Cortez

Банк России предлагает ввести запрет на выпуск, обращение и обмен криптовалют, а также на организацию этих операций на территории России. Соответствующие предложения содержатся в докладе регулятора для общественных консультаций. Так, по мнению ЦБ, майнинг на территории России создает непроизводительный расход электроэнергии, ставящий под угрозу энергообеспечение жилых зданий, зданий социальной инфраструктуры и предприятий, а также реализацию экологической повестки страны. Кроме того, это формирует спрос на инфраструктуру для проведения операций с криптовалютами, что усиливает негативные эффекты от распространения криптовалют и создает стимулы для обхода регулирования. ЦБ в докладе отмечает, что на Россию сейчас приходится свыше 11% мировых вычислительных мощностей, используемых для майнинга биткоина — в августе 2021 года страна вышла на третье место в мире по этому показателю. Увеличение же объемов добычи криптовалют, по мнению регулятора, за счет потребляемой энергии может подвергать риску другие предприятия. В качестве примера приводится Иркутская область, в которой установлены самые низкие в стране тарифы для населения. В прошлом году потребление электроэнергии выросло в ней в 1,6 раза. Количество лицевых счетов граждан с аномально высоким (более чем в 13 раз выше среднестатистического) потреблением электроэнергии возросло на 62% и на них приходится около 25% всех объемов электроэнергии в регионе. Ранее СМИ сообщали , что ФСБ России убедила главу ЦБ РФ Эльвиру Набиуллину поддержать полный запрет криптовалют, так как переводы в них якобы чаще всего используются россиянами для пожертвований в пользу «нежелательных организаций».

19-летний хакер из Германии, Дэвид Коломбо, утверждает , что смог получить доступ к некоторым функциям более чем двух десятков автомобилей Tesla в 13 странах по всему миру. Доступ был получен не из-за уязвимости в инфраструктуре Tesla, а из-за использования владельцами сторонних сервисов и ключей API. Имея доступ к 25 экземплярам Tesla, Коломбо сообщает, что может отключить режим Sentry Mode, открыть двери, открыть окна и запустить силовой агрегат при помощи дистанционного управления, и всё это без ведома водителя. Он также может видеть точное местоположение машины. Хакер подтвердил изданию Drive Tesla, что по крайней мере один из “захваченных” экземпляров находится в Китченере, Онтарио. К счастью, хакер говорит, что не собирается использовать это во вред, а хочет связаться с владельцами, чтобы они знали, как лучше защитить свои учётные записи. К сожалению, он пока не смог придумать, как это сделать. Также Коломбо подтвердил, что на данный момент он координирует свои действия с командой безопасности Tesla, чтобы оповестить пострадавших владельцев.

Киберпреступная группировка FIN7 последние несколько месяцев отправляла вредоносные USB-устройства американским компаниям с целью заразить их компьютерные системы вымогательским ПО. Об этом сообщило издание The Record, в распоряжении которого оказалась копия предупреждения ФБР. «С августа 2021 года ФБР получило сообщения о нескольких посылках, содержащих эти USB-устройства, которые были отправлены американским предприятиям в сфере транспорта, страхования и обороны. Посылки были отправлены через почтовую службу США и United Parcel Service», — говорится в уведомлении ФБР. В общей сложности преступники отправляли два вида посылок. Одни были якобы отправлены от Министерства здравоохранения и социальных служб США и сопровождались письмами со ссылками на рекомендации на тему коронавирусной инфекции (COVID-19), приложенными к USB-накопителям. Другие посылки были замаскированы под бандероли от Amazon в декоративной подарочной коробке, содержащей поддельное благодарственное письмо, поддельную подарочную карту и USB-устройство. В обоих случаях пакеты содержали USB-устройства марки LilyGO. Когда получатель подключал USB-накопитель к своему компьютеру, устройство выполняло атаку BadUSB. USB-накопитель регистрировал себя как клавиатуру и отправлял на ПК пользователя серию предварительно настроенных автоматических нажатий клавиш. Нажатия клавиш запускали PowerShell-команды, которые загружали и устанавливали различные виды вредоносных программ. Таким образом киберпреступники получали административный доступ, а затем перемещались на другие локальные системы. Участники FIN7 затем использовали различные инструменты, в том числе Metasploit, Cobalt Strike, PowerShell-скрипты, Carbanak, GRIFFON, DICELOADER, TIRION, и запускали вымогательское ПО BlackMatter и REvil в скомпрометированной сети. Напомню, ранее группировка уже организовывала подобные вредоносные кампании. В 2020 году FIN7 отправляла своим жертвам бандероли с подарочными сертификатами и мягкими игрушками. В бандеролях также содержались USB флэш-накопители, которые после подключения к компьютеру заражали систему бэкдором GRIFFON.

