Теги → вирус-вымогатель
Быстрый переход

Хакерская группировка вымогает деньги у властей маленького канадского городка

IT-инфраструктура небольшого канадского городка Сейнт-Мэрис (провинция Онтарио) с населением 7500 человек подверглась атаке хакерской группировки LockBit. Заблокированы крупнейшие узлы городских систем — продолжают работать только базовые службы, такие как очистка воды и транспорт.

 Источник изображения: discoverstmarys.ca

Источник изображения: discoverstmarys.ca

22 июля на сайте группировки LockBit в даркнете появились сведения о взломе официального сайта города, и в качестве подтверждения была опубликована часть скопированных и зашифрованных файлов. Мэр Сейнт-Мэриса Эл Стратди (Al Strathdee) сообщил по телефону журналистам The Verge, что для преодоления проблемы власти города обратились к группе экспертов, которые выявили причину и подготовили план дальнейших действий.

Он подтвердил, что после того, как часть городских систем оказалась заблокированной, мэрия получила от LockBit требование о выкупе, однако деньги пока выплачены не были. Канадское правительство не одобряет выплат выкупов кибервымогателям, но в Сейнт-Мэрисе делегировали принятие окончательного решения рабочей группе по инциденту.

На сайте LockBit опубликованы скриншоты с папками, соответствующими направлениям деятельности городских властей: финансы, здравоохранение и безопасность, очистка сточных вод, данные о собственности и общественные работы. Обычно группировка даёт жертвам время на размышление и при невыплате выкупа публикует похищенную информацию в интернете. Нанятые городом специалисты пытаются восстановить повреждённые данные из резервных копий.

Только в июне 2022 года хакеры LockBit взяли на себя ответственность за 50 инцидентов, связанных с вирусами-вымогателями, пишет Recorded Future. А канадский Сейнт-Мэрис оказался вторым городом, ставшим заложником киберпреступников чуть более чем за неделю: 14 июля аналогичной атаке подвергся городок Фредерик (население 15 000 человек) в американском штате Колорадо — негодяи потребовали $200 000.

Обнаружен вирус-вымогатель GoodWill, который требует от жертв добрых дел, а не денег

Эксперты по кибербезопасности CloudSEK рассказали о хакерской группировке GoodWill, которая распространяет вирус-вымогатель, но для расшифровки данных требует у жертвы не денежного выкупа, а добрых дел. К примеру, пожертвовать бездомным одеяла, накормить голодающих детей фастфудом или оплатить лечение неимущему, зафиксировать всё это на фото и видео, чтобы потом разместить их в соцсетях.

 Источник изображения: Pete Linforth / pixabay.com

Источник изображения: Pete Linforth / pixabay.com

По версии экспертов, операторы вымогателя работают из Индии — на это указывают их электронные письма и приписанные к Мумбаи IP-адреса, к которым обращается вирус. Кроме того, в одной из строк кода обнаружена запись на «хинглише» — смеси хинди и английского языка. Вредонос написан на фреймворке .NET, сжат упаковщиком исполняемых файлов UPX, а данные на заражённых Windows-машинах шифруются на основе алгоритма AES.

После заражения ПК жертвы вирус GoodWill шифрует на нем файлы различных форматов и предлагает для их расшифровки совершить три добрых дела: подарить одежду или одеяла «нуждающимся на дороге», отвести пятерых бедных детей в заведение фастфуда, а также посетить ближайшую больницу и оплатить лечение человеку, которые не в состоянии сделать этого самостоятельно.

Первые две акции необходимо задокументировать в соцсетях, используя предлагаемую хакерами рамку для фото, а по последней сделать с объектом помощи селфи и вместе с аудиозаписью разговора с этим человеком отправить его операторам вируса-вымогателя. Выполнив три этих добрых дела, необходимо написать и разместить в соцсети статью на тему «Как ты стал добрым человеком, оказавшись жертвой вируса-вымогателя GoodWill». После этого хакеры якобы высылают инструмент для расшифровки данных.

Эксперты обнаружили связь GoodWill с образцом экспериментального вредоноса HiddenTear, который разработал и в целях защиты безопасности разместил на GitHub некий турецкий программист. Как сообщили CloudSEK, 91 из 1246 строк кода GoodWill совпадает с образцом HiddenTear.

