ФОРЕКС: Доллар/Рубль 70.599 ▼ -0.684 • Евро/Рубль 81.943 ▼ -0.73 • Нефть 83.98 ▲ +1.37 • Золото 1793.29 ▲ +10.04 • Биткоин 61369.64 ▲ +546.47
Курсы валют от ЦБ РФ на 23 октября 2021 года. Доллар США $ — 70.86 руб. ▼ -0.13. Евро € — 82.5 руб. ▼ -0.14.
К ЭТОМУ ЧАСУ

SecAtor

Bitdefender обнаружили, что руткит FiveSys имеет цифровую подпись, выпущенную Microsoft, и может незаметно проникать в системы пользователей Windows благодаря ей.

Несмотря на то, что Microsoft ввела строгие требования к цифровой подписи WHQL (Windows Hardware Quality Labs) для пакетов драйверов и начиная с Windows 10 build 1607 запретила загрузку драйверов режима ядра без такого сертификата, это вовсе не мешает разработчикам вредоносных программ обходить сертификацию Microsoft, получая цифровые подписи для своих руткитов.

Достаточно вспомнить руткит Netfilter, который сертифицировали через программу совместимости оборудования Windows.

Согласно отчету исследователей, FiveSys похожа на вредоносную программу Undead, и как и Netfilter, нацелена на игровой сектор в Китае. Отнести ВПО к какому-либо конкретному китайскому актору Bitdefender не удалось, поскольку их инструменты имеют одинаковую функциональность, но сильно отличаются по реализации.

Что известно о новом рутките: благодаря периодически обновляемому сценарию автоконфигурации, который содержит список доменов / URL-адресов, руткит направляет Интернет-трафик на настраиваемый прокси-сервер. Используя список цифровых подписей, руткит может предотвратить загрузку драйверов из семейств вредоносных программ Netfilter и fk_undead.

Кроме того, FiveSys включает встроенный список из 300 предположительно сгенерированных случайным образом доменов, которые хранятся в зашифрованном виде и предназначены для предотвращения потенциальных попыток удаления.

Bitdefender идентифицировали несколько двоичных файлов пользовательского режима, которые используются для извлечения и выполнения вредоносных драйверов на целевых машинах. В целом, FiveSys использует в общей сложности четыре драйвера.

Конечно, Microsoft оперативно отозвала цифровую подпись для FiveSys, но тенденция с сертификацией настораживает.

SecAtor

После того, как в 2019 году Evil Corp попали под американские санкции и получить выкуп от жертв своих атак фактически стало невозможным, хакеры для их обхода стали ребрендировать свои новые ransomware-кампании. Атрибутировать с Evil Corp удалось WastedLocker, Hades, Phenoix, CryptoLocker и PayloadBin.

Еще одним штаммом программ-вымогателей, который, хоть и бездоказательно, но приписывается к Evil Corp - DoppelPaymer, переименованный недавно в Grief.

Но это мы к чему, как вы помните мы писали о последних серьезных инцидентах с Olympus и Sinclair Broadcast Group, за которым стоила новая банда Macaw Locker. Специалисты Emsisoft, изучая код ransomware, пришли к выводу, что MacawLocker является последним ребрендингом семейства программ-вымогателей Evil Corp, которым под новым брендом удалось отработать только двух указанных жертв и запросить выкуп 28 миллионов и 40 миллионов долларов соответственно.

В целом, изучение кода ransomware несет в себе достаточно важную функцию, которая позволяет находить ошибки и уязвимости в работе алгоритмов шифрования, давая возможность не только создавать утилиты для расшифровки, но и следить за развитием программ-вымогателей.

Все это является важным элементом в борьбе с бизнес-моделью ransomware. Именно такое мнение высказал известный ресерчер Will Bushido, которому удалось обобщить результаты исследований и наглядно представить эволюцию наиболее популярных программ-вымогателей 👇👇👇

SecAtor

Как мы и предполагали, в деле REvil не обошлось без спецслужб.

Случилось это ровным счетом после того, как заместитель генерального прокурора США Джон Карлин выступил с инициативой признать терроризмом кибератаки с использованием ransomware на критически важные объекты инфраструктуры, что позволило официально подключить к делу американские спецслужбы и Министерство обороны.

