Теги → хакеры
Быстрый переход

Хакеры заблокировали Apex Legends некоторым игрокам с требованием «спасти Titanfall»

Необычной хакерской атаке подверглись игроки, запустившие 4 июля королевскую битву Apex Legends. Они стали получать сообщения с требованием «спасти Titanfall», первую игру из этой вселенной за авторством Respawn Entertainment.

Источник: Respawn Entertainment

Источник: Respawn Entertainment

У части игроков в главном меню появился новый режим «Savetitanfall», который полностью блокирует дальнейшую возможность играть. Другие геймеры же просто после матча получили «важное сообщение» с просьбой перейти на сайт Savetitanfall.com.

Описание режима гласит, что «TF1 подвергается атакам, значит, и Apex будет». Речь идёт о DDOS-атаках на серверы Titanfall, которые блокируют онлайновую составляющую игры с 2019 года. Разработчики хоть и обещали исправить ситуацию, но атаки продолжаются до сих пор.

Источник: Twitter

Источник: Twitter

Сайт Savetitanfall сообщает, что взлом Apex Legends является способом борьбы с нежеланием Respawn исправить ситуацию с Titanfall. Пока неизвестно, сколько игроков получили подобные оповещения и сколько из них не смогли дальше играть в Apex Legends. Судя по сообщениям на Reddit, проблема не зависит от региона или платформы — некоторые пользователи из Японии отмечают, что они не могут дальше играть на PS4.

Источник: Twitter

Источник: Twitter

Пока что Respawn Entertainment не прокомментировала ситуацию.

Масштабная атака программы-вымогателя затронула сотни американских компаний

В пятницу вечером в США была зарегистрирована крупная атака программы-вымогателя, которая парализовала сети как минимум 1000 различных компаний. Как предполагают исследователи безопасности, за атакой стоит группировка REvil, состоящая из русскоязычных хакеров.

axel.org

axel.org

Хакеры смогли внедриться в программное обеспечение для удалённого администрирования VSA (Virtual System Administrator) компании Kaseya и использовали его в качестве канала для распространения программы-вымогателя. Заразив широко используемое в IT-инфраструктуре ПО, они смогли добиться того, что вредоносный код распространяется вместе с автоматическими обновлениями VSA. Как написал в своём twitter-аккаунте Джон Хаммонд (John Hammond) из занимающейся кибербезопасностью фирмы Huntress Labs: «Kaseya обслуживает огромное количество компаний по всему миру, от средних до мелких, поэтому вредоносное ПО имеет потенциал разойтись повсеместно, вне зависимости от масштабов бизнеса. Из-за такого канала распространения это колоссальная и разрушительная атака».

Точных данных о количестве пострадавших пока нет. Сама Kaseya заявила, что от атаки пострадало «небольшое количество» пользователей. Тем не менее, она порекомендовала всем использующим уязвимое ПО компаниям незамедлительно отключить свои серверы.

Kaseya

Kaseya

Аналитик по кибербезопасности Бретт Кэллоу (Brett Callow) из фирмы Emsisoft прокомментировал, что он не видел атак программ-вымогателей такого масштаба: «Это что-то типа SolarWinds, только ещё и с вымогателем».

Эксперты обращают внимание и на то, что для атаки была специально подобрана особая дата — канун 4 июля, Дня независимости США, когда на рабочих местах находится минимальное количество IT-персонала.

В настоящее время уже известно как минимум о четырёх провайдерах IT-услуг, пострадавших от атаки. Через них были заражены тысячи компьютеров, данные на которых были зашифрованы вредоносном с целью получения выкупа. Как уточнил Хаммонд, он знает о 200 компаниях, потерявших доступ к информации в результате атаки. Сумма выкупа, которую требуют хакеры, начинается с $45 тыс.

«Основываясь на том, что мы узнали, мы почти уверены, что это REvil», — добавил Хаммонд в twitter. Эта группировка стала печально известна после атаки на крупнейшего в мире переработчика мяса JBS в мае. Стоит отметить, что REvil представляет собой довольно мощную команду, которая развивает сервис «вымогатель как услуга», то есть занимается разработкой вредоносного ПО, которое затем сдаётся в аренду третьим лицам.

