Cortez

Эксперты из компании IntSights отметили увеличение спроса на учетные данные YouTube-каналов на подпольных торговых площадках. Стоимость предлагаемых аккаунтов пропорциональна количеству подписчиков. Например, цена за канал с 200 тыс. подписчиков начинается от $1 тыс. Служба поддержки YouTube наполнена жалобами пользователей, которые потеряли доступ к своему каналу и получили требования о выкупе. Конфиденциальные данные похищаются в основном со скомпрометированных компьютеров в ходе фишинговых кампаний. Информация используется для авторизации в определенных сервисах, а затем продается на подпольных форумах. Один из продавцов выставил на аукцион список из 990 тыс. активных YouTube-каналов с начальной ставкой в $1,5 тыс. Продавец, предположительно, хотел быстро заработать деньги, поскольку любой желающий мог вне очереди приобрести список учетных данных за $2,5 тыс. Другой набор из 687 учетных записей YouTube с разбивкой по количеству подписчиков был доступен по начальной цене в $400. Любой покупатель мог заплатить $5 тыс. и получить его вне очереди. По словам экспертов, возросшее количество учетных данных YouTube-каналов, вероятно, происходит из скомпрометированных компьютеров. Пользователи, сообщающие о взломе учетной записи YouTube, часто жалуются на то, что их обманом заставили загрузить вредоносное ПО на свои компьютеры. «Преступники притворялись спонсорами YouTube, и когда я попытался зайти на их сайт, на мою систему были загружены кейлоггеры и шпионские программы. Они изменили мой пароль, удалили привязанные устройства, удалили мой номер телефона, используемый для восстановления и электронную почту в течение приблизительно 2 минут. Затем они стали вымогать у меня выкуп в биткойнах и угрожали продать мой канал», — рассказала одна из жертв.

Художник-программист Эвереcт Пипкин (Everest Pipkin) разработала инструмент Image Scrubber, способный облегчить процесс размытия лиц людей на фотографиях. Пипкин создала программу сразу после того, как активисты начали призывать людей не фотографировать лица протестующих в США, чтобы власти не могли их идентифицировать. Приложение Image Scrubber предназначено для использования на мобильных устройствах, однако также работает и в браузере. «Это инструмент для анонимизации фотографий, сделанных во время протестов. Он удаляет идентифицирующие метаданные (данные Exif) с фотографий, а также позволяет пользователю выборочно размыть части изображения, чтобы скрыть лица и другую идентифицируемую информацию. Нажмите или перетащите на кнопку открытия, чтобы открыть фотографию», — сообщается на сайте программы. Для запуска Image Scrubber пользователю необходимо выбрать пункт меню Open image в верхней части экрана и нажать на нужное фото во всплывшем окне. Программа также способна отображать и удалять такие метаданные, как местоположение, где была сделана фотография, или используемое мобильное устройство. По словам разработчика приложения, программа не отправляет никуда пользовательскую информацию, а сам процесс обработки фотографий происходит на устройстве.

Исследователь безопасности Рахул Канкрале (Rahul Kankrale) обнаружил в популярном Android-приложении Mitron опасную уязвимость, позволяющую в считанные секунды взломать любой профиль пользователя. Mitron представляет собой индийский «клон» популярной китайской видеоплатформы TikTok, куда пользователи могут загружать собственные короткие ролики. Несмотря на огромную популярность, вокруг TikTok разгорелись настоящие страсти, в основном из-за проблем с безопасностью пользовательских данных. В связи с этим, а также с движениями #tiktokban и #IndiansAgainstTikTok, за короткое время появилась целая «армия клонов» приложения. Mitron (в переводе с хинди означает «друзья») не принадлежит ни одной крупной компании, однако всего за одну ночь стало вирусным. За 48 часов приложение скачали из Google Play Store 5 млн раз, более того, оно получило 250 тыс. оценок «5 звезд». Несмотря на это, пользоваться им небезопасно. По словам Канкрале, ему удалось обнаружить уязвимость в реализации механизма авторизации в приложении через учетную запись Google. Хотя в процессе авторизации функция запрашивает у пользователя разрешение на доступ к его информации через учетную запись Google, она его не использует и не создает никакого токена. Проще говоря, любой желающий может авторизоваться в чужой учетной записи, лишь зная уникальный идентификатор пользователя. Идентификатор является открытой информацией, и его можно найти в коде страницы. Для взлома учетной записи никакого пароля не требуется. Канкрале попытался уведомить издателя Mitron об обнаруженной проблеме, но безуспешно. Электронный адрес, указанный на странице приложения в Google Play Store в качестве единственного контакта, оказался недействительным. В настоящее время пользоваться Mitron небезопасно, поскольку уязвимость остается неисправленной. Кроме того, у приложения могут быть и другие проблемы с безопасностью, о которых на данный момент неизвестно.