Число атак вирусов-вымогателей на российские компании утроилось

В специализирующихся на вопросах кибербезопасности компаниях подсчитали, что с начала весны в три раза выросло количество атак вирусов-вымогателей на ресурсы российских предприятий. Это связывают с украинскими событиями: после его начала в хакерском сообществе произошёл раскол, когда разные группировки стали поддерживать разные стороны конфликта, пишет «Коммерсантъ».

 Источник изображения: Gerd Altmann / pixabay.com

Источник изображения: Gerd Altmann / pixabay.com

В «Лаборатории Касперского» отметили, что в 2022 году операторы вирусов-вымогателей сменили тактику, переключившись с массовых рассылок на атаки с чётко обозначенной целью, а также стали использовать более сложное ПО, способное работать на нескольких операционных системах. В частности, хакерская группировка Conti разработала шифровальщик, способный работать в системах Linux — это «перспективное» направление, отметили в компании Positive Technologies, поскольку популярность этих платформ растёт.

Не менее важным оказалась геополитическая сторона вопроса: группировки хакеров начали принимать одну из сторон в украинским конфликте и проводить свои атаки в поддержку России или Украины. Олег Скулкин из компании Group-IB рассказал, что после заявления группировки Conti о поддержке российской стороны один из её украинских партнёров выложил в открытый доступ личные данные участников группировки и исходный код созданного ими вируса-шифровальщика, который впоследствии стал использоваться против российских компаний. В целом с начала весны, говорят в Group-IB, количество атак вирусов-вымогателей на ресурсы российских компаний утроилось.

Отмечается также, что несколько изменился вектор кибератак: традиционно вирусы-шифровальщики использовались с целью вымогательства за восстановление доступа к данным. Теперь же хакеры всё чаще преследуют иные цели: похищение и публикацию закрытых данных, как это было в ходе инцидента с RuTube, а также нарушение работоспособности ресурсов только ради общественного резонанса.

В 2021 году операторы вирусов-вымогателей установили несколько «рекордов»

Подразделение анализа угроз Unit 42 специализирующейся на вопросах информационной безопасности компании Palo Alto Networks опубликовало доклад, согласно которому сегмент вирусов-вымогателей по итогам прошлого года значительно вырос.

 Источник изображения: Tumisu / pixabay.com

Источник изображения: Tumisu / pixabay.com

По информации Unit 42, атакам вирусов-вымогателей подверглось рекордное число компаний, увеличилось и количество организаций, согласившихся заплатить киберпреступникам выкуп за расшифровку данных. Поставить новые рекорды злоумышленникам помогла новая практика публикации в даркнете «сайтов с утечками» — даже часть выложенных в открытый доступ данных оказывает на жертв вымогательства дополнительное давление, вынуждая их заплатить.

Основываясь на кейсах прошлого года, аналитики Unit 42 подсчитали, что средний размер запрашиваемого киберпреступниками выкупа вырос на 144 % и достиг $2,2 млн, а средний размер фактического платежа вырос на 78 % и составил $540 тыс. Наиболее пострадавшими от вирусов-вымогателей отраслями стали юриспруденция, строительство, оптовая и розничная торговля, здравоохранение, а также производственная сфера.

Самой активной за минувший год стала хакерская группировка Conti — на её долю пришлось в среднем более одного из пяти инцидентов, с которыми работали консультанты Unit 42. Второе место заняла нейтрализованная ФСБ группировка Revil с 7,1 % инцидентов, а третье поделили между собой Hello Kitty и Phobos, чьи «бренды» всплывали в 4,8 % случаев.

Группировка Conti разместила на своём сайте с утечками данные по 511 организациям, и это тоже рекордный показатель. Кроме того, за минувший год появились 35 новых группировок, которые специализируются на вирусах-вымогателях. Часть доходов от незаконной деятельности злоумышленники направляли на разработку новых, более простых в использовании инструментов кибератак, и всё чаще использовались уязвимости нулевого дня.

Резко возросла в вымогательских схемах роль сайтов с утечками, оказывающих на жертв дополнительное психологическое давление — на них были опубликованы данные по 2566 организациям. 60 % жертв находились в Америке, 31 % — в Европе, на Ближнем Востоке и в Африке, а ещё 9 % — в Азиатско-Тихоокеанском регионе.