Прокуратура американского штата Огайо подала иск на сумму 100 миллиардов долларов против компании Facebook, которая недавно была переименована в Meta. Такое решение правоохранители приняли в связи с алгоритмами работы корпорации в отношении детей. Претензия была подана от имени инвесторов компании, а также пенсионной системы штата, которые требуют от Meta возмещения ущерба, сообщает газета The Wall Street Journal. «Facebook утверждал, что заботится о наших детях и занимается искоренением онлайн-троллей, но в действительности он ради собственной выгоды плодил страдания и разобщал пользователей», — заявил генеральный прокурор Огайо Дейв Йотс. Согласно исковому заявлению, с 29 апреля по 21 октября 2021 года руководство Meta нарушило федеральное законодательство. Кроме возмещения ущерба, оцененного в $100 млрд, истцы требует от компании не вводить в заблуждение собственных инвесторов в будущем.

Министерство иностранных дел Палестины сообщило об обнаружении на мобильных устройствах троих высокопоставленных лиц шпионское Pegasus ПО от израильской компании NSO Group и обвинило Израиль в использовании его для слежки. Заявление палестинского МИДа стало первым обвинением в шпионаже, выдвинутым палестинскими властями в адрес NSO Group, пишет Associated Press. Ранее на этой неделе шпионское ПО Pegasus было обнаружено на мобильных устройствах шести палестинских активистов, в том числе троих сотрудников общественных организаций, признанных Израилем террористическими. Израиль пока никак не комментирует обвинения палестинского МИДа. NSO Group также отказывается давать комментарии, ссылаясь на то, что компания не раскрывает своих клиентов и не владеет информацией о конкретных лицах, за которыми ведется слежка. 3 ноября 2021 года администрация президента США Джо Байдена приняла решение ограничить NSO Group доступ к американским технологиям, поскольку производимые компанией инструменты используются для "транснациональных репрессий". После внесения NSO Group в санкционный список Министерства финансов США новый генеральный исполнительный директор компании Ицик Бенбенисти отказался от занимаемой должности. Ицик Бенбенисти, ранее занимавший должность одного из со-президентов компании, был назначен ее новым гендиректором 31 октября 2021 года, но после внесения NSO Group в санкционный список Минфина США принял решение отказаться от новой должности. Сама компания пока никак не комментирует решение Бенбенисти.

Сотрудники мексиканских правоохранительных органов арестовали бизнесмена по обвинению в использовании шпионского ПО Pegasus израильской компании NSO Group. Федеральная прокуратура Мексики не назвала имя подозреваемого в соответствии с презумпцией невиновности. Об этом сообщило издание The Times of Israel. Однако федеральный чиновник, не уполномоченный разглашать подобную информацию, сказал, что подозреваемым является Хуан Карлос Гарсия Ривера (Juan Carlos García Rivera). Карлос связан с компаниями Proyectos y Disenos VME и Grupo KBH. Как сообщили власти, Хуан Карлос Гарсия Ривера использовал шпионское ПО Pegasus для слежки за неназванным журналистом. «Гарсиа Ривера — технический сотрудник частной компании, которая была посредником NSO Group в Мексике и извлекала выгоду из незаконного шпионажа за общественными деятелями», — сообщил Леопольдо Мальдонадо (Leopoldo Maldonado) из британской правозащитной организации Article 19. Подозреваемый связан с компаниями, обвиняемыми в отслеживании активистов, журналистов и других лиц. Это первый арест в Мексике, связанный с использованием хакерского инструмента NSO Group. Напомним, ранее французская НКО Forbidden Stories и правозащитная организация Amnesty International обнародовали новые данные, свидетельствующие о том, что правительства десятков стран используют шпионскую программу Pegasus производства израильской компании NSO Group для слежки за журналистами, правозащитниками и диссидентами. В распоряжении специалистов оказался список, включающий более 50 тыс. телефонных номеров из базы приложения Pegasus. Журналистам удалось идентифицировать более 1 тыс. человек в 50 странах, которые, предположительно, стали потенциальными объектами слежки со стороны клиентов NSO Group. Этот перечень включает 189 журналистов, работающих на такие новостные агентства и издания как The Associated Press, Reuters, CNN, The Wall Street Journal, Le Monde и The Financial Times, более чем 600 политиков и чиновников, 85 правозащитников, 65 руководителей предприятий и несколько президентов стран. По словам высокопоставленного представителя службы безопасности Мексики, две предыдущие администрации потратили $61 млн на покупку шпионского ПО Pegasus. Две компании, связанные с подозреваемым, предположительно учавствовали в некоторых контрактах. Были обнаружены записи о 31 контракте, подписанном во время правления президентов Фелипе Кальдерона (Felipe Calderón) и президента Энрике Пеаа Ньето (Enrique Peña Nieto). Некоторые контракты могли быть замаскированы под закупку другого оборудования. Правительство заявило, что многие контракты с NSO Group были подписаны с помощью подставных компаний, которые часто используются в Мексике для осуществления откатов или уклонения от уплаты налогов. Как сообщили следователи, чиновники двух предыдущих администраций потратили около $300 млн государственных денег на покупку шпионского ПО.

Специалисты компании Cisco Talos обнаружили новое вредоносное ПО Squirrelwaffle, обеспечивающее злоумышленникам исходную позицию в скомпрометированной системе и возможность загружать на нее дополнительные вредоносные программы. Squirrelwaffle распространяется в рамках спам-кампаний по заражению компьютеров Qakbot и Cobalt Strike и представляет собой один из инструментов, возникших после ликвидации ботнета Emotet сотрудниками правоохранительных органов. Впервые вредонос появился в сентябре 2021 года, и пик его распространения пришелся на конец месяца. В ходе атаки жертва получает письмо на английском, французском, голландском или польском языке. В письме содержится гиперссылка на вредоносный ZIP-архив, размещенный на подконтрольном хакерам web-сервере, а также вредоносное вложение (файл .doc или .xls), при открытии запускающее вредоносный код. В нескольких изученных специалистами вредоносных документах злоумышленники использовали в качестве наживки сервис цифровой подписи DocuSign, чтобы заставить получателей активировать макросы в пакете MS Office. Для обфускации содержащегося в них кода использовался переворот строки. Этот код записывал VBS-скрипт в %PROGRAMDATA% и выполнял его. Далее из одного из пяти вшитых URL-адресов извлекался загрузчик Squirrelwaffle, доставляемый на скомпрометированную систему в виде DLL-файла. Затем Squirrelwaffle загружал вредоносное ПО наподобие Qakbot или инструмент для проведения тестирований на проникновение Cobalt Strike. Cobalt Strike представляет собой легитимный инструмент для тестирования безопасности IT-инфраструктуры предприятий. Однако его взломанные версии пользуются большой популярностью у киберпреступников (в частности, его любят операторы вымогательского ПО). Squirrelwaffle также оснащен черным списком IP-адресов, запрещенных для атак. В него входят известные ИБ-компании, которых вредонос должен избегать во избежание обнаружения и последующего анализа. Связь Squirrelwaffle с C&C-инфраструктурой шифруется (XOR+Base64) и осуществляется через HTTP POST-запросы. В ходе кампании вредоносные файлы распространяются с предварительно скомпрометированных web-серверов, и большинство из этих сайтов работают под управлением WordPress 5.8.1. Злоумышленники развертывают на web-серверах антибот-скрипты, предотвращающие их обнаружение и анализ ИБ-специалистами.

Сотрудники Федерального бюро расследований США провели обыски во флоридском офисе китайского производителя PoS-терминалов PAX Technology. Как сообщил журналист Брайан Кребс, обыски связаны с сообщениями о возможном использовании систем PAX в кибератаках на организации в США и Европе. PAX Technology – один из крупнейших в мире производителей платежных терминалов и ведущий поставщик решений и услуг для торговли. Штаб-квартира компании находится в Шэньчжэне (Китай). Согласно информации американской радиостанции WOKV, сотрудники ФБР и Министерства внутренней безопасности провели обыски на складе PAX Technology в Джексонвилле. По словам следователей, обыски проводились на основании судебного ордера в рамках федерального расследования, проводимого Министерством внутренней безопасности при участии Управления таможенной и пограничной охраны и Военно-морской службы криминальных расследований. В ФБР не прокомментировали ситуацию. Как сообщил Кребс со ссылкой на доверенные источники, ФБР начало расследование в отношении PAX после того, как некий крупный американский поставщик платежных услуг обратил внимание на странные сетевые пакеты, исходящие из платежных терминалов компании. Как оказалось, терминалы производства PAX использовались в качестве дроппера вредоносного ПО и управляющей инфраструктуры для организации атак и сбора информации. В PAX Technology не ответили на запрос Брайана Кребса по поводу сложившейся ситуации. По словам источников, два крупных финансовых поставщика в США и Великобритании уже начали изымать терминалы PAX из платежной инфраструктуры. «Мои источники говорят, что есть технические доказательства использования терминалов в кибератаках. Размеры пакетов не соответствуют платежным данным, которые они должны отправлять, и не коррелируют с телеметрией, которую эти устройства должны отображать в случае обновления программного обеспечения. Теперь PAX утверждает, что расследование расово и политически мотивировано», - сообщил источник. Собеседник Кребса не предоставил подробности о необычной сетевой активности, которая повлекла расследование ФБР.