Согласно источникам Reuters, весь трюк с отключением и восстановлениям инфраструктуры вымогателей REvil является частью продолжающейся операции с участием ФБР, Киберкомандования, Секретной службы, а также правоохранителей и разведок ряда стран. Целью являлось установление участников и нейтрализация деятельности банды.

Спецслужбам удалось расшарить доступ к некоторым серверам REvil и запилить пиксели в резервные копии, после развертывания которых позволили, вероятно, отдеанонить ключевых кодеров и админов, о чем сообщал совсем недавно один из лидеров, известный как 0_neday. И, собственно, об этом умалчивал Директор ФБР США в ходе встречи с конгрессменами, объясняя трехнедельное промедление передачи ключа дешифрования.

По иронии судьбы, излюбленная тактика банды компрометировать резервные копии была обращена правоохранителями против самих же хакеров.

С ними все понятно, как мы и заявляли, поимка и наказание - дело времени и техники, однако до настоящего времени остается невыясненным судьба Unknown, после исчезновения которого и начались известные события.

SecAtor

Огнем и мечом Google отстаивает интересы YouTube-блоггеров. Корпорация заявила, что предотвратила массовую кампанию фишинговых атак, в ходе которых хакеры использовали вредоносное ПО для кражи файлов cookie, с целю захватить учетные записи YouTube в интересах своих мошеннических целей, в том числе с криптовалютой.

Рассылка фишинговых писем продолжается с 2019 года, причем преимущественно в русскоязычном сегменте, с ложными предложениями о сотрудничестве. Письма рассылались на адреса электронной почты, которые владельцы каналов YouTube публиковали сами в коммерческих целях.

Завоевав доверие жертвы, хакеры отправляли URL-адрес либо по электронной почте, либо в формате PDF на Google Диске с последующим редиректом на целевую страницу с вредоносным ПО, которое крадет файлы cookie из браузера жертвы с последующим захватом учетной записи. На рынке теневых услуг такие аккаунты продаются от 3 до 4000 долларов, в зависимости от количества подписчиков, либо монетизируются хакерами в других мошеннических схемах.

В число вредоносных программ, использованных в этих атаках, входили Azorult, Grand Stealer, Kantal, Masad, Nexus stealer, Predator The Thief, RedLine, Raccoon, Vikro Stealer и Vidar, а также инструменты с открытым исходным кодом, такие как Sorano и AdamantiumThief. По примерным подсчётам в рамках своей схемы хакеры зарегистрировали около 15 000 учетных записей, а также фейковые домены, связанные с крупными компаниями и более 1000 сайтов, которые использовались для доставки вредоносного ПО.

Поисковый гигант заявил, что заблокировал более 1,6 миллиона таких сообщений, отобразил около 62 000 предупреждений о безопасном просмотре выявленных фишинговых страниц, заблокировал 2400 файлов и восстановил примерно 4000 взломанных аккаунтов.

Специалисты из Google отметили, что злоумышленники перешли с почтовых сервисов Gmail на других поставщиков электронной почты. Дабы разделить ответственность и попытать удачу каким-то образом выявить и наказать злоумышленников Google передали сведения об инцидентах в ФБР для дальнейшего расследования.

SecAtor

Перенаправлено из → Эксплойт | Live
Facebook не может определиться с новым названием

Марк Цукерберг должен будет рассказать о ребрендинге соцсети на конференции Connect, которая состоится уже 28 октября.

По имеющимся данным, Марк расскажет о таких больших переменах в своей компании 25 октября.

В Bloomberg предположили, что компания может использовать для этого уже зарегистрированный адрес meta.com, но название Skynet, конечно, было бы куда лучше.

Ранее он сообщал, что хочет создать на основе Facebook «метавселенную», а сама соцсеть, как следствие, перестанет играть ключевую роль в компании (как WhatsApp или Instagram).

Телеграм канал SecAtor @true_secator

SecAtor

20K members
101 photos
2 videos
2 files
2K links
Руки-ножницы российского инфосека.

Для связи - [email protected]

По всем вопросам: [email protected]

Читайте также: