Cortez

Директор ЦРУ Уильям Бёрнс в интервью радио NPR выразил сомнения в том, что власти России имеют влияние на хакеров, которые постоянно атакуют объекты в США. По словам Бёрнса, президенты России и США Владимир Путин и Джо Байден говорили об этом на встрече в Женеве. Байден просил российского коллегу пресечь деятельность хакеров, пусть даже «не связанных с государством». Борьба российских властей с хакерскими группировками, действующими на территории страны, показала бы серьезность намерений Москвы сотрудничать с Вашингтоном в сфере кибербезопасности. Об этом в интервью радиостанции NPR заявил директор ЦРУ Уильям Бернс. При этом, как подчеркнул глава ЦРУ, сразу после встречи в Женеве американская компания Kaseya подверглась атаке хакерской группировки REvil, которую связывают с РФ. «Это важный тест на серьезность для российского руководства», — заявил Бернс. В то же время он добавил, что правильнее всего будет «скептически относиться к способности российского правительства действовать по этим вопросам».

Американские власти собираются более жестко контролировать транзакции с криптовалютой. По словам источников Bloomberg, власти США планируют «более тщательно отслеживать переводы» денежных средств, представленных в криптовалюте, которые компании, организации и ведомства осуществляют в качестве платы киберпреступникам. Хакеры могут требовать средства за возвращение похищенной информации или восстановление доступа к компьютерным системам. Ранее советник президента США по национальной безопасности Джейк Салливан заявил, что администрация Соединенных Штатов на текущей неделе объявит о дополнительных шагах, направленных на противодействие кибератакам с использованием вирусов-вымогателей.

Тысячи игровых консолей Sony PlayStation 4 были конфискованы после их обнаружения на старом складе, который использовался для незаконной добычи криптовалюты. Как сообщили сотрудники Службы безопасности Украины (СБУ), склад находился в промышленной зоне города Винница и в прошлом принадлежал электроэнергетической компании ОАО «Винницаоблэнерго». В здании сотрудники правоохранительных органов обнаружили то, что они назвали «крупнейшей в стране подпольной криптовалютной фермой». В общей сложности конфисковано около 3,8 тыс. игровых консолей, хранившихся на металлических стойках, а также более 500 видеокарт и 50 процессоров. Аппаратное обеспечение использовалось для добычи криптовалюты. По текущим оценкам, преступники похищали электроэнергию на сумму от 5 млн до 7 млн грн. (от $186 200 до $259 300) в месяц. Как сообщили представители ОАО «Винницаоблэнерго», «компания не имеет отношения к какой-либо незаконной деятельности» и «оборудование для майнинга криптовалюты никогда не работало в помещениях, принадлежащих компании». По данным издания delo.ua, устройства использовались вовсе не для майнинга криптовалюты, а для «прокачки ботов» для футбольного симулятора FIFA. Боты на консолях наигрывали нужное количество часов и внутриигровой валюты, а потом учетную запись преступники продавали в специальных online-магазинах.

Кибервымогательская группировка Clop, на прошлой неделе арестованная в рамках международной правоохранительной операции, также управляла сервисом по отмыванию денег, которым пользовались другие киберпреступные группы. По данным криптовалютной биржи Binance, группировка занималась как кибератаками, так и «рискованным обменом», отмывая средства для себя и для других киберпреступников. В общей сложности Clop отмыла более $500 млн в криптовалюте, полученных в качестве выкупа от жертв вымогательского ПО Clop и Petya. Кроме того, группировка, которую Binance отслеживала как FancyCat, отмыла миллионы долларов, полученных в результате других видов киберпреступлений. Зарегистрированная на Каймановых островах криптовалютная биржа Binance совместно с аналитическими компаниями TRM Labs и Crystal (BitFury) обнаружиласуществование группировки, собрала о ней все возможные данные и передала правоохранительным органам. По словам представителей биржи, эта информация поспособствовала дальнейшим арестам участников группировки. Как сообщает украинская полиция, шесть участников Clop были арестованы на прошлой неделе в Киеве и области. Хотя, правоохранители утверждают, что арестованные и есть сама группировка Clop, по данным Binance они всего лишь «пешки» в ее операциях. Это объясняет, почему после арестов атаки Clop все еще продолжаются . Так, сайт утечек группировки по-прежнему активный, и 22 июня (через шесть дней после арестов) на нем появились сведения о новой жертве.

Эксперты компании BeyondTrust, занимающейся кибербезопасностью в операционных системах UNIX, Linux, Windows и macOS, опубликовала The Annual Microsoft Vulnerabilities Report 2021» («Ежегодный отчет об уязвимостях Microsoft»). Согласно документу, в 2020 году в решениях техногиганта ИБ-специалисты выявили 1268 уязвимостей, что является рекордным числом. В период с 2016 по 2020 год количество уязвимостей в решениях американской компании увеличилось на 181%. Наибольшая часть проблем была обнаружена в продуктах семейства Windows — 907. Общее число выявленных критических уязвимостей составило 132. Примечательно, что большинство проблем может быть нейтрализовано путем отключения прав администратора. Впервые на уязвимости повышения привилегий пришлось наибольшая доля от общего числа проблем в продуктах Microsoft (44%). Данное число увеличилось почти в три раза с 198 в 2019 году до 559 в 2020 году.

За атакой на крупнейшего в мире производителя мясных продуктов питания JBS стоит киберпреступная группировка REvil (Sodinokibi), связываемая многими ИБ-экспертами с Россией. Об этом изданию Bloomberg Quint сообщили четыре осведомленных источника, не уполномоченные обсуждать данный вопрос. Напомним , на прошлых выходных производственные мощности JBS по всему миру подверглись кибератаке, из-за которой компания была вынуждена остановить производство в Австралии и США. Во вторник, 1 мая, компания сообщила, что ей удалось добиться «существенного прогресса» в восстановлении после кибератаки и в среду она планирует запустить «большую часть» производственных процессов. Как сообщило Министерство сельского хозяйства США, оно продолжает тесно сотрудничать с Белым домом, Министерством внутренней безопасности, JBS USA и другими организациями для мониторинга ситуации и оказания помощи в решении любых потенциальных проблем с поставками или ценами. По мнению самой киберпреступной группировки REvil, в сфере кибервымогательства ей нет равных, и она не нуждается в дополнительной рекламе. Среди недавних жертв REvil – корпорация Apple , один из крупнейших в мире производителей компьютерной техники Acer , одна из крупнейших в Японии строительных компаний Kajima Construction Corporation , бразильские суды и многие другие организации.

Ларри Брандт, давний сторонник свободы в Интернете, использовал свой почти 20-летний счет PayPal для оплаты серверов поддерживающих сеть Tor. Теперь аккаунт Брандта в PayPal был закрыт, показав, как финансовая цензура может навредить делу свободы Интернета во всем мире. Брандту не удалось решить проблему напрямую через PayPal, поэтому он обратился в Фонд электронных рубежей (EFF), некоммерческую организацию, отстаивающие права людей на свободу в сети. В течение многих лет EFF документировал случаи финансовой цензуры, когда платежные посредники и финансовые учреждения закрывали счета и отказывались обрабатывать платежи для людей и организаций, которые не были обвинены в совершении какого-либо преступления, а просто симпатизировали идеям свободы и анонимности. EFF обратился к PayPal за разъяснениями, однако в ответ получили лишь сухое: «ситуация определена надлежащим образом». Отличный повод перейти на криптовалюту