Взломавшие NVIDIA хакеры продают информацию об обходе ограничителя майнинга в видеокартах GeForce RTX 30-й серии

Хакерская группа LAPSUS$ заявляет, что в течение недели обладала доступом к внутренним серверам компании NVIDIA и похитила оттуда 1 Тбайт конфиденциальной информации. По заявлениям злоумышленников, несмотря на все усилия производителя графических процессоров, им удалось получить доступ к данным о графических драйверах NVIDIA, иному программному обеспечению, а также к документации различных продуктов производителя.

 Источник изображений: VideoCardz

Источник изображений: VideoCardz

Более того, хакеры заявляют, что получили доступ к информации, позволяющей обходить ограничитель майнинга (LHR V2) в видеокартах GeForce RTX 30-й серии на базе графических процессоров GA102 и GA104. И эти данные выставлены на продажу.

Злоумышленники отмечают, что NVIDIA не хочет наладить с ними контакт. Это в конечном итоге может привести к тому, что хакеры выложат остальную имеющуюся у них конфиденциальную информацию в открытый доступ. Более того, некоторую часть этой информации, похоже, киберпреступники уже выложили в Сеть.

NVIDIA до сих пор не поделилась подробностями инцидента, но подтвердила, что занимается расследованием произошедшего. Согласно более ранним сообщениям хакеров, специалисты по кибербезопасности компании сами проникли в компьютеры злоумышленников и попытались зашифровать похищенные данные. Однако все усилия оказались напрасными — хакеры произвели резервное копирование похищенной информации.

Хакеры взломали серверы Gigabyte, зашифровали данные и требуют выкуп

Серверы тайваньской компании Gigabyte подверглись атаке вируса-вымогателя. Хакеры, стоящие за взломом, грозятся опубликовать 112 Гбайт конфиденциальной корпоративной информации, если производитель материнских плат, видеокарт и другой компьютерной техники не согласится с их требованиями.

 Источник изображений: The Record

Источник изображений: The Record

В разговоре с порталом The Record представитель Gigabyte подтвердил взлом. Аналогичное сообщение о происшествии было опубликовано на тайваньском сайте производителя. По словам представителя, инцидент не затронул информацию, связанную с производственной цепочкой компании. Атаке подверглись лишь несколько внутренних серверов в тайваньской штаб-квартире Gigabyte, которые сразу же были отключены и изолированы от остальной внутренней Сети.

В настоящий момент компания выясняет, каким образом хакеры пробились через систему безопасности её Сети, украли файлы и зашифровали локальные данные. К делу также подключились местные органы правопорядка. Gigabyte не стала называть хакеров, стоящих за этим взломом. Однако порталу The Record удалось выяснить, что руку приложила группировка RansomExx. Свои требования выкупа представители группировки опубликовали в даркнете. Если компания не согласится с их требованиями, злоумышленники грозятся опубликовать информацию, которая была украдена:

«Мы загрузили 112 Гбайт (120 971 743 713 байт) ваших файлов и готовы их опубликовать. Многие из них находятся под соглашениями о неразглашении, подписанными с компаниями Intel, AMD и American Megatrends. Источники утечек: [отредактировано]gigabyte.intra, git.[отредактировано].tw и другие», — написали хакеры на своей странице в даркнете.

Для примера они также опубликовали скриншоты некоторых украденных файлов.

Gigabyte стала не единственным производителем компьютерного оборудования, который в последнее время подвергся аналогичным атакам. В прошлом жертвами вирусов-вымогателей стали компании Acer, AdvanTech, Compal, Quanta, Garmin и другие.

Хакерская группировка RansomExx, начавшая свою деятельность летом 2020 года, также ответственна за взлом IT-систем департамента здравоохранения итальянского Лацио. Они заблокировали работу портала, использовавшегося для регистрации на вакцинацию от COVID-19 жителями столицы и окружающих регионов.

США запустили онлайн-центр помощи жертвам программ-вымогателей

В США в четверг представили онлайн-центр помощи для жертв атак программ-вымогателей, который поможет компаниям и организациям в поиске ресурсов и получении помощи в случае кибератаки.