Агентство по кибербезопасности и инфраструктурной безопасности США в пятницу вечером выступило с заявлением, что оно внимательно следит за ситуацией и работает с ФБР, чтобы собрать больше информации. На момент написания новости Kaseya продолжает оценивать ущерб, настоятельно не советует клиентам включать серверы, а при получении каких-либо сообщений от хакеров рекомендует не переходить по ссылкам.

В атаке на сетевые хранилища WD хакеры пользовались системным скриптом, в котором была удалена проверка пароля

На прошлой неделе владельцы сетевых хранилищ Western Digital My Book Live столкнулись с атакой вредоносного программного обеспечения, которое сбрасывает до заводских настройки устройства, уничтожая в большинстве случаев хранящиеся на нём пользовательские данные. Теперь же стало известно, что хакеры использовали уязвимость нулевого дня, эксплуатация которой позволяет удалённо сбросить настройки упомянутых сетевых хранилищ до заводских.

Изображение: Getty Images

Изображение: Getty Images

Эта уязвимость примечательна тем, что с её помощью злоумышленники без особого труда смогли уничтожить петабайты пользовательских данных. Ещё более примечательно то, что разработчики WD по неизвестным причинам избавились от функции проверки имени пользователя и пароля при выполнении команды на сброс настроек. Недокументированная уязвимость находится в файле прошивки system_factory_restore, который содержит в себе сценарий PHP для сброса настроек до заводских с полным удалением хранящихся данных.

Обычно для выполнения команды на сброс настроек требуется подтверждение данного действия паролем. В этом случае ввод пароля является гарантией, что настройки подключённого к интернету устройства не будут сброшены удалённо злоумышленником. В упомянутом файле сценария содержатся пять строк кода, которые отвечают за вывод запроса на подтверждение сброса настроек паролем. Однако по неизвестным причинам эта часть кода оказалась закомментирована разработчиками.

Изображение: Ars Technica

Изображение: Ars Technica

Информация о недокументированной уязвимости появилась через несколько дней после атаки вредоносного ПО. Ранее WD объявила о том, что для сброса настроек сетевых хранилищ хакеры использовали старую уязвимость CVE-2018-18472, которая позволяет осуществить удалённое выполнение кода. Хотя об этой уязвимости стало известно ещё в 2018 году, WD так и не исправила её, поскольку поддержка устройств My Book Live была прекращена за несколько лет до этого.

В WD прокомментировали, что по крайней мере в некоторых случаях хакеры использовали для атаки на My Book Live уязвимость CVE-2018-18472, а уже после этого эксплуатировали вторую уязвимость, которая позволяет сбросить настройки до заводских. Но это объяснение выглядит странным, поскольку после эксплуатации первой уязвимости злоумышленник уже имеет возможность удалённого выполнения любого кода, и в использовании второй уязвимости нет никакой необходимости.

Такое поведение может объясняться разве только действиями разных хакеров. Сначала неизвестный злоумышленник использовал уязвимость CVE-2018-18472 для получения контроля над устройствами и включения их в ботнет. А позднее конкурирующий хакер использовал неизвестную ранее уязвимость для удалённого сброса настроек, чтобы попытаться перехватить контроль над сетевыми хранилищами. Эта теория выглядит наиболее правдоподобной, поскольку другим способом объяснить поведение хакеров сложно.

Microsoft сообщила о новых атаках хакерской группировки Nobelium

Компания Microsoft заявила о новой активности группировки Nobelium, которая предположительно состоит из русскоговорящих хакеров. В сообщении в блоге компании сказано, что новая серия атак группировки Nobelium направлена против различных компаний в 36 странах мира. Ранее сообщалось, что участники упомянутой группировки причастны к атакам на клиентов компании SolarWinds.

Изображение: Annette Riddle / Image Alliance / Getty Images

Изображение: Annette Riddle / Image Alliance / Getty Images

«Центр аналитики угроз Microsoft отслеживает новую активность злоумышленников Nobelium. Наше расследование используемых методов и тактик продолжается, но мы уже зафиксировали распыление [использование ранее утекших паролей и генерация новых] и атаки методом перебора. Мы хотим поделиться некоторыми подробностями, чтобы помочь нашим клиентам и сообществам защитить себя», — говорится в сообщении Microsoft, где также подчёркивается, что большинство атак злоумышленников оказались неудачными.