Компания Apple выпустила обновления безопасности для iOS и iPadOS, исправляющие критическую уязвимость, уже эксплуатирующуюся в реальных хакерских атаках. Уязвимость является уже семнадцатой уязвимостью нулевого дня, исправленной в продуктах Apple в нынешнем году. Проблема, получившая идентификатор CVE-2021-30883 , представляет собой уязвимость повреждения памяти в компоненте "IOMobileFrameBuffer", позволяющую приложению выполнять произвольный код с привилегиями ядра. О проблеме Apple стало известно от анонимного исследователя. Как сообщили в компании, ей "известно о сообщениях, что проблема может активно эксплуатироваться в атаках". Характер и источник этих атак, равно как и технические подробности об уязвимости, пока не раскрываются. Apple исправила проблему путем улучшения процесса обработки памяти. Исследователи безопасности Саар Амар (Saar Amar) опубликовал дополнительные подробности об уязвимости и PoC-эксплоит. По его словам, "эта поверхность атаки очень интересна, потому что она доступна из песочницы приложения (поэтому она отлично подходит для взлома) и многих других процессов, что делает ее хорошим кандидатом для эксплоитов c локальным повышением привилегий в связках". CVE-2021-30883 - уже вторая уязвимость нулевого дня, затрагивающая компонент IOMobileFrameBuffer. Первая проблема ( CVE-2021-30807 ) также представляет собой уязвимость повреждения памяти, исправленную Apple в июле 2021 года. Пользователям Apple iPhone и iPad настоятельно рекомендуется обновить свои устройства до версии iOS 15.0.2 и iPadOS 15.0.2.

Правительство США требовало от Google предоставлять данные обо всех пользователях, осуществляющих определенные поисковые запросы. Подобные «ордеры на ключевые слова» могут навлечь подозрения на пользователей интернета в причастности к преступлениям. В 2019 году федеральные следователи в Висконсине искали мужчин, которые занимались противозаконной деятельностью. Пытаясь найти преступников, следователи обратились в Google с просьбой предоставить информацию обо всех, кто искал имя жертвы, два варианта написания имени ее матери и ее адрес. Сведения о данном расследовании должны были оставаться в секрете. Об ордере стало известно, поскольку Министерство юстиции США случайно раскрыло его в сентябре нынешнего года. Об этом сообщило издание Forbes, в распоряжении которого оказалась копия документа. В другом случае сотрудники правоохранительных органов запрашивали информацию о тех, кто искал адрес жертвы поджога, которая была свидетелем в судебном деле о рэкете в отношении певца Р. Келли. Google продолжает выполнять такие противоречивые запросы, несмотря на опасения по поводу их законности и потенциальной возможности привлечь к ответственности невиновных людей, которые случайно искали соответствующие термины. Эксперты в области конфиденциальности обеспокоены прецедентом, созданным такими ордерами, и возможностью того, что любой такой ордер будет нарушением защиты Четвертой поправки к Конституции США от необоснованных обысков. Такая ситуация потенциально может привести к проблемам, связанным с нарушением Первой поправки к Конституции США, гарантирующей в том числе свободу слова, и повлечь беспокойство пользователей Google о том, что их личность может быть раскрыта правительству просто на основании поисковых запросов.