Профессиональная киберпреступная группировка атакует Linux-серверы, устанавливая на них руткиты и бэкдоры через уязвимость в web-хостинговом ПО. Если говорить точнее, злоумышленники взламывают Control Web Panel (старое название CentOS Web Panel) – ПО, работающее по одному принципу с более известным инструментом cPanel, использующимся web-хостинговыми компаниями и крупными предприятиями для хостинга и управления масштабной серверной инфраструктурой. Как минимум с февраля нынешнего года киберпреступная группировка сканирует интернет в поисках установок CWP, с помощью эксплоита для старой уязвимости получает доступ к панели администрирования и устанавливает бэкдор Facefish. Его главным предназначением является сбор информации об устройстве, выполнение произвольных команд и похищение учетных данных SSH с инфицированного хоста. В ходе атак, обнаруженных исследователями компаний Juniper и Qihoo 360 , также используется редкий руткит, который злоумышленники устанавливают на взломанных Linux-серверах с целью обеспечения персистентности. Тем не менее, несмотря на большое количество времени, прошедшего с момента начала атак, на взломанных серверах не наблюдается практически никакой активности. К примеру, хакеры не установили майнеры криптовалюты, как того можно было ожидать. По мнению специалистов Juniper, целью злоумышленников было создание ботнета, и они намерены продавать или сдавать в аренду доступ к сетям взломанных компаний тем, кто предложит наиболее выгодную цену. Поскольку CWP обычно используется для управления большими и важными сетями серверов, доступ к любой такой системе будет высоко цениться у киберпреступников, в частности, у операторов вымогательского ПО. Ни Juniper, ни Qihoo 360 не сообщили CVE-идентификатор уязвимости, о которой идет речь (также неизвестно, есть ли у нее вообще CVE), зато представили свои эксплоиты. IT-специалисты предприятий, использующих Control Web Panel, могут проанализировать эксплоиты и настроить в своих межсетевых экранах соответствующие политики для защиты от возможных кибератак.

Недавно WhatsApp поставил людей перед необходимостью принять новое пользовательское соглашение. Журналисты заметили, что такое поведение нарушает правила магазина приложений Apple. Есть риск, что App Store удалит мессенджер за это. О том, что приложения не должны предпринимать действий, которые ограничат их функциональность для пользователей, говорится в гайдлайне App Store. Исходя из этого, новые условия WhatsApp не разрешены правилами магазина. Правом удалить WhatApp из AppStore без лишних разбирательств компанию Apple наделяет пункт 3.2.2 правил ее магазина приложений. Он звучит так: «Приложения не должны требовать, чтобы пользователи оценивали и обозревали приложения, просматривали видео, загружать другие приложения, кликали на рекламу, разрешали отслеживание или предпринимали другие аналогичные действия для доступа к функциям, контенту, возможности использования приложения или получения денежной или иной компенсации, включая, помимо прочего, подарочные карты и коды». Требование WhatsApp принять новое пользовательское соглашение (в противном случае мессенджер угрожает постепенно ограничить возможность переписки и совершения звонков) вполне можно рассматривать как принуждение к "дополнительным действиям", запрещенным правилами. Apple наказывает нарушение политики App Store удалением приложения из магазина и/или блокировкой аккаунта разработчика. В связи с этим iPhone могут остаться без WhatsApp из-за нарушений мессенджером правил AppStore.

Специалисты компании Microsoft разработали лабораторную среду SimuLand с открытым исходным кодом, призванную помочь протестировать и улучшить защиту Microsoft 365 Defender, Azure Defender и Azure Sentinel от различных сценариев кибератак. SimuLand позволяет использовать «ресурсы из различных источников данных, включая телеметрию из продуктов безопасности Microsoft 365 Defender, Azure Defender и других интегрированных источников через соединители данных Azure Sentinel». Установленные с помощью SimuLab лабораторные среды могут помочь ИБ-экспертам «активно тестировать и проверять эффективность Microsoft 365 Defender, Azure Defender и Azure Sentinel по обнаружению киберугроз, а также расширять исследования с помощью телеметрии и артефактов, генерируемых после каждого упражнения по моделированию». SimuLab разработана для анализа поведения кибрпреступников, определения способов защиты, ускорения разработки и запуска лабораторных сред для исследования угроз, информирования о последних технологиях и инструментах хакеров, выявления, документирования и обмена соответствующими источниками данных для моделирования и обнаружения преступников. В настоящее время единственная доступная для запуска лабораторная среда позволяет исследователям тестировать и улучшать защиту от атак Golden SAML, в рамках которых злоумышленники подделывают аутентификацию для облачных приложений. Помимо работы над добавлением дополнительных сценариев, Microsoft также намерена добавить автоматизацию атак через сервис Azure Functions в облаке, экспорт и обмен телеметрией, интеграцию оценочных лабораторий Microsoft Defender, а также установку и обслуживание инфраструктуры с помощью CI/CD с Azure DevOps.