 REUTERS/Kacper Pempel

REUTERS/Kacper Pempel

Веб-сайт www.StopRansomware.gov был создан по инициативе Министерства юстиции США и Министерства внутренней безопасности США. Как указано в заявлении Министерства юстиции, ресурсы и информационные организации, необходимые для борьбы с атаками программ-вымогателей, исторически были разбросаны по нескольким веб-сайтам, что увеличивало «вероятность того, что могла быть пропущена важная информация».

«Новый веб-сайт является первым центральным хабом, объединяющим ресурсы для борьбы с программами-вымогателями всех федеральных правительственных агентств», — говорится в сообщении.

Запуск сайта произошёл после атаки с использованием программ-вымогателей на крупнейшую трубопроводную систему США Colonial Pipeline в начале этого года, что привело к повсеместному дефициту горючего на заправочных станциях на восточном побережье США. Спустя некоторое время Министерство юстиции США вернуло Colonial Pipeline большую часть выкупа в криптовалюте в размере $2,3 млн, выплаченных хакерам компанией.

«Министерство юстиции стремится защитить американцев от увеличения числа атак с использованием программ-вымогателей, которые мы наблюдаем в последние годы», — отметил генеральный прокурор США Меррик Гарланд (Merrick Garland).

Украинская киберполиция арестовала хакеров, распространявших вирус-вымогатель Clop

Департамент киберполиции Национальной полиции Украины сообщил в среду о серии рейдов, проведённых в Киеве и Киевской области, которые закончились арестом шести человек, предположительно входящих в группу по распространению вируса-вымогателя Clop.

Рейды прошли в рамках международной операции, осуществляемой при содействии и координации Интерпола (IGCI) совместно с работниками правоохранительных органов Республики Корея и США. В результате обысков, проведённых в 21 доме, были изъяты десятки компьютеров и дорогие автомобили в дополнение к примерно $185 тысячам. На имущество подозреваемых наложен арест.

Сообщается, что совместными усилиями правоохранителей удалось прекратить работу инфраструктуры, с которой осуществляется распространение вируса Clop, и заблокировать каналы легализации криптовалюты, полученной преступным путём.

Среди жертв хакерской группировки значатся компании Shell и Kroger, Стэнфордский университет, Мэрилендский университет и Университет Колорадо, Резервный банк Новой Зеландии и компания по кибербезопасности Qualys. Украинская полиция сообщила, что общий ущерб, нанесённый атаками преступников, оценивается в $500 млн.

В 2019 году группировка провела атаку с использованием программ-вымогателей против четырёх южнокорейских компаний, в результате чего было заражено вирусом более 800 серверов и компьютеров. В ноябре прошлого года группа также атаковала южнокорейского гиганта электронной коммерции E-Land, выведя из строя её компьютерную сеть на несколько дней. Хакерская группа также известна тем, что предпочитает атаковать сети компаний, использующих устаревший файлообменный сервис Accellion FTA (File Transfer Application). Таким, например, оказался канадский производитель самолётов и космической техники Bombardier.

В свою очередь, компания по кибербезопасности Intel 471 сообщила ресурсу BleepingComputer, что украинские власти арестовали лишь людей, причастных к отмыванию денег для группировки Clop, а основные участники группировки, скорее всего, находятся в России. «Мы не думаем, что какие-либо ключевые участники CLOP были задержаны, и мы полагаем, что они, вероятно, живут в России», — заявили в Intel 471.

Компания Acer подверглась атаке, хакеры требуют выкуп в размере $50 млн

Компания Acer подверглась хакерской атаке группировки REvil, которая подселила на серверы компании одноимённый вирус-вымогатель и требует от известного тайваньского производителя лэптопов, десктопов и мониторов выкуп в размере $50 млн. В качестве доказательств хакеры предоставили часть списка данных, к которым они получили доступ. В него входят финансовые ведомости, банковские кредитные счета, другие финансовые документы, а также информация о сотрудниках.

Как пишет ресурс BleepingComputer, в разговоре с журналистами представитель компании не стал прямо отвечать на вопрос о том, действительно ли они подверглись атаке REvil. Он лишь отметил, что они «сообщили о нештатных ситуациях» в соответствующие правоохранительные органы.