Инструмент эксплуатирует ранее неизвестную уязвимость в ядре iOS, и на подготовку патча у Apple уйдет 2-3 недели. Известной команде джейлбрейкеров Unc0ver удалось обнаружить в ядре iOS неизвестную ранее уязвимость, проэксплуатировать ее и создать рабочий джейлбрейк. Инструмент подходит для взлома большинства (если не всех) версий iOS, начиная с 11-й и выше, в том числе для новой версии 13.5. На прошлых выходных команда Unc0ver без каких-либо подробностей просто сообщила в Twitter о том, что версия ее джейлбрейка 5.0.0 уже готова. Сразу после публикации твита сайт Unc0ver ушел в offline, не справившись с количеством посетителей, желавших загрузить джейлбрейк. Обычно Apple быстро реагирует на появление джейлбрейков и сразу же закрывает используемые ими уязвимости. Однако, как сообщает издание Wired, на этот раз хакеры из Unc0ver заранее не сообщили компании об обнаруженных ими уязвимостях, поэтому на подготовку патча ей понадобится 2-3 недели. Таким образом, Unc0ver 5.0.0 является первым за последние несколько лет джейлбрейком, доступным более чем несколько дней. Инструмент можно загрузить из репозиториев AltStore или Cydia. По словам разработчиков, он не расходует заряд батареи и не препятствует работе сервисов Apple, в том числе iCloud, Apple Pay и iMessage. Более того, хакеры из Unc0ver утверждают, что они позаботились о безопасности пользователей и не «подорвали» песочницу iOS, обеспечивающую раздельную работу приложений и блокирующую им доступ к неположенным данным. «Джейлбрейк в основном просто добавляет исключения в существующие правила. Он позволяет только читать новые файлы джейлбрейка и части файловой системы, которые не содержат пользовательских данных», - сообщил ведущий разработчик Unc0ver, известный как Pwn20wnd.

Неизвестные злоумышленники атаковали узел авторизации одного из мощнейших суперкомпьютеров Великобритании ARCHER. Согласно уведомлению системных администраторов, SSH-ключи пользователей могли быть скомпрометированы в результате кибератаки, поэтому рекомендуется сменить пароли и SSH-ключи для ARCHER, если они также используются для авторизации на других ресурсах. По словам системных администраторов, помимо ARCHER злоумышленники атаковали целый ряд высокопроизводительных научных компьютеров по всей Европе. В настоящее время проводится расследование инцидента при участии Национального центра кибербезопасности Великобритании (National Cyber Security Centre, NCSC) при Центре правительственной связи. Как сообщил источник издания The Register, сервисом ARCHER пользуются специалисты в области вычислительной биологии, в том числе для моделирования дальнейшего распространения коронавируса, и вражеские государства могли осуществить атаку с целью похитить результаты исследований или вовсе сорвать их. ARCHER представляет собой суперкомпьютер Cray XC30, оснащенный 118 080 процессорами Intel Xeon E5. В этом месяце он должен был быть списан и заменен новым компьютером ARCHER2, но в связи с пандемией COVID-19 списание пришлось отложить. ARCHER расположен в Эдинбургском университете и занимает 334-е место в топ-500 мощнейших суперкомпьютеров в мире. Вычислительная биология – междисциплинарный подход, использующий достижения информатики (и вычислительной техники), прикладной математики и статистики для решения проблем, поставляемых биологией.

