жертв, а так же передали ИБ-экспертам исходники дешифратора, который может расшифровать данные в оффлайн режиме.

Как рассказал оператор, на такую жизнь его толкнула нехватка денежных средств в одной из стран третьего мира. Но совесть, чувство вины и опасения за операции правоохранителей по другим криптолокерам сделали своё дело и они решили прекратить своё грязное дело.

Ещё одним криптолокером меньше)

И снова США - Подготовку теракта в шифрованном чате приравняли к размышлениям в голове

Странные ребята из непонятного общества Wolverine Watchmen общались в шифрованном чате и договаривались похитить губернатора Мичигана. В итоге, их всех приняли господа из ФБР, но судья отказался трактовать их переписку в чате, как подготовку к террористическому акту. Он сравнил данную переписку с размышлениями в голове, и заметил, что если бы они высказывали свои мысли на людях, то тогда это могло бы сойти за доказательства. И теперь ребятам вменяют на одну статью меньше - участие в бандах, хранение огнестрельного оружия и обеспечение материальной поддержки террористическим актам. Чуток поменьше проведут на зоне, чем хотели агенты ФБР.

Ubiquiti приуменьшает значимость взлома в конце 2020 года

В конце 2020 года хакеры предположительно получили административный доступ ко всей инфраструктуре Ubiquiti AWS и установили несколько бекдоров. Далее потребовали выкуп, но компания не пошла с ними на сделку и решила умолчать о масштабе инцидента, дабы уберечь свои акции от сильного падения. Однако источник Брайана Кребса сообщает, что всё было очень плохо. Хакеры получили полный доступ ко всем базам данных, что могло позволить им авторизоваться на огромном количестве устройств и делать с ними всё, что захочется. Ситуация получается так себе, учитывая, что компания не сделала принудительный сброс паролей у всех пользователей, а просто направила им рекомендации)))

В  Китае хакеры взломали тысячи камер наблюдения и теперь продают с них записи

Киберпреступники в Китае массово взламывают камеры по всей стране, похищают видеозаписи и продают их как сборники домашнего видео. Хотя там и встречаются домашние камеры, всё же там больше роликов с коммерческих точек, примерочных, отелей, салонов красоты и тд. Стоимость ролика варьируется от 3$ за обычный ролик из номера отеля до 23$ за сборник видео из 10 отелей и 10 жилых домов. Стоимость ролика с обнаженными людьми примерно 8$) Так же можно приобрести идентификаторы и пароли от камер в 10 домах всего за 11 долларов. Так что нынче у стен есть не только уши, но и глаза. Причем везде)

Тэги: новостной дажджест, кибер новости за неделю, кребс, майкрософт, clop, revil, ransomeware, malware, exploit, шантаж, локер, вымогатель, хакер, сша, навальный, байден