 Скриншот одного из финансовых документов Acer, оказавшегося в руках хакеров REvil

Скриншот одного из финансовых документов Acer, оказавшегося в руках хакеров REvil

Полное заявление сотрудника Acer выглядит следующим образом:

«Acer регулярно проводит мониторинг своих IT-систем и от большинства кибератак компания хорошо защищена. Такие компании как наша довольно часто подвергаются хакерским атакам. Мы сообщили о недавно наблюдавшихся нештатных ситуациях в правоохранительные органы, а также органы по надзору за соблюдением законодательства о защите персональных данных в нескольких странах. Мы постоянно совершенствуем свою инфраструктуру кибербезопасности для защиты бизнеса и целостности нашей информации. Мы настоятельно рекомендуем всем компаниям и организациям не пренебрегать кибербезопасностью и быть бдительными в отношении любых нарушений сетевой активности».

На просьбу предоставить больше деталей представитель Acer ответил, что «в настоящий момент идёт расследование и в целях безопасности компания не может пока более детально комментировать ситуацию».

Французскому изданию LegMagIT удалось обнаружить послание хакеров REvil компании Acer. В нём они требуют выплатить $50 млн до 28 марта. За это хакеры предоставят Acer декриптор для расшифровки зашифрованных файлов. Если компания не заплатит до указанной даты, то цена выкупа удвоится.

 Послание с требованиями хакеров REvil компании Acer

Послание с требованиями хакеров REvil компании Acer

Ресурсу BleepingComputer удалось выяснить, что один из представителей Acer провёл встречу с представителем хакерской группировки REvil 14 марта. Сумма выкупа его мягко сказать озадачила. В ходе того же разговора представитель REvil поделился ссылкой на сайт, на котором указывался список документов, к которому хакеры получили доступ. Помимо этого, киберпреступники предложили Acer снизить на 20 % сумму выкупа, если компания заплатит им до минувшей среды. Вместе с декриптором для расшифровки файлов злоумышленники пообещали удалить украденные файлы, а также предоставить отчёт об уязвимости, через которую они взломали сервера Acer. Для убедительности представитель REvil пригрозил «не повторять судьбу SolarWind».

Требование выкупа в размере $50 млн является самым крупным из известных, отмечает BleepingComputer. В прошлом с требованием самого крупного выкупа в $30 млн столкнулась гонконгская розничная компания Dairy Farm, сервера которой также были взломаны хакерской группировкой REvil.

По словам Виталия Кремеза (Vitali Kremez), главы компании Advanced Intelligence, занимающейся вопросами кибербезопасности, их платформа Andariel обнаружила, что недавней целью хакеров REvil стала платформа Microsoft Exchange Server, расположенная в домене, принадлежащем Acer.

«Система Andariel компании Advanced Intelligence обнаружила, что одна конкретная группа хакеров, связанная с REvil, недавно пыталась заразить Microsoft Exchange Server компании Acer», — поделился Кремез в разговоре с BleepingComputer.

 Лог взлома, обнаруженный платформой Andariel

Лог взлома, обнаруженный платформой Andariel

Источник указывает, что уязвимость ProxyLogon в Microsoft Exchange Server ранее уже использовалась хакерами для подселения вируса-вымогателя DearCry. Однако тогда масштаб взлома был гораздо меньше.

Canon подтвердила августовский взлом своих серверов. Хакеры украли данные сотрудников

В августе этого года мы сообщали, что несколько десятков онлайн-сервисов компании Canon были взломаны группой хакеров, которые украли якобы порядка 10 Тбайт различной информации и потребовали за неё выкуп. На то время сама Canon не стала подтверждать взлом своих серверов, но сообщила, что занимается расследованием произошедшего инцидента. Спустя три месяца Canon всё-таки созналась, что пережила хакерскую атаку, а также рассказала о том, какая информация была украдена.

По данным ресурса Canon Watch, который первым обратил внимание на официальное заявление компании Canon, в период с 20 июля по 6 августа 2020 года злоумышленники могли получить информацию о текущих и бывших сотрудниках компании, работающих и работавших в американском офисе Canon, а также в его дочерних подразделениях в период с 2005-го по 2020-й годы.

Поясняется, что информация содержит данные о представителях и официальных сотрудниках компании, включая их номера социального страхования, данные водительских удостоверений, паспортные данные, данные о лицевых счетах для выплаты заработной платы, а также данные электронной подписи.