Теперь 80 000 клиентов немецкого необанка Bitwala могут приобретать, хранить и получать проценты за счёт биткоинов (BTC), хранящихся на их банковских счетах. Новые возможности появились благодаря партнёрству с платформой криптовалютного кредитования Celsius Network. По данным defiprime.com, Bitwala стал первым классическим фиатным банком, предложившим проценты за биткоины на счёте. Аналогичные продукты предлагаются в трёх других приложениях DeFi DApp. Если депозиты в DeFi отличают более высокие ставки до 8,6% годовых, то преимущество Bitwala в том, что банк полностью регулируется и предлагает фиатные и криптовалютные услуги в 32 европейских странах. Это подтверждается лицензией от ведущего немецкого банка SolarisBank AG. Пользователи могут приобрести биткоин всего на € 30 и хранить его на бесплатном BTC-счёте (Bitcoin Interest Account) и еженедельно получать процентные выплаты. Биткоин на счетах ссужаются через сеть Celsius «доверенным партнёрам». При этом средства могут быть моментально конвертированы в евро. Генеральный директор Bitwala Бен Джонс пояснил, что это нововведение простимулировано халвингом биткоина, который служит отличным напоминанием о том, что «государственные деньги (фиат) не могут быть раздуваться вечно»: «В настоящее время всё больше людей доверяют биткоину, и Bitwala — это мост к нему. Мы сотрудничаем с ведущим мировым поставщиком криптокредитов Celsius Network, чтобы наши клиенты могли получать выгоду из своих биткоин-активов, где бы они ни находились». За последние четыре года появилось много стартапов, стремящихся соединить индустрию фиатных и криптовалютных финансов, но немногие из них получили полные банковские лицензии.

Группа исследователей Нью-Йоркского университета, Корнеллского университета и компании NortonLifeLock (старое название Symantec) разработала алгоритм CreepRank для выявления мобильных приложений, известных как creepware. К данному виду ПО относятся приложения, использующие микрофон и видеокамеру устройств для слежки за пользователями. Они не обладают функционалом полноценного шпионского ПО, но могут использоваться для преследования, мошенничества и домогательства. Алгоритм CreepRank выявляет creepware-подобное поведение внутри приложений и в соответствии с этим присваивает им определенное количество баллов. К примеру, CreepRank идентифицирует приложения с функциями извлечения SMS-сообщений с мобильных устройств, подделки личности другого пользователя в чатах IM/SMS, запуска DDoS-атак (так называемых SMS-бомб), сокрытия других приложений, контроля доступа к приложениям, отслеживания местоположения и пр. Завершив разработку CreepRank, исследователи устроили ему «полевые испытания» и использовали алгоритм для выявления creepware на устройствах реальных пользователей. Они запустили CreepRank для анализа образцов анонимизированных данных, собранных с приложений на 50 млн Android-смартфонов. Каждому приложению CreepRank присваивает определенное количество баллов, по которым выявляется creepware-поведение. Проанализировав с помощью алгоритма наборы данных за 2017, 2018 и 2019 год, исследователи обнаружили 1095 creepware-приложений, в общей сложности установленных более 1 млн раз. Специалисты уведомили Google о проблеме прошлым летом, и компания удалила из Play Store 813 приложений, нарушающих условия пользования.

Киберпреступная группировка REvil осуществила атаку на нью-йоркскую юридическую фирму в сфере развлечений Grubman Shire Meiselas & Sacks и теперь юридические дела десятков крупнейших мировых звезд музыки и кино, в том числе Леди Гага, Элтона Джона, Роберта Де Ниро и Мадонны, подвергаются риску разоблачения. Как сообщил ресурс Cointelegraph, злоумышленники угрожают опубликовать до 756 ГБ украденных данных в девяти поэтапных выпусках. Похищенные данные включают в себя конфиденциальные контракты, номера телефонов, адреса электронной почты, личную переписку, соглашения о неразглашении и пр. Требуемая сумма выкупа неизвестна, однако он все также должен быть выплачен в биткойнах. Похищенные данные касаются таких звезд Голливуда и музыкальной индустрии, как AC/DC, Барбара Стрейзанд, Бетт Мидлер, KISS, U2, Мадонна, Maroon 5, Роберт Де Ниро, Элтон Джон, Джон Мелленкамп, Род Стюарт, Рики Мартин, Шанайя Твейн, KISS, The Weeknd, Лил Уэйн и Дэвид Леттерман. Фирма представляет такие компании, как Facebook, Activision, iHeartMedia, IMAX, Sony, HBO и Vice Media, а также спортсменов Леброна Джеймса, Кармело Энтони, Слоана Стивенса и Колина Каперника.