Согласно имеющимся данным, атаки хакеров в основном совершались против IT-компаний (57 %) и правительственных организаций (20 %). Значительно меньше злоумышленников интересовали неправительственные учреждения, аналитические центры и финансовые организации. Хакеры атаковали компании из 36 стран мира, но в основном их деятельность была направлена против организаций из США, Великобритании, Германии и Канады.

Microsoft продолжает отслеживать активность злоумышленников. Своим клиентам компания рекомендует следовать рекомендациям по обеспечению безопасности и использовать для защиты аккаунтов двухфакторную аутентификацию. Отметим, что в мае этого года Microsoft обвинила Nobelium в атаке на 150 компаний из разных стран мира.

Хакеры опубликовали около 700 Гбайт украденной у ADATA информации

Хакеры, стоящие за вирусом-вымогателем Ragnar Locker, опубликовали в Сети украденные у компании ADATA файлы общим объёмом около 700 Гбайт. Всего доступно 13 архивов, в которых, предположительно, содержится конфиденциальная информация тайваньского производителя оперативной памяти, твердотельных накопителей и других устройств.

В минувшее воскресенье хакеры разместили украденные файлы на файлообменнике MEGA и отметили, что доступ к ним скоро может быть закрыт. Злоумышленники не ошиблись, поскольку сервис вскоре действительно заблокировал все размещённые ссылки.

По данным портала BleepingComputer, в списке содержались архивы разного объёма, от 1 до почти 300 Гбайт. По названию файлов сложно определить, что в них может находиться, особенно в случае с Archive#1 и Archive#2. Исходя из названий других файлов, злоумышленники опубликовали финансовую информацию ADATA, договоры о неразглашении информации (NDA) и прочие сведения о тайваньском производителе.

Публикация файлов подтверждает то, что ADATA отказалась платить хакерам выкуп за возврат украденных данных, и самостоятельно восстановила защиту в своей системе безопасности.

По словам представителя хакерской группировки Ragnar Locker, перед тем, как зашифровать доступ к размещённой на сервере ADATA информации, они похитили в общей сложности 1,5 Тбайт данных. Хакеры не торопились, поскольку у ADATA оказалась очень слабая защита безопасности корпоративной сети. Насколько это заявление соответствует действительности — пока неизвестно.

«В общем, как обычно, мы предложили им сотрудничество и помощь в закрытии дыр, а также в восстановлении информации, конечно же, пообещав не публиковать в открытом доступе информацию, к которой мы получили доступ. Как оказалось, они не сильно ценят свою информацию, а также личные данные своих партнёров, клиентов, сотрудников и покупателей», — отметил представитель Ragnar Locker.

Следует отметить, что хакеры уже второй раз публикуют украденную у ADATA информацию. Ранее они выложили в Сеть четыре небольших архива общим объёмом менее 250 Мбайт. Что любопытно, их по-прежнему можно скачать с файлообменника.

Украинская киберполиция арестовала хакеров, распространявших вирус-вымогатель Clop

Департамент киберполиции Национальной полиции Украины сообщил в среду о серии рейдов, проведённых в Киеве и Киевской области, которые закончились арестом шести человек, предположительно входящих в группу по распространению вируса-вымогателя Clop.

Рейды прошли в рамках международной операции, осуществляемой при содействии и координации Интерпола (IGCI) совместно с работниками правоохранительных органов Республики Корея и США. В результате обысков, проведённых в 21 доме, были изъяты десятки компьютеров и дорогие автомобили в дополнение к примерно $185 тысячам. На имущество подозреваемых наложен арест.

Сообщается, что совместными усилиями правоохранителей удалось прекратить работу инфраструктуры, с которой осуществляется распространение вируса Clop, и заблокировать каналы легализации криптовалюты, полученной преступным путём.

Среди жертв хакерской группировки значатся компании Shell и Kroger, Стэнфордский университет, Мэрилендский университет и Университет Колорадо, Резервный банк Новой Зеландии и компания по кибербезопасности Qualys. Украинская полиция сообщила, что общий ущерб, нанесённый атаками преступников, оценивается в $500 млн.