Исследователи в области безопасности из «Лаборатории Касперского» обнаружили новую версию шпионского ПО FinSpy , которое перехватывает контроль и заменяет загрузчик Windows UEFI для заражения компьютерных систем. Данный метод позволил злоумышленникам установить буткит без необходимости обходить проверки безопасности прошивки. По словам экспертов, заражение UEFI редко встречается и его трудно осуществить. Хотя в данном случае злоумышленники заразили не саму прошивку UEFI, а его следующий этап загрузки, атака была особенно скрытной, поскольку вредоносный модуль был установлен на отдельном разделе и мог контролировать процесс загрузки зараженного устройства. Как отметили исследователи, это одна из самых трудных для обнаружения шпионских программ на сегодня. Шпионское ПО оснащено четырьмя различными уровнями обфускации в дополнение к вектору буткита UEFI. В отличие от предыдущих версий FinSpy, содержащих троян сразу в зараженном приложении, новые образцы теперь защищены двумя компонентами: непостоянным пре-валидатором и пост-валидатором. «Первый компонент выполняет несколько проверок безопасности, убеждаясь, что атакованное устройство не принадлежит исследователю в области кибербезопасности. Только после прохождения проверки сервер предоставляет пост-валидаторный компонент. Затем сервер сможет развернуть полноценное троянское ПО», — пояснили специалисты. Шпионское ПО содержит четыре сложных кастомных обфускатора, предназначенных для замедления анализа шпионского ПО. Кроме того, троян может использовать режим разработчиков в браузерах для перехвата трафика, защищенного протоколом HTTPS. На всех компьютерных системах, зараженных буткитом UEFI, диспетчер загрузки Windows (bootmgfw.efi) был заменен вредоносным. Когда UEFI передает выполнение вредоносному загрузчику, он сначала находит и заменяет исходный диспетчер загрузки Windows на исправленную версию, способную обойти все проверки безопасности. На старых устройствах без поддержки UEFI было зафиксировано заражение через MBR (Master Boot Record).

Cообщество HackerOne объявило о расширении программы поиска уязвимостей в проектах с открытым ПО. Инициатива проводится в рамках текущей программы Internet Bug Bounty. В число проектов с открытым кодом, попадающих под программу выплаты вознаграждений HackerOne, включены: Ruby, Ruby on Rails, RubyGems, Curl, Electron, Django, Nginx и OpenSSL. За найденные уязвимости в этих проектах HackerOne будет выплачивать от $300 до $5000, в зависимости от критичности бага. Оплата будет проводится следующим образом. Четыре пятых награды сразу получит исследователь, который обнаружил проблему. Пятая часть награды будет перечислена разработчику, который занимается в открытом проекте направлением, которая затрагивает новая уязвимость. Он получит оплату от HackerOne после того, как выпустит патч против уязвимости. "Программное обеспечение с открытым исходным кодом используется практически во всей современной цифровой инфраструктуре. В настоящее время среднее, добротное, не очень насыщенное приложение использует 528 различных компонентов с открытым исходным кодом. Обнаруженные в 2020 году критические уязвимости существовали к моменту обнаружения в среднем около двух лет, и компании-разработчики приложений не имели доступа и возможности устранить выявленные недостатки используемых компонентов", - говорится в пресс-релизе компании. Наряду с HackerOne участвующими партнерами являются организации, которые полагаются на открытый исходный код для цепочек поставок программного обеспечения и другой критически важной цифровой инфраструктуры, - Elastic, Facebook, Figma, GitHub, Shopify и TikTok.

Большую часть ботнета Mēris, получившего известность после рекордной DDoS-атаки на компанию «Яндекс», составляют непропатченные маршрутизаторы MikroTik, скопрометированные еще в 2018 году. «К сожалению, устранение уязвимости не обеспечивает немедленную защиту для этих маршрутизаторов. Если кто-то получил ваш пароль в 2018 году, простое обновление не поможет. Вы также должны изменить пароль, перепроверить межсетевой экран, если он не разрешает удаленный доступ сторонним лицам, и провести проверку на предмет не созданных вами скриптов», - отметил сотрудник MikroTik на сайте компании. Латвийский производитель также отметил, что речь не идет о новой, неизвестной уязвимости, и владельцы устройств, применившие патчи и сменившие пароль, защищены от атак. Как отмечается, компания предприняла попытки проинформировать пользователей об угрозе, но почти безуспешно, поскольку «многие из них не находились в контакте с MikroTik и не мониторят свои устройства». MikroTik порекомендовала пользователям проверить устройства на предмет вредоносных скриптов или неизвестных конфигураций протокола SOCKS и сообщить компании в случае обнаружения таковых на маршрутизаторах с новыми версиями RouterOS. «В частности, мы предлагаем отключить SOCKS и проверить меню System -> Scheduler. Отключите все правила, которые не можете идентифицировать. По умолчанию, не должно быть правил Scheduler и SOCKS должен быть отключен», - отметили в компании.