Ранее хакеры сooбщали о похищении более 250 гигабайт личных данных с официального сайта полицейского управления столицы США. Злоумышленники отметили, что размер выкупа, предложенный правоохранителями, их не устроил. В Babuk заявляют, что если полиция не увеличит сумму выкупа, группа опубликует все имеющиеся данные о сотрудниках управления. "Переговоры зашли в тупик, сумма, которую нам предложили, нас не устраивает, мы размещаем еще 20 личных файлов на офицеров, вы можете скачать этот архив, парoль будет выпущен завтра”, — написала во вторник хакерская группа Babuk, сообщает издание Vice Motherboard. — Если в течение завтрашнего дня они не поднимут цену, мы опубликуем все данные”. Опубликованные фaйлы представляют собой биографии силовиков. Они содержaт информацию о состоянии здоровья, уголовном прошлом и кредитной репутации кандидатов в полицейские, списки их прошлых aдресов, номера телефонов и социального страхования, копии водительских удостоверений, а также имена возможных родственников.

В работе сервисов Microsoft, включая корпоративные сервисы Teams и Office 365 произошел масштабный сбой. Об этом компания сообщила в своем Twitter-аккаунте. Как отмечается, сбой затронул работу Microsoft Teams в Европе, Азии и США. Судя по данным сервиса Downdetector , cбой начался примерно 12.50 по московскому времени. Согласно сообщениям некоторых пользователей, при попытке подключиться к Teams возникает уведомление об ошибке "operation failed with unexpected error". В настоящее время Microsoft изучает проблему. Судя по всему, она ограничена только Teams и Office 365 и не распространяется на другие сервисы компании.

Компания Google выпустила экстренное исправление для уязвимости в Chrome, которую уже эксплуатируют хакеры. CVE-2021-21224 является четвертой по счету уязвимостью нулевого дня в Chrome, обнаруженной в 2021 году, и продолжающееся отсутствие индикаторов компрометации или какой-либо значимой информации об атаках продолжает вызывать недоумение среди экспертов по безопасности. Согласно уведомлению Google, исправление устраняет семь уязвимостей, но компания предоставила только однострочную документацию и идентификаторы CVE для пяти из них. CVE-2021-21224 просто описывается как несоответствие вводимых данных в рендеринговом движке V8. Проблема была обнаружена исследователем безопасности Хосе Мартинесом (Jose Martinez). «Google известно о сообщениях о существовании эксплоитов для CVE-2021-21224», - говорится в уведомлении. Обновление для Chrome (90.0.4430.85) распространяется на Windows, Mac и Linux через механизм автоматической доставки обновлений. Оно также исправляет уязвимость переполнения буфера в V8, целочисленного переполнения в Mojo и использования памяти после высвобождения в Navigation, а также уязвимость доступа к данным за пределами выделенной области памяти.