В 2019 году группировка провела атаку с использованием программ-вымогателей против четырёх южнокорейских компаний, в результате чего было заражено вирусом более 800 серверов и компьютеров. В ноябре прошлого года группа также атаковала южнокорейского гиганта электронной коммерции E-Land, выведя из строя её компьютерную сеть на несколько дней. Хакерская группа также известна тем, что предпочитает атаковать сети компаний, использующих устаревший файлообменный сервис Accellion FTA (File Transfer Application). Таким, например, оказался канадский производитель самолётов и космической техники Bombardier.

В свою очередь, компания по кибербезопасности Intel 471 сообщила ресурсу BleepingComputer, что украинские власти арестовали лишь людей, причастных к отмыванию денег для группировки Clop, а основные участники группировки, скорее всего, находятся в России. «Мы не думаем, что какие-либо ключевые участники CLOP были задержаны, и мы полагаем, что они, вероятно, живут в России», — заявили в Intel 471.

У Volkswagen украли личные данные трёх миллионов клиентов

Концерн Volkswagen столкнулся с утечкой данных своих клиентов из США и Канады. Злоумышленники получили доступ к контактной информации более 3 миллионов клиентов, а в некоторых случаях произошла также утечка личных данных, таких как номера водительских удостоверений.

wired.com

wired.com

VW обратилась к 90 тысячам человек в США, конфиденциальная информация которых была украдена в результате взлома. В большинстве случаев это были номера водительских удостоверений, а также номера социального страхования, даты рождения и номера аккаунтов VW или Audi. Согласно заявлению автопроизводителя, были затронуты и те люди, которые просто интересовались покупкой авто.

wired.com

wired.com

Данные были украдены у внешнего подрядчика, услугами которого пользуется VW и некоторые дилеры, продающие автомобили компании. Сообщается, что они были собраны в период с 2014 по 2019 годы  и сохранены для маркетинговых целей. VW извинилась перед своими клиентами и посоветовала им быть бдительными в отношении подозрительных сообщений, в которых от них могут попытаться узнать личные данные или информацию об автомобиле.

Хакеры рассказали, как украли данные у Electronic Arts — «помогла» IT-поддержка компании

Порталу Motherboard удалось выяснить детали проникновения группы хакеров в закрытую корпоративную сеть Electronic Arts, из которой они похитили 780 Гбайт информации. Как оказалось, злоумышленники обманули внутреннюю техническую поддержку компании.

Источник изображения: Eurogamer

Источник изображения: Eurogamer

Представитель хакеров в разговоре с журналистами Motherboard сообщил, что взлом начался с покупки украденных файлов cookie за $10. Эти файлы позволили им получить доступ к закрытому корпоративному каналу Electronic Arts в мессенджере Slack. В файлах cookie могут сохраняться данные логина конкретных пользователей. Злоумышленники могут использовать эти данные для авторизации в сервисе, притворившись человеком, который имеет к нему доступ. В случае канала Electronic Arts в мессенджере Slack так и произошло.  

«Попав в чат, мы написали членам IT-поддержки [EA] и объяснили, что “потеряли” телефон на прошлой вечеринке», — сказал представитель хакеров порталу Motherboard.

Хакеры попросили у поддержки токен для мультифакторной аутентификации, чтобы получить доступ к корпоративной сети Electronic Arts. По словам злоумышленников, затея оказалась успешной два раза. Попав во внутреннюю сеть, хакеры нашли сервис разработчиков EA для компиляции игр. Они успешно авторизовались в нём, а затем создали виртуальную машину, которая открыла для них более подробную информацию о структуре внутренней сети EA, а также предоставила доступ к ещё одному сервису. Через него взломщики и украли исходный код движка Frostbite, FIFA 21, а также прочие файлы общим объёмом более 780 Гбайт.

Представитель группы хакеров предоставил Motherboard скриншоты, на которых показаны все шаги взлома, включая их общение с IT-поддержкой EA в мессенджере Slack. Electronic Arts, в свою очередь, подтвердила описанную версию проникновения в их закрытую сеть.