В своем новом отчете эксперты исследовательского центра Citizen Lab Университета Торонто рассказали о ранее неизвестной уязвимости в iOS, проэксплуатировать которую можно с помощью всего лишь одного нажатия. Согласно отчету, с февраля 2021 года уязвимость использовалась в атаках на нескольких активистов и диссидентов в Бахрейне. Эксперты связали новый эксплоит с израильским производителем коммерческого шпионского ПО NSO Group, который в последнее время регулярно упоминается в СМИ в связи со слежкой за активистами и журналистами. FORCEDENTRY является одной из нескольких уязвимостей, эксплуатировавшихся для заражения устройств инструментом для слежения Pegasus от NSO Group. По словам специалистов, FORCEDENTRY использовалась в более широкой хакерской кампании, начавшейся в июле 2021 года и затронувшей как минимум девять бахрейнских активистов. «Как минимум четыре активиста были атакованы LULU – оператором Pegasus, которого можно с большой уверенностью отнести к правительству Бахрейна, известного своими злоупотреблениями шпионским ПО», – сообщается в отчете. В данной хакерской кампании FORCEDENTRY не была главной эксплуатирующейся уязвимостью. Атака осуществлялась в три этапа, и похоже, что эксплоит для FORCEDENTRY был разработан ранее в нынешнем году для обхода новых функций, представленные Apple в iOS 14. В настоящее время подробности об уязвимости iMessage, эксплуатировавшейся FORCEDENTRY, не раскрываются, в основном из-за того, что она еще не исправлена. На данный момент об уязвимости известно следующее: FORCEDENTRY – эксплоит в один клик (zero-click). То есть, всего лишь получив от злоумышленника вредоносного сообщение в iMessage, жертва может заразить свой iPhone вредоносным ПО. То есть, не нужно нажимать на ссылку в сообщении или даже читать его; FORCEDENTRY может обходить BlastDoor – новую функцию безопасности, тайно добавленную Apple в iOS 14 в прошлом году. Она работает путем помещения некоторых элементов iMessage в песочницу с целью изоляции получаемого в сообщениях вредоносного кода от взаимодействия с ОС; FORCEDENTRY использовался в атаках на версии iOS 14.4 и 14.6, однако эксплоит также может работать и на текущих версиях iOS; FORCEDENTRY также использовался в атаках на пользователей во Франции и Индии.

Обнаружение и закрытие фишинговых сайтов у Центробанка занимает три дня, этого недостаточно - бизнесу и правоохранителям нужно наращивать скорость обмена информацией. Об этом заявил РИА Новости начальник Следственного департамента МВД РФ Сергей Лебедев. Господин Лебедев рассказал, что механизм обмена информацией между банками и полицией «заформализованный», но на расследование преступлений могут уходить месяцы. «У Центрального банка для обнаружения и закрытия так называемых фишинговых сайтов уходит три дня, но и этого недостаточно. Для своевременного пресечения противоправной деятельности мошенников обмен информацией и реагирование на противоправные проявления должен быть в высшей степени оперативным»,— пояснил он. Он также подчеркнул, что увеличение скорости обмена сведениями между силовиками и банками, операторами связи, Интернет-провайдерами могло бы повлиять на эффективность расследования IT-преступлений и установление злоумышленников.

Исследователи в области кибербезопасности из компании Uptycs сообщили о вредоносной кампании, в ходе которой хакеры используют червь, написанный на языке Golang, для установки криптомайнера на устройства жертв. Криптомайнер изменяет конфигурации ЦП на взломанных Linux-серверах с целью повысить эффективность и производительность своего кода для майнинга криптовалюты. Как сообщили эксперты, это первый случай, когда злоумышленники изменяют моделезависимые регистры (Model-Specific Registers, MSR) процессора для отключения функции Hardware Prefetcher ЦП. Аппаратная предварительная выборка, включенная по умолчанию на большинстве процессоров, позволяет процессору загружать в кэш-память данные на основе операций, которые могут потребоваться в ближайшем будущем. Когда ЦП выполняет повторяющиеся вычисления, аппаратная предварительная выборка может помочь повысить производительность. MSR представляют собой набор регистров управления, доступных на процессорах x86, которые можно использовать для управления различными функциями, включая включение и отключение аппаратной предварительной выборки. По словам специалистов, ботнет для майнинга криптовалюты нарушал работу Linux-серверов, загружал драйвер MSR для Linux, а затем отключал предварительную выборку оборудования перед установкой майнера XMRig. В Uptycs предполагают, что злоумышленники придумали отключить аппаратную предварительную выборку после прочтения документации XMRig, в которой говорится об увеличении скорости работы приложения на 15%, если функция Hardware Prefetcher отключена. Операторы ботнета в ходе атак эксплуатировали уязвимости CVE-2020-14882 и CVE-2017-11610 для получения доступа к системам под управлением Linux, на которых запущен Oracle WebLogic или Supervisord. По словам Uptycs, тот же ботнет был активен по крайней мере с декабря 2020 года и использовался для атак на серверы с запущенным MySQL, Tomcat, Oracle WebLogic или Jenkins.