Видеостриминговый сервис Twitch начнет блокировать пользователей за правонарушения, совершенные за пределами площадки. Примеры «серьезных нарушений» включают террористическую деятельность, угрозы Twitch или его сотрудникам и пр. Как сообщили представители Twitch, в соответствии с новыми правилами модераторы сервиса будут принимать принудительные меры в отношении нарушений, совершенных в offline-режиме, которые представляют «существенный риск для безопасности» ее сообщества. Twitch будет сотрудничать с правоохранительными органами в делах, не связанных с обслуживанием площадки, и уже сотрудничает с юридической фирмой для поддержки своей внутренней команды специалистов. Новые стандарты будут применяться, даже если преступник не был пользователем площадки, когда совершал злонамеренные действия. В таком случае злоумышленникам будет запрещено регистрировать учетную запись Twitch. Специалисты Twitch будут принимать меры только при наличии доказательств, таких как снимки экрана, видеоролики или документы полиции, проверенные внутренней командой или сторонними следователями. Пользователи, отправившие большое количество необоснованных отчетов, также будут заблокированы.

Эксперты компании ESET сообщили о ранее незадокументированном вредоносном ПО, которое киберпреступная группировка Lazarus, связываемая с северокорейскими разведслужбами, использовала для осуществления атак на южноафриканскую логистическую компанию. Хотя специалисты выявили вредонос под названием Vyveva в июне 2020 года, судя по имеющимся свидетельствам, группировка использовала бэкдор как минимум с декабря 2018 года. Вредоносная программа обладает обширным набором возможностей для осуществления кибершпионажа, позволяющих операторам Lazarus отправлять файлы с зараженных систем на подконтрольные серверы, используя анонимную сеть Tor в качестве безопасного канала связи. Lazarus также может использовать Vyveva для загрузки и выполнения произвольного вредоносного кода на любой скомпрометированной системе в сети жертвы. Среди других функций бэкдора есть поддержка команд временной метки, позволяющих операторам манипулировать датой любого файла с помощью метаданных из других файлов на системе или устанавливать случайную дату между 2000 и 2004 годами, чтобы скрыть новые или измененные файлы. Бэкдор подключается к C&C-серверу каждые три минуты, а также использует специальные таймеры для отслеживания вновь подключенных дисков или активных пользовательских сеансов, чтобы инициировать новые подключения к C&C-серверу. Код Vyveva имеет много общего с семейством вредоносных программ NukeSped. Использование поддельного TLS-протокола в сетевом взаимодействии, цепочки выполнения командной строки и способ использования шифрования и служб Tor указывают на Lazarus.

Агентство кибербезопасности и защиты инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA) и ФБР сообщили, что высококвалифицированные хакеры могут эксплуатировать уязвимости в Fortinet FortiOS VPN в попытке атаковать компании среднего и крупного бизнеса. «APT-группы могут использовать эти уязвимости и другие распространенные техники для получения первоначального доступа к многочисленным правительственным, коммерческим и технологическим сервисам. Получение первоначального доступа позволяет APT-группам осуществлять дальнейшие атаки», - сообщается в совместном уведомлении ФБР и CISA. Fortinet FortiOS SSL VPN используется преимущественно в межсетевых экранах, защищающих чувствительные внутренние сети от публичного интернета. Две ( CVE-2018-13379 и CVE-2020-12812 ) из трех (третья уязвимость CVE-2019-5591 ) указанных в уведомлении и уже исправленных уязвимостей особенно опасны, поскольку позволяют неавторизованному злоумышленнику похищать учетные данные и подключаться к уязвимым установкам VPN. Если учетные данные VPN используются также другими внутренними сервисами (т.е. Active Directory, LDAP), то атакующий незамедлительно получит доступ к этим сервисам с привилегиями пользователя, чьи учетные данные были похищены. Затем он может исследовать сеть в поисках уязвимостей в различных внутренних сервисах. В уведомлении ФБР и CISA не указано, о каких APT-группах идет речь. Кроме того, в уведомлении говорится лишь о «вероятной» эксплуатации вышеупомянутых уязвимостей. Устранение уязвимостей требует от IT-администраторов внесения изменений в конфигурацию, и, если организация не использует сеть с более чем одним VPN-устройством, возникнет простой. Хотя это может стать настоящей проблемой в средах, где требуется круглосуточная доступность VPN, возможные атаки вымогательского или шпионского ПО могут причинить гораздо больший ущерб, чем простой.