Ранее в официальном заявлении EA указала, что расследует инцидент с проникновением в свою внутреннюю сеть, из которой был похищен ограниченный объём исходного кода и инструментов для работы с ним. Тогда же компания отметила, что личные данные игроков не были похищены. После инцидента безопасность сети была усилена. В издательстве считают, что произошедший случай не окажет негативного влияния на его игры или бизнес. Компания обратилась в правоохранительные органы и к сторонним экспертам по безопасности для проведения расследования.

Представитель хакеров также поделился с Motherboard некоторыми украденными документами. В них содержатся различные материалы о PlayStation VR, данные о том, как EA создаёт цифровые толпы в FIFA, а также информация о работе искусственного интеллекта в играх компании.

Хакеры похитили данные 26 млн аккаунтов различных сайтов, включая Apple, Amazon, Facebook и Netflix

Хакерам удалось взломать более трёх миллионов компьютеров и похитить персональные данные и информацию о платежах 26 млн аккаунтов различных сайтов, включая Amazon, Apple, Facebook и многих других.

applelianos.com

applelianos.com

Специалистам NordLocker, разработчика одноимённого софта для шифрования файлов, удалось получить доступ к базе данных, собранных хакерами. Сообщается, что с помощью неопознанного вредоносного программного обеспечения (троянца) для Windows похищали информацию в течение двух лет с 2018 по 2020 год. В общей сложности было собрано около 1,2 Тбайт личных данных c 3,25 млн компьютеров.

Хакеры похитили информацию о 26 млн аккаунтах, а также финансовые данные. Также сообщается, что было собрано 2 млрд файлов cookies и 6,6 млн других файлов. Вредоносный софт позволял хакерам подключиться к веб-камерам жертв, а также делать скриншоты, когда те вводили личную информацию при входе в свой аккаунт на каком-либо сайте.

Интересно, что эта новость появилась на фоне сообщений о всплеске хакерских атак, затронувших крупные американские компании. В результате одной из них была нарушена работа ключевого трубопровода на Восточном побережье США, что привело к дефициту бензина на заправочных станциях. Также пострадал крупный поставщик мяса.

Что касается обнаруженной NordLocker огромной базы украденных данных, компания заявила: «Мы хотим прояснить ситуацию: мы не покупали эту базу данных и не будем попустительствовать другим сторонам, делающим это. Группа хакеров случайно раскрыла местонахождение базы данных».

ФБР удалось получить доступ к биткоин-кошельку хакеров из DarkSide, атаковавших системы Colonial Pipeline

Ранее в этом году хакеры из группировки DarkSide атаковали американского оператора нефтепровода Colonial Pipeline с помощью программ-вымогателей и получили выкуп в размере 75 биткоинов (около $5 млн). На этой неделе стало известно, что ФБР удалось не только отследить перемещения цифровых активов хакерами, но и получить доступ к их биткоин-кошельку. Эта новость фактически подрывает утверждение, согласно которому криптовалюта является анонимным финансовым инструментом хакеров.

Изображение: Budrul Chukrut / Getty Images

Изображение: Budrul Chukrut / Getty Images

После того, как 8 мая Colonial Pipeline выплатила хакерам за разблокировку внутренних IT-систем 75 биткоинов, за дело взялись сотрудники ФБР, которые в течение 19 следующих дней отслеживали в публичном реестре перемещения цифровых активов. Чтобы запутать следы хакеры переводили биткоины на разные криптовалютные кошельки. Однако ФБР смогло отследить операции по перемещению около 64 биткоинов на один кошелёк, а также получить приватный ключ для доступа к цифровым активам. Каким образом удалось это делать, не уточняется.

Ранее на этой неделе Министерство юстиции США объявило об успешном возвращении части выплаченных Colonial биткоинов. В сообщении говорилось, что сумма возвращённых средств составила около $2,3 млн. Это означает, что правоохранители сумели вернуть примерно 64 биткоина. Значительно меньшая сумма, чем та, что была выплачена хакерам, обусловлена тем, что за последний месяц курс самой популярной криптовалюты мира значительно снизился.