29 и 30 июля 2021 года проходило тестирование московской системы онлайн-голосования. За это время разработчики не только получили обратную связь от пользователей, но также столкнулись с попытками взлома платформы. Как сообщается, за все два дня тестирования системы было отмечено несколько попыток взломать ее. Одна из атак случилась за час до окончания тестирования. В службу поддержки написал молодой человек по имени Дмитрий и сообщил разработчикам, что устроил массовый вброс бюллетеней. «Мы напряглись сразу, – признался Костырко. – Но стали проверять систему и увидели, что она справилась с атакой, аннулировав все бюллетени, кроме двух – по одному для каждого опроса». Сейчас разработчики обсуждают возможность отмены всех результатов по всем таким бюллетеням. А через неделю они должны объявить хакера, который за время проведения теста нашел в системе слабое место и указал на него создателям платформы. Более того, эксперта наградят премией размером 2 млн рублей, как и было обещано ранее.

Россиянина Егора Крючкова, который был осужден в США за попытку кибервзлома американской компании-производителя электромобилей Tesla, депортировали в Россию. Об этом сообщили в пограничной службе США. - Указанное лицо депортировали 21 июля 2021 года, - сообщила представитель ведомства РИА Новости. Летом 2020 года 27-летний Егор Крючков с сообщниками пытался подкупить сотрудника компании Tesla за $1 млн, чтобы тот установил вредоносное программное обеспечение. Оно должно было предоставить Крючкову доступ к системе, чтобы потом, угрожая публикацией данных, вымогать у компании деньги. 22 августа его задержали в Лос-Анджелесе. Суд приговорил его к десяти месяцам содержания под стражей и депортации из США.

Директор ЦРУ Уильям Бёрнс в интервью радио NPR выразил сомнения в том, что власти России имеют влияние на хакеров, которые постоянно атакуют объекты в США. По словам Бёрнса, президенты России и США Владимир Путин и Джо Байден говорили об этом на встрече в Женеве. Байден просил российского коллегу пресечь деятельность хакеров, пусть даже «не связанных с государством». Борьба российских властей с хакерскими группировками, действующими на территории страны, показала бы серьезность намерений Москвы сотрудничать с Вашингтоном в сфере кибербезопасности. Об этом в интервью радиостанции NPR заявил директор ЦРУ Уильям Бернс. При этом, как подчеркнул глава ЦРУ, сразу после встречи в Женеве американская компания Kaseya подверглась атаке хакерской группировки REvil, которую связывают с РФ. «Это важный тест на серьезность для российского руководства», — заявил Бернс. В то же время он добавил, что правильнее всего будет «скептически относиться к способности российского правительства действовать по этим вопросам».

Американские власти собираются более жестко контролировать транзакции с криптовалютой. По словам источников Bloomberg, власти США планируют «более тщательно отслеживать переводы» денежных средств, представленных в криптовалюте, которые компании, организации и ведомства осуществляют в качестве платы киберпреступникам. Хакеры могут требовать средства за возвращение похищенной информации или восстановление доступа к компьютерным системам. Ранее советник президента США по национальной безопасности Джейк Салливан заявил, что администрация Соединенных Штатов на текущей неделе объявит о дополнительных шагах, направленных на противодействие кибератакам с использованием вирусов-вымогателей.

Тысячи игровых консолей Sony PlayStation 4 были конфискованы после их обнаружения на старом складе, который использовался для незаконной добычи криптовалюты. Как сообщили сотрудники Службы безопасности Украины (СБУ), склад находился в промышленной зоне города Винница и в прошлом принадлежал электроэнергетической компании ОАО «Винницаоблэнерго». В здании сотрудники правоохранительных органов обнаружили то, что они назвали «крупнейшей в стране подпольной криптовалютной фермой». В общей сложности конфисковано около 3,8 тыс. игровых консолей, хранившихся на металлических стойках, а также более 500 видеокарт и 50 процессоров. Аппаратное обеспечение использовалось для добычи криптовалюты. По текущим оценкам, преступники похищали электроэнергию на сумму от 5 млн до 7 млн грн. (от $186 200 до $259 300) в месяц. Как сообщили представители ОАО «Винницаоблэнерго», «компания не имеет отношения к какой-либо незаконной деятельности» и «оборудование для майнинга криптовалюты никогда не работало в помещениях, принадлежащих компании». По данным издания delo.ua, устройства использовались вовсе не для майнинга криптовалюты, а для «прокачки ботов» для футбольного симулятора FIFA. Боты на консолях наигрывали нужное количество часов и внутриигровой валюты, а потом учетную запись преступники продавали в специальных online-магазинах.