Хакеры наконец-то сумели взломать PlayStation 4 на прошивке 7.55. В результате этого, последние эксклюзивы Sony стали доступны в том числе и для любителей «пиратской романтики». Речь, например, идёт о таких хитах приставки уходящего поколения, как The Last of Us: Part II, Ghost of Tsushima, Spider-Man: Miles Morales, Assassin’s Creed Valhalla, Mafia: Definitive Edition и многих других. Как сообщается, на сегодняшний день хак не очень стабилен, из-за чего игры могут вылетать. Но это вряд ли будет серьёзной проблемой, так как уже в ближайшее время разработчики взлома обещали исправить это выпуском обновлённой версии инструмента для обхода защиты консоли.

Министерство юстиции США предъявило обвинения президенту Sky Global - материнской компании Sky ECC, разработавшей защищенную платформу для общения, преимущественно использующуюся преступными группировками. Главе Sky Global, гражданину Канады Жан-Франсуа Ипу (Jean-Francois Eap), а также бывшему дистрибьютору зашифрованных устройств Sky Global Томасу Хердману (Thomas Herdman) были предъявлены обвинения в нарушении закона США RICO, крайне редко применяющегося в отношении технологических компаний. Sky Global продают кастомизированные Android-устройства, BlackBerry и iPhone без датчиков GPS и камер и с кнопкой экстренного удаления содержимого смартфона в случае ареста. Устройства по умолчанию настроены для подключения к платформе Sky ECC через ряд настраиваемых приложений для общения, позволяющих членам одной преступной группировки осуществлять зашифрованную связь. Как сообщил Минюст, Sky Global "сознательно и умышленно" продает свои услуги преступным группировкам в целях помочь им в препятствовании правоохранительным органам активно отслеживать сообщения в рамках уголовных расследований путем «дистанционного удаления доказательств такой деятельности» из своей сети, когда это необходимо. Следователи заявили, что в отношении своих 70 тыс. клиентов Sky Global придерживалась тактики «ничего не спрашивать/ничего не предпринимать» и даже реализовала на своем web-сайте криптовалютные транзакции для обеспечения их анонимности. Обвинения главе Sky Global были предъявлены через три дня после того, как сотрудники бельгийских и нидерландских правоохранительных органов изъялисерверы компании, арестовали 78 подозреваемых и провели обыски в 275 домах на территории обеих стран. Бельгийская полиция начала расследование в отношении Sky Global после того, как у арестованных в бельгийском городе Антверпен наркокурьеров были изъяты телефоны с приложением Sky ECC. Sky Global отрицала свою причастность, заявив в пресс-релизе, что правоохранители конфисковали устройства и арестовали подозреваемых, использующих «поддельное фишинговое приложение, под ложным брендом SKY ECC», которое не имело никакого отношения к компании. Закон RICO (The Racketeer Influenced and Corrupt Organizations Act) - закон США о рэкетированных и коррумпированных организациях. Разработан с целью преследования не отдельных лиц, а организаций, которыми могут выступать как юридические лица, так и любая группа фактически объединенных людей. Наказания, предусмотренные этим законом, намного строже, чем за отдельные преступления. В частности, результатом применения закона RICO было заключение руководителей американской мафии, ликвидация деятельности целых «семей».

Администраторы мессенджера Telegram заблокировали бот «Глаз бога», который использовался для поисках персональных данных людей в различных утекших и открытых базах данных. Блокировка связана с требованием Роскомнадзора удалить ботов, разработанных для сбора конфиденциальной информации граждан из утекших баз данных различных ведомств и компаний. Создание таких ботов нарушает законодательство о защите персональных данных, а их использование — права субъектов данных. По запросу Роскомнадзора также были отключены и другие боты, включая «Архангел» и Smart_SearchBot, позволявшие искать по имени и номеру телефона, а также Mailsearchbot, искавший логины и пароли от почтовых адресов. Спустя час после блокировки бот «Глаз Бога» стал доступен по новому адресу.