Canon заявила, что незамедлительно занялась случившимся инцидентом, обратившись за помощью в компанию, занимающуюся вопросами кибербезопасности, а также связалась с органами правопорядка, чтобы те предоставили помощь в проведении расследования.

Для оказания помощи тем, чья информация была похищена во время хакерской атаки, Canon также предлагает бесплатную подписку службы кредитного мониторинга, с помощью которой можно будет обнаружить «возможное неправомерное использование личной информации человека и предоставить ему услуги по защите персональных данных».

Canon взломан: серверы лежат, информация украдена, хакеры требуют денег

По данным интернет-издания BleepingComputer, онлайн-сервисы компании Canon подверглись мощной хакерской атаке. В настоящий момент не работают более двух десятков американских сайтов производителя фото и видеоаппаратуры, а также почтовые сервисы, внутренние корпоративные платформы и многие другие приложения. Кроме того, как указывает источник, хакеры предположительно похитили 10 Тбайт данных, включающих личную информацию.

Источник сообщает, что атака предположительно началась ещё 30 июля, с сайта image.canon (облачного сервиса Canon, позволяющего хранить фотографии и видео), когда стали наблюдаться проблемы в его работе, а затем он и вовсе отключился. В течение нескольких дней сервис был недоступен. С 4 августа Canon его снова запустила. Однако на главной странице сайта о хакерской атаке ничего не сообщается. Кроме того, в сообщении указывается, что с доступом к 10 Тбайт архивной информации, сохранённой до 16 июня, наблюдались проблемы, в результате которых эти данные были потеряны. В то же время Canon заверяет, что никаких утечек данных не происходило. И вообще все проблемы они решили.

BleepingComputer решили копнуть глубже и выяснили, что проблемы были (и остаются) не только с облачным сервисом Canon. Под атакой оказалось несколько десятков других онлайн-ресурсов компании. В распоряжение журналистов попало изображение сообщения из сервисного отдела Canon, в котором указывается о массовых системных неполадках в работе множества платформ, а также проблемах с доступом к различным ресурсам, включая почту и канал для связи на платформе Microsoft Teams.

Проверка показала, что в настоящий момент не работает ни один из более 20 представленных ниже сайтов компании. При входе на них пользователя встречает «заглушка», сообщающая о том, что ресурс находится на техническом обслуживании.

Позже выяснилось, что атака была произведена хакерской группировкой Maze, стоящей за созданием вируса-вымогателя Maze Ransomware. Журналистам удалось выйти на её представителей. Те опровергли информацию о том, что первоначальная атака на сайт image.canon была произведена ими, однако подтвердили, что стоят за взломом более 20 различных сервисов Canon. Ресурсу удалось получить в своё распоряжение часть скриншота с посланием хакеров для Canon, в котором они указывают, что получили доступ к «10 Тбайт данных, частных баз данных и прочей информации», хранящейся на серверах онлайн-сервисов Canon. Каким-либо образом подтвердить свои слова хакеры отказались.

В своём послании хакеры Maze также сообщают, что зашифровали украденные данные и их резервные копии. Canon сможет получить декриптор и доступ к данным только в том случае, если решит заплатить за это. Кроме того, после оплаты хакеры обязуются удалить все данные со своих носителей. Подробности сделки не указываются, но злоумышленники готовы их предоставить через собственную площадку в даркнете. Судя по всему, ниже в послании идёт инструкция о том, как это сделать, но скриншот дальше обрывается. Если Canon не пойдёт на предложенные условия, Maze угрожают опубликовать все данные компании в открытом доступе на своём сайте.

Ресурс BleepingComputer обратился за комментариями в Canon, но там пока молчат. Как указывает источник, ранее жертвами хакеров Maze и их вируса-вымогателя Maze Ransomware стали многие компании, включая LG, Xerox, Conduent, MaxLinear, Cognizant, Chubb, VT San Antonio Aerospace и другие.

Кибератака вынудила Honda приостановить на день производство по всему миру

Honda Motor сообщила во вторник о приостановке производства некоторых моделей автомобилей и мотоциклов по всему миру в связи с кибератакой, произошедшей в понедельник.