Эксперты, работающие в сфере информационной безопасности, считают, что данная операция ФБР наглядно демонстрирует растущий технический потенциал, позволяющий правоохранителям разрушать финансовую инфраструктуру киберпреступников, которые используют программы-вымогатели. Криптовалюта давно получила репутацию трудно отслеживаемого финансового инструмента, который активно используют для проведения незаконных операций. По мнению некоторых экспертов, в ряде случаев отслеживать перемещения криптовалюты даже проще, чем следить за движением американских долларов.

Очевидно, что успеху операции способствовало то, что Colonial оперативно передала ФБР адрес, куда был осуществлён перевод выкупа хакерам. Через несколько дней после этого DarkSide объявила, что серверы и другая инфраструктура хакеров была захвачена, но не уточнила где и кем. Предполагается, что приватный ключ для доступа к биткоин-кошельку группировки мог находиться среди частей инфраструктуры, которые попали в руки ФБР.

Американские исследователи заявили о причастности китайских хакеров к кибератакам на Россию

Специалисты по кибербезопасности из Sentinel Labs обнаружили «китайский след» в атаках на российские государственные системы. Об этом пишет «Коммерсантъ» со ссылкой на отчёт американской компании. Речь идёт о целой серии атак, совершённых в 2020 году. Цели и задачи злоумышленников не раскрываются.

Источник: Hacker Combat

Источник: Hacker Combat

Аналитики провели расследование на базе отчёта центра противодействия кибератакам «Ростелеком-Солар». В докладе сообщалось, что неизвестная профессиональная кибергруппировка провела серию атак на федеральные органы исполнительной власти с использованием фишинга, уязвимостей веб-приложений, а также путём взлома инфраструктуры подрядчиков. Авторы указали, что этим занимались наёмники, «преследующие интересы иностранного государства».

Для атаки злоумышленники использовали вредоносное программное обеспечение под названием Mail-O. Оно использовало для выгрузки данных облачные сервисы «Яндекса» и Mail.ru Group, маскируя свою работу под официальные сервисы.

Эксперты Sentinel Labs изучили алгоритм работы Mail-O и пришли к выводу, что его разработали китайские хакеры из группы ThunderCats (являются частью более крупной группировки TA428, которую связывают с Китаем). Предположительно, обнаруженное ПО является вариацией других программ — PhantomNet или SManager.

Представители «Ростелеком-Солар» отказались комментировать выводы Sentinel Labs. Эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо пояснил, что отчёт американских исследователей опирается на характерные черты взломщиков. Среди них   неверное написание имени экспортируемой функции Entery и похожий код на точке входа в Windows. Он отметил, что такие индикаторы легко подделать, но не считает, что этот случай из подобных.

Напомним, что в 2015 году Россия и Китай подписали соглашение о сотрудничестве в сфере информационной безопасности. Оно обязывает стороны не совершать атаки друг против друга.

Steam стал разносчиком вирусов — хакеры спрятали их в изображениях на страницах пользователей

Неизвестные хакеры превратили учётные записи Steam в разносчиков вредоносного программного обеспечения. Злоумышленники спрятали загрузчики вредителей в изображениях профилей своих учётных записей. Уязвимость обнаружил пользователь Twitter с никнеймом Miltinhoc.

PortSwigger

PortSwigger

Уязвимость назвали SteamHide. Как отметили аналитики G Data, игровой сервис фактически стал платформой для размещения вредоносных файлов. О таких способах распространения вредоносного ПО было известно и раньше, но никто ещё не использовал для этого игровые сервисы вроде Steam.

Для распространения вирусов злоумышленники использовали интернет-мемы, в частности «Гарольда, скрывающего боль». При этом, для заражения вредоносным софтом не обязательно даже иметь учётную запись или устанавливать Steam — достаточно всего лишь загрузить аватарку на своём ПК.

Источник: Twitter

Источник: Twitter

Источник: Twitter

Источник: Twitter

После активации, скрытая программа отключает все средства безопасности, а затем копирует себя в папку «LOCALAPPDATA». После сохранения она закрепляется в реестре системы. Исследователи уточнили, что вредоносное ПО скрывает в себе инструменты, которые не активируются сразу, но могут стать опасными в будущем. Сколько компьютеров поражено и как можно устранить уязвимость, не уточняется. Valve отказалась комментировать ситуацию.