Исследователь безопасности, использующий псевдоним Arkbird, рассказал о новом вредоносном ПО, которое использует Word-файлы с макросами для загрузки PowerShell-скриптов с GitHub. Скрипт дополнительно загружает легитимный файл из сервиса хостинга изображений Imgur для декодирования полезной нагрузки Cobalt Strike на системах Windows. Как пояснил Arkbird, вредоносная цепочка поставляется в виде встроенного макроса в устаревшем файле Microsoft Word (* .doc). При открытии документа Word запускается встроенный макрос, которые запускает powershell.exe и передает ему расположение PowerShell-скрипта, размещенного на GitHub. В однострочном скрипте есть инструкции по загрузке реального PNG-файла из сервиса хостинга изображений Imgur. Хотя само это изображение может быть безобидным, значения его пикселей используются скриптом при вычислении полезной нагрузки следующего этапа. Алгоритм вычисления полезной нагрузки запускает цикл foreach для перебора значений пикселей в PNG-изображении и выполняет определенные арифметические операции для получения функциональных команд ASCII. Декодированный скрипт выполняет полезную нагрузку Cobalt Strike. По словам Arkbird, полезная нагрузка действительно связывается с C&C-сервером через модуль WinINet для получения дальнейших инструкций. Некоторые эксперты связали данный вид вредоноса с APT-группировкой MuddyWater (также известной как SeedWorm и TEMP.Zagros), впервые обнаруженной в 2017 году и в основном нацеленной на ближневосточные организации.

Ленинский районный суд города Кемерово признал местного жителя виновным в кибератаках, в том числе на информационные ресурсы правительства Мордовии. 29-летний безработный кемеровчанин использовал вредоносное ПО, специально предназначенное для кибератак на критическую информационную инфраструктуру (КИИ) РФ. В КИИ также входят автоматизированные системы управления, функционирующие в сфере промышленности, здравоохранения, энергетики, транспорта, связи. Кемеровский хакер атаковал информационные ресурсы правительства Мордовии путем нейтрализации с помощью вредоносного ПО средств защиты компьютерной информации, содержащейся на объекте КИИ, а также на информационных ресурсах правительства Мордовии. Суд признал злоумышленника виновным по части 1 статьи 273 УК РФ («Использование вредоносных компьютерных программ, предназначенных для нейтрализации средств защиты компьютерной информации») и части 1 статьи 274 УК РФ («Неправомерное воздействие на критическую информационную инфраструктуру РФ»). Ранее в этом месяце в Государственную думу РФ был внесен законопроект, предусматривающий введение административной ответственности за нарушение IT-безопасности систем значимых объектов критической КИИ. Размер штрафа для должностных лиц составляет от 10 тыс. до 50 тыс. рублей, а для юридических лиц – от 50 тыс. до 100 тыс. рублей.

Одна из крупнейших сетей клиник по лечению бесплодия в США U.S. Fertility сообщила о кибератаке вымогателей, в ходе которой преступники похитили конфиденциальные данные. Атака произошла в августе нынешнего года, однако U.S. Fertility рассказала об инциденте только сейчас. Как сообщается в заявлении US Fertility, злоумышленники на протяжении месяца «имели доступ к ограниченному количеству файлов» до тех пор, пока не была запущена программа-вымогатель. Преступники прибегли к распространенному методу кражи данных перед шифрованием сети жертвы с целью получения выкупа. Некоторые группировки публикуют похищенную информацию на своих web-сайтах, если их требования не выполняются. По словам представителей компании, в ходе атаки была похищена личная информация пациентов, включая имена, адреса, номера социального страхования и пр. В US Fertility не объяснили, почему публичное раскрытие информации об атаке заняло более двух месяцев.