 REUTERS/Jonathan Ernst

REUTERS/Jonathan Ernst

По словам представителя автопроизводителя, хакерская атака затронула Honda в глобальном масштабе, вынудив компанию прекратить работы некоторых заводов из-за отсутствия гарантии полноценной работы систем контроля качества после вмешательства хакеров. Хакерская атака повлияла на работу электронной почты и других систем на заводах по всему миру, так что компании пришлось отправить немало сотрудников домой.

Как утверждает представитель Honda, целью вируса-вымогателя был один из внутренних серверов компании. Он добавил, что вирус распространился по всей сети, но не стал вдаваться в подробности.

По данным Financial Times, на данный момент работа большей части заводов компании была возобновлена, но автомобильные заводы Honda в Огайо и Турции и мотоциклетные заводы в Бразилии и Индии, как сообщается, по-прежнему остаются закрытыми.

Компания настаивает на том, что её данные не были похищены, и что хакерская атака оказала минимальное влияние на её бизнес. У Honda имеется по всему миру более чем 400 филиалов, где работает около 220 тыс. человек.

Вирус RobbinHood атакует ПК через брешь в драйверах Gigabyte

Несколько дней назад специалисты британской компании Sophos сообщили о проблеме на ПК, где используются драйверы Gigabyte. Как оказалось, в них есть уязвимость, позволяющая отключать антивирусы и брать компьютеры под контроль. Проблема проявляется на Windows 7, Windows 8 и Windows 10.

 techadvisor.co.uk

techadvisor.co.uk

Сначала злоумышленники осуществляют установку легального драйвера Gigabyte GDRV.SYS, через который можно получить доступ к ядру. После этого система проверки подписи драйверов в Windows временно отключается, а затем производится установка драйвера RBNL.SYS, который позволяет остановить антивирусы на локальный машине, «убивает» процессы и удаляет файлы систем безопасности, а также блокируют доступные способы восстановления ОС.

Наконец, после этого запускается вирус-вымогатель RobbinHood. Это вредоносное ПО зашифровывает файлы и выставляет цену в $10 тысяч, причём каждый день «просрочки» увеличивает сумму ещё на $10 тысяч.

По данным экспертов это не единственный случай. Схожие бреши есть в приложения VirtualBox (CVE-2008-3431), Novell (CVE-2013-3956), CPU-Z (CVE-2017-15302), а также ASUS (CVE-2018-18537). Однако активное применение зафиксировано только для драйвера Gigabyte (CVE-2018-19320).

Самое интересное, что уязвимость была обнаружена ещё в 2018 году. Однако в Gigabyte сначала заявили, что бреши не существует, а после публикации эксплойта просто прекратили разработку этого драйвера. В свою очередь, сертификат компании Verisign, которым подписан драйвер, до сих пор не отозван, а само уязвимое ПО можно загрузить и сегодня.

Учитывая, что против уязвимости не помогут ни антивирусы, ни разработчики, специалисты из Sophos рекомендуют ввести многофакторную аутентификацию, использовать сложные пароли, ограничивать права доступа и регулярно делать бэкапы, которые должны храниться на изолированных машинах.

ESET предупреждает о всплеске активности нового шифратора GandCrab

Работающая в сфере IT-безопасности компания ESET информирует о всплеске активности новой программы-шифровальщика GandCrab, блокирующей доступ к данным на компьютере и требующей выплаты определённой суммы киберпреступникам для возвращения доступа к ценной информации.

Шифратор распространяется под видом программ для взлома популярных в пользовательской среде приложений и игр, таких, как Minecraft, Counter Strike, StarCraft, Adobe Acrobat, Microsoft Office, антивирусный софт и др. Попав в систему жертвы, GandCrab собирает информацию с устройства, включая имя компьютера, имя пользователя и IP-адрес. Далее вредоносная программа запускает процесс шифрования данных на жёстких, съёмных и сетевых дисках, удаляет резервные копии операционной системы и выводит на экран требование выкупа в криптовалюте.

GandCrab может шифровать файлы различных форматов, в том числе документы Microsoft Office, OpenOffice, PDF и текстовые файлы, базы данных, фотографии, музыку и видео. При этом восстановить зашифрованные данные в настоящее время не представляется возможным.

Эксперты компании ESET советуют воздержаться от установки любых «кряков» и пиратских версий легитимных программных продуктов. «Если заражение шифратором произошло, платить вымогателям не рекомендуется — получение выкупа ни к чему их не обязывает, зато мотивирует продолжать противоправную деятельность», — говорится в информационном сообщении антивирусного вендора.