Кибервымогательская группировка Clop, на прошлой неделе арестованная в рамках международной правоохранительной операции, также управляла сервисом по отмыванию денег, которым пользовались другие киберпреступные группы. По данным криптовалютной биржи Binance, группировка занималась как кибератаками, так и «рискованным обменом», отмывая средства для себя и для других киберпреступников. В общей сложности Clop отмыла более $500 млн в криптовалюте, полученных в качестве выкупа от жертв вымогательского ПО Clop и Petya. Кроме того, группировка, которую Binance отслеживала как FancyCat, отмыла миллионы долларов, полученных в результате других видов киберпреступлений. Зарегистрированная на Каймановых островах криптовалютная биржа Binance совместно с аналитическими компаниями TRM Labs и Crystal (BitFury) обнаружиласуществование группировки, собрала о ней все возможные данные и передала правоохранительным органам. По словам представителей биржи, эта информация поспособствовала дальнейшим арестам участников группировки. Как сообщает украинская полиция, шесть участников Clop были арестованы на прошлой неделе в Киеве и области. Хотя, правоохранители утверждают, что арестованные и есть сама группировка Clop, по данным Binance они всего лишь «пешки» в ее операциях. Это объясняет, почему после арестов атаки Clop все еще продолжаются . Так, сайт утечек группировки по-прежнему активный, и 22 июня (через шесть дней после арестов) на нем появились сведения о новой жертве.

Эксперты компании BeyondTrust, занимающейся кибербезопасностью в операционных системах UNIX, Linux, Windows и macOS, опубликовала The Annual Microsoft Vulnerabilities Report 2021» («Ежегодный отчет об уязвимостях Microsoft»). Согласно документу, в 2020 году в решениях техногиганта ИБ-специалисты выявили 1268 уязвимостей, что является рекордным числом. В период с 2016 по 2020 год количество уязвимостей в решениях американской компании увеличилось на 181%. Наибольшая часть проблем была обнаружена в продуктах семейства Windows — 907. Общее число выявленных критических уязвимостей составило 132. Примечательно, что большинство проблем может быть нейтрализовано путем отключения прав администратора. Впервые на уязвимости повышения привилегий пришлось наибольшая доля от общего числа проблем в продуктах Microsoft (44%). Данное число увеличилось почти в три раза с 198 в 2019 году до 559 в 2020 году.

За атакой на крупнейшего в мире производителя мясных продуктов питания JBS стоит киберпреступная группировка REvil (Sodinokibi), связываемая многими ИБ-экспертами с Россией. Об этом изданию Bloomberg Quint сообщили четыре осведомленных источника, не уполномоченные обсуждать данный вопрос. Напомним , на прошлых выходных производственные мощности JBS по всему миру подверглись кибератаке, из-за которой компания была вынуждена остановить производство в Австралии и США. Во вторник, 1 мая, компания сообщила, что ей удалось добиться «существенного прогресса» в восстановлении после кибератаки и в среду она планирует запустить «большую часть» производственных процессов. Как сообщило Министерство сельского хозяйства США, оно продолжает тесно сотрудничать с Белым домом, Министерством внутренней безопасности, JBS USA и другими организациями для мониторинга ситуации и оказания помощи в решении любых потенциальных проблем с поставками или ценами. По мнению самой киберпреступной группировки REvil, в сфере кибервымогательства ей нет равных, и она не нуждается в дополнительной рекламе. Среди недавних жертв REvil – корпорация Apple , один из крупнейших в мире производителей компьютерной техники Acer , одна из крупнейших в Японии строительных компаний Kajima Construction Corporation , бразильские суды и многие другие организации.

Ларри Брандт, давний сторонник свободы в Интернете, использовал свой почти 20-летний счет PayPal для оплаты серверов поддерживающих сеть Tor. Теперь аккаунт Брандта в PayPal был закрыт, показав, как финансовая цензура может навредить делу свободы Интернета во всем мире. Брандту не удалось решить проблему напрямую через PayPal, поэтому он обратился в Фонд электронных рубежей (EFF), некоммерческую организацию, отстаивающие права людей на свободу в сети. В течение многих лет EFF документировал случаи финансовой цензуры, когда платежные посредники и финансовые учреждения закрывали счета и отказывались обрабатывать платежи для людей и организаций, которые не были обвинены в совершении какого-либо преступления, а просто симпатизировали идеям свободы и анонимности. EFF обратился к PayPal за разъяснениями, однако в ответ получили лишь сухое: «ситуация определена надлежащим образом». Отличный повод перейти на криптовалюту