Международная компания розничной торговли со штаб-квартирой в Чили Cencosud подверглась кибератаке вымогательского ПО Egregor, затронувшей работу ее магазинов. Cencosud является одной из крупнейших компаний розничной торговли в Южной Америке. Ритейлер насчитывает 1,4 тыс. сотрудников, а его доход в 2019 году составил $15 млрд. Cencosud управляет множеством магазинов в Аргентине, Бразилии, Чили, Колумбии и Перу, в том числе магазинами товаров домашнего пользования Easy, супермаркетами Jumbo и универмагами Paris. На этих выходных компьютерные сети компании атаковало вымогательское ПО, зашифровавшее устройства в магазинах и затронувшее ее операции. По данным аргентинских СМИ, магазины открыты, но некоторые сервисы не работают. К примеру, магазины Easy в Буэнос-Айресе не принимают кредитные карты Cencosud Card, не принимают возвращенные товары и не обеспечивают самовывоз заказанных через интернет товаров. Судя по полученной порталом BleepingComputer записке с требованием выкупа, компания стала жертвой вымогательского ПО Egregor, атаковавшего ее Windows-системы. Принтеры в некоторых магазинах в Чили и Аргентине после атаки стали самостоятельно печатать записку – функция, характерная для Egregor. Хотя в записке нет ссылок на скриншоты похищенных данных, перед шифрованием файлов вредонос обычно крадет данные. Egregor предлагается по бизнес-модели «вымогательское ПО как услуга». Вредонос начал свою активность в сентябре нынешнего года, когда операторы вымогателя Maze стали сворачивать свои операции, и их партнеры начали сотрудничать с Egregor.

Центр сертификации Let’s Encrypt, предоставляющий криптографические сертификаты для TLS-шифрования, в январе переходит на формирование подписей с использованием только своего корневого сертификата. Из-за этого 33% смартфонов на Android перестанут открывать многие сайты. 1 сентября следующего года заканчивает срок перекрёстного соглашения Let's Encrypt с IdenTrust, и продлевать его не будут. А это означает, что все браузеры и операционные системы без корневого сертификата Let's Encrypt больше не будут работать с сайтами и службами, использующими сертификаты группы. В операционной системе Android до версии 7.1.1 включительно не доверяют корневому сертификату Let’s Encrypt. Поэтому доступ к сайтам, подписанным такими сертификатами, будет невозможен. Разработчики предложили для решения проблемы с доступом использовать браузер Firefox, который самостоятельно хранит корневые сертификаты. Однако он недоступен в версии Android 4.x и может работать только в Android 5.0 или более новых выпусках.

Русскоязычная киберпреступная группировка, атакующая компании с высоким доходом с помощью вымогательского ПО Ryuk, получила от одной из своих жертв $34 млн за ключ для восстановления зашифрованных файлов. Обозначенная как группа «один» в соответствии с идентификацией, полученной от ботнета Trickbot, который способствует развертыванию Ryuk в сетях атакуемых компаний, весьма неразборчива в жертвах. По данным специалиста компании Advanced Intelligence Виталия Кремеза, в число недавних жертв группы «один» входят предприятия технологической и энергетической сфер, финансовые сервисы, организации здравоохранения и госорганы. Согласно октябрьскому отчету ИБ-компании Check Point, в третьем квартале 2020 года группа атаковала в среднем 20 жертв в неделю. В среднем сумма получаемого операторами Ryuk выкупа составляет 48 биткойнов (около $750 тыс.), и с 2018 года им в общей сложности удалось «заработать» $150 млн. Как сообщил Кремез, киберпреступники ведут переговоры со своими жертвами в жесткой форме и практически никогда не проявляют снисходительность. Самый крупный подтвержденный выкуп, который удалось получить группе «один», составляет 2,2 тыс. биткойнов (около $34 млн). Проанализировав эту атаку, исследователь установил, что атака состоит из 15 шагов для поиска доступных хостов в сети, похищения учетных данных администратора и развертывания вымогательского ПО Ryuk. Злоумышленники используют в атаке доступное ПО (в основном с открытым исходным кодом) из арсенала «красных» команд тестировщиков безопасности: Mimikatz, PowerShell PowerSploit, LaZagne, AdFind, Bloodhound и PsExec.