Крупнейший в мире мясопереработчик JBS заплатил $11 миллионов кибервымогателям

Транснациональные корпорации придерживаются разных подходов при общении с хакерами-вымогателями. Если FujiFilm отказалась платить атаковавшим её серверы наотрез, то лидер мировой мясопереработки JBS оказался намного сговорчивее и щедрее.

wsj.com

wsj.com

Программные средства, использованные для взлома сети компании, до сих пор достоверно не идентифицированы. Атака на JBS стала лишь эпизодом из серии киберпреступлений, совершённых кибервымогателями в последние месяцы. И, если раньше целями злоумышленников в первую очередь становились базы данных, хранящие большие объёмы персональной информации — вроде маркетплейсов, страховых компаний и банков, то теперь преступники переключились на «реальный сектор» экономики, обеспечивающий население действительно необходимыми товарами и услугами, а также больницы, транспортную инфраструктуру и другие жизненно важные объекты и сервисы.

JBS USA Holdings Inc. заплатила $11 миллионов в Bitcoin — нарушение работы её сетей потенциально могло вызвать серьёзные проблемы у партнёрских ресторанов, магазинов и фермеров по всей территории Соединённых Штатов и за их пределами.

По словам представителя JBS, первая информация о сбоях в информационных системах поступила в воскресенье, после чего поступило и требование выкупа. Компания немедленно связалась с ФБР, приостановила работу многих систем для того, чтобы предотвратить дальнейшее распространение «инфекции» и наняла группы специалистов по кибербезопасности и переговорщиков для общения с вымогателями. Выкуп был заплачен уже после того, как была восстановлена работа большинства систем. «Было очень болезненно платить преступникам, но мы поступили наилучшим образом в интересах наших клиентов», — заявляют в компании. Считается, что финансовые и прочие данные партнёров не были скомпрометированы в ходе атаки.

ФБР выступает против любых платежей вымогателям, считая, что это будет способствовать росту числа подобных преступлений, а инструменты, предоставляемые после выкупа хакерами для дешифровки данных, часто просто не работают. Представители администрации президента США Джо Байдена (Joe Biden) уже сообщили, что намерены продвигать закон, запрещающий компаниям платить выкуп.

Стоит отметить, что сохранение работоспособности компьютерных систем является жизненно важным для многих крупных корпораций. Недавний взлом трубопроводного бизнеса Colonial Pipeline почти парализовал поставку энергоносителей в значительной части США, вызвал панику среди жителей, массово начавших скупать горючее и привёл к росту цен на топливо.

«Яндекс» увеличил сумму премии за найденные уязвимости в своих продуктах

Команда разработчиков «Яндекса» объявила об увеличении денежного вознаграждения за поиск уязвимостей в своих продуктах и сервисах. Теперь энтузиасты и эксперты по безопасности за обнаружение «багов» в программных решениях компании могут получить до 750 тысяч рублей.

В «Яндексе» подчёркивают, что сумма премии варьируется в зависимости от серьёзности обнаруженной бреши. Выше всего оцениваются уязвимости, которые позволяют потенциальным злоумышленникам совершить так называемую инъекцию — то есть выполнить на сервере свой вредоносный код.

Ожидается, что инициатива «Яндекса» повысит качество программного кода софтверных решений компании и позволит наладить тесный диалог с независимыми специалистами в области информационной безопасности.

Впервые программа премирования за поиск уязвимостей «Охота за ошибками» была запущена «Яндексом» в сентябре 2012 года. За время её действия компания выплатила «этичным хакерам» свыше 30 млн рублей. Аналогичные программы премирования за информацию об особо опасных «дырах» действуют в Google, Mozilla, «Лаборатории Касперского», Microsoft, Facebook, Apple и других софтверных компаниях.

Подробнее об «Охоте за ошибками» и её условиях можно узнать на сайте yandex.ru/bugbounty.

Серверы компании ADATA подверглись атаке вируса-вымогателя Ragnar Locker

Часть серверов компании ADATA подверглась атаке вируса-вымогателя в конце мая. Указывается, что заражённые системы были оперативно изолированы от корпоративной сети. Компания также обратилась в соответствующие правоохранительные органы, чтобы найти злоумышленников.