В облачном хранилище OneDrive появилась защита от вирусов-вымогателей

Microsoft добавила в облачное хранилище OneDrive функцию «Восстановление файлов» (Files Restore), которая ранее была доступна только владельцам бизнес-аккаунтов. Теперь ею могут пользоваться все, у кого оформлена подписка Office 365. Нововведение позволяет восстанавливать файлы в облаке за последние 30 дней.

Компания позиционирует функцию как способ защититься от вирусов-вымогателей, которые блокируют файлы на компьютере и зачастую пытаются удалить облачные копии, хранящиеся в синхронизированных папках. Обычно жертвам таких вирусов придётся платить злоумышленникам, чтобы получить свои документы обратно.

Если OneDrive обнаружит массовое удаление файлов в облаке, то Microsoft сообщит об этом пользователю по почте или через мобильное или настольное уведомление. После этого можно будет быстро откатить изменения до того момента, когда вирус начал удалять файлы.

Ссылки, с помощью которых вы делитесь документами из OneDrive, теперь можно защитить паролем. Редмондский гигант также усилил защиту писем в Outlook.com. Шифрование можно включать для отдельных сообщений. Если сервис обнаружит в письме конфиденциальную информацию, то сам предложит её защитить.

Зашифрованные сообщения можно читать через Outlook.com, Outlook для iOS и Android, почтовый клиент Windows или просто по специальной ссылке. Автор письма волен запретить пересылать и копировать его.

Все перечисленные функции, кроме защищённых паролем ссылок в OneDrive, уже должны быть доступны некоторым пользователям Office 365, а до остальных подписчиков доберутся до конца месяца. Зашифрованные ссылки появятся в облачном сервисе в ближайшие недели.

window-new
Soft
Hard
Тренды 🔥
Плохая производительность и скучные бои в космосе: подробности и геймплей альфа-версии ролевой игры Warhammer 40,000: Rogue Trader 11 мин.
В плеере Winamp появилась поддержка NFT-треков 20 мин.
Deloitte и AWS создали Olympus — первый отраслевой фонд по развитию облачных вычислений 28 мин.
И ты, Брут: браузер Chrome начал призывать пользователей Windows 7 и 8.1 обновить ОС 3 ч.
Apple расширила ценовой диапазон в App Store — теперь приложение может стоить от $0,29 до $10 000 5 ч.
Microsoft обязалась 10 лет выпускать Call of Duty на консолях Nintendo и «в любой день» готова подписать соглашение с Sony 6 ч.
Создатели Dead Island 2 показали геймплей за зомби и функцию голосового управления 7 ч.
THQ Nordic подтвердила дату выхода экшен-платформера SpongeBob SquarePants: The Cosmic Shake — предзаказ доступен и в российском Steam 7 ч.
Microsoft рассматривает создание «суперприложения» для смартфонов, вдохновившись WeChat и «Яндекс.Go» 7 ч.
Adobe приступила к сокращению сотрудников вслед за другими IT-гигантами 8 ч.
Власти Китая разрешили американским инспекторам проверить компании, чтобы снять угрозу санкций 15 мин.
Видеокарты XFX Radeon RX 7900 XTX Merc 310 и RX 7900 XT Merc 310 показались на изображениях 22 мин.
ILIFE объявила скидки до 68 % на робот-пылесос V3s max, а также беспроводные пылесосы H11 и W150 26 мин.
В Японии озаботились проблемой дозаправки спутников в космосе — это поможет сократить засорение орбиты 38 мин.
Продажи коммутаторов для ЦОД растут везде, кроме региона EMEA 2 ч.
ASRock готовит премиальную видеокарту Radeon 7900 XTX Aqua OC с большим водоблоком 2 ч.
Самый протяжённый в мире подводный интернет-кабель 2Africa дотянется и до Индии 2 ч.
MEILIN AUTO представила в России гибриды премиум-класса Hongqi EHS9 и Li ONE 2 ч.
Intel почти в 1,8 раза подняла производительность видеокарт Arc в CS:GO — ускорены и другие игры с DirectX 9 2 ч.
Производство смартфонов упало в третьем квартале на 11 % — до 289 млн единиц 2 ч.