«ADATA подверглась атаке вируса-вымогателя 23 мая 2021 года», — рассказал представитель компании ADATA в разговоре с порталом  BleepingComputer. По его словам, сейчас работа затронутых систем полностью восстановлена и компания вышла на привычный уровень бизнес-операций.

«Мы успешно приостановили работу затронутых систем практически сразу после того, как обнаружили атаку. После этого мы предприняли все необходимые усилия для восстановления работы наших компьютеров, а также обновили системы IT-безопасности. К счастью, всё вернулось в нормальное русло. Бизнес-операции не прерываются поскольку принятые нами меры на случай подобных непредвиденных обстоятельств оказались эффективными», — добавил представитель ADATA.

Представитель компании не предоставил информацию о том, кто стоит за хакерской атакой, а также не сообщил никаких деталей, связанных с требованиями злоумышленников. Однако на минувших выходных ответственность за взлом взяла на себя хакерская группировка, стоящая за разработкой вируса-вымогателя Ragnar Locker. По их словам, перед размещением вредоноса они украли 1,5 Тбайт конфиденциальной информации из внутренней сети ADATA.

В качестве доказательства своих слов хакеры опубликовали скриншоты украденных файлов и папок. Злоумышленники угрожают опубликовать все данные, если ADATA не заплатит выкуп. Однако в самом сообщении хакеров не указана сумма выплаты. Если верить опубликованным скриншотам, в украденных файлах содержится различная бизнес-информация, конфиденциальные данные, схемы, финансовые отчёты, различные исходники, юридические документы, информация о сотрудниках, соглашения о неразглашении, а также различные рабочие папки.

Часть сообщения, оставленного хакерами в даркнете

Часть сообщения, оставленного хакерами в даркнете

Вирус-вымогатель Ragnar Locker впервые отметился в атаках в декабре 2019 года. На скомпрометированных компьютерах операторы Ragnar Locker отключают программы дистанционного управления (например, ConnectWise и Kaseya), которые используются для удалённого управления компьютерами внутри корпоративной сети. Это позволяет хакерам избежать обнаружения, а также убедиться в том, что удалённо вошедшие в систему авторизованные администраторы не заблокируют хакерам доступ пока они будут развёртывать вирус-вымогатель.

Федеральное бюро расследований США предупредило о повышении активности атак с использованием вируса-вымогателя Ragnar Locker после случая, произошедшего в апреле 2020 года, когда под ударом оказалась сеть транснационального холдинга Energias de Portugal (EDP), занимающегося генерацией, доставкой и сбытом электроэнергии, а также закупкой, доставкой и сбытом природного газа.

Как пишет BleepingComputer, чаще всего хакеры Ragnar Locker требуют от жертв от 200 до 600 тыс. долларов. Однако в случае с Energias de Portugal они потребовали выплатить им 1580 биткоинов, что на тот момент было эквивалентно более чем $10 млн.

window-new
Soft
Hard
Тренды 🔥
Новая статья: Обзор лазерного принтера Pantum BP5100DW: когда скорость решает всё 14 мин.
Новая «безуглеродная» директива ЕС подтолкнёт дата-центры к переходу на СЖО 2 ч.
Qualcomm отчиталась об успешном завершении второго квартала с выручкой более $8 млрд 2 ч.
Facebook превзошла прогнозы по прибыли во втором квартале, однако опасается замедления роста в будущем 2 ч.
Oukitel представила 300-долларовый защищённый смартфон WP15 5G с батареей на 15 600 мА·ч 2 ч.
Новая статья: Обзор лэптопа HP ZBook Studio G7 (1J3W1EA): рабочая станция в корпусе ультрабука 3 ч.
Google отложила возвращение сотрудников в офисы из-за нового штамма коронавируса 4 ч.
Sapphire выпустила башенный кулер Nitro LTC для процессоров AMD с уровнем TDP до 100 Вт 5 ч.
Магнитная зарядка Realme MagDart подойдёт не только смартфонам, но и ноутбукам, планшетам и другим устройствам 6 ч.
Huawei вытеснили из пятёрки лидеров китайского рынка смартфонов 6 ч.