Министерство энергетики США заверило, что расследование инцидента продолжается. В апреле нынешнего года Иран осуществил кибератаку на несколько объектов водоснабжения и очистки Израиля. Как сообщил телеканал Fox News, в ходе кибератаки Иран использовал американские сервера. Иностранный корреспондент Fox News Трей Йингст (Trey Yingst) сообщил в социальной сети Twitter, что «по словам высокопоставленного чиновника в министерстве энергетики США, администрация президента США Дональда Трампа делает все возможное, чтобы защитить своих союзников от кибернападений». Министерство энергетики США отказалось комментировать данную ситуацию, однако заверило, что расследование инцидента продолжается. Напомним, в прошлом месяце власти Израиля сообщили о кибератаках на несколько объектов водоснабжения и очистки. Агентство получило сообщения о попытках вторжения в системы очистных сооружений, водонасосных станций и канализационных сетей, однако не раскрыло названия затронутых предприятий. Как позже стало известно, злоумышленники были нацелены на программируемые логические контроллеры (ПЛК), используемые для управления клапанами, но им не удалось нанести какой-либо ущерб.

На киберпреступном форуме были выставлены на продажу данные россиян, оформлявших кредиты в микрофинансовых организациях в 2017-2019 годах. Как уверяет продавец, база данных содержит сведения о 12 млн человек. Он также предлагает бесплатный «пробник» - ФИО, паспортные данные, даты рождения, номера телефонов, электронные адреса, регионы проживания, номера электронных кошельков и суммы займа 1,8 тыс. граждан. В каждом наборе данных также содержится ссылка на сайт, через который заемщик узнал о микрофинансовой организации. Как пишет «РБК», в большинстве случае это финансовый маркет «Юником24» для поиска и оформления кредитов, микрокредитов, ипотек и пр. Представители маркета проверили «пробник» и подтвердили, что указанный в продаваемой базе идентификационный код клиентов принадлежит одному из их партнеров, но не уточнили, кому именно. По их словам, «Юником24» уже обратился к данной компании с требованием разъяснить ситуацию и уведомлением о прекращении сотрудничества. Как считают в «Юником24», вероятнее всего, источником утечки стала сама микрофинансовая организация (МФО). При оформлении заявки на кредит система запрашивает только ФИО и действительный номер телефона, пояснили представители маркета. Паспортные данные, электронные адреса, суммы займов и другие сведения известны лишь МФО, у которой заемщик просит кредит. Тем не менее, когда корреспондент «РБК» оставил заявку на кредит через «Юником24», помимо ФИО и номера телефона система запросила также паспортные данные и дату рождения.

Депутаты фракции ЛДПР совместно с представителем Совета Федерации Федерального Собрания Российской Федерации внесут в Госдуму законопроект о моратории на обработку обезличенных персональных данных, которая должна применяться в Москве в ходе эксперимента о специальном правовом режиме для внедрения технологий искусственного интеллекта, сообщило информагентство ТАСС. Экспериментальный правовой режим начнет действовать в столице с 1 июля 2020 года. По результатам проведения эксперимента координационный совет экспериментального правового режима должен подготовить и представить правительству РФ предложения о целесообразности или нецелесообразности внесения изменений в законодательство РФ. Как сообщили авторы инициативы, применение технологий искусственного интеллекта, в том числе систем слежения и распознавания лиц, «вызывает серьезную и обоснованную обеспокоенность граждан». «Повышается риск посягательства на неприкосновенность частной жизни, в том числе ввиду отсутствия гарантий защиты персональных данных граждан от утечки, равно как отсутствия гарантий их использования исключительно для обеспечения правопорядка», — отметили авторы. У авторов есть опасения, что разрабатываемые системы могут содержать уязвимости, эксплуатация которых негативно повлияет на жизни граждан. В условиях пандемии коронавирусной инфекции россияне также стали больше опасаться «тотального контроля со стороны государства». Поэтому парламентарии предложили отложить на пять лет вступление норм закона об экспериментальном правовом режиме в части обработки обезличенных персональных данных. Таким образом, закон вступит в силу с 1 июля 2025 года, обеспечивая разработчикам время для минимизации технических проблем и позволяя исключить возможность использования конфиденциальных данных граждан.

В среду, 29 апреля, ведущая криптовалюта, пробив отметку $8000, продолжила рост. В течение дня котировки приблизились к $8700. По мнению ведущего аналитика RoboForex Дмитрия Гурковского, закрепление биткоина выше $8500 открывает дорогу к дальнейшему росту. Его цель — уже $10 455. В этом случае цена криптовалюты выйдет на новые локальные максимумы 2020 года.

Эксперты Positive Technologies провели исследование торговых площадок на теневом рынке киберуслуг и обнаружили всплеск интереса к доступам в корпоративную сеть: в первом квартале 2020 года число предложений о продаже доступов на 69% превышает показатели предыдущего квартала. Выявленный тренд существенно влияет на безопасность корпоративной инфраструктуры в период массового перевода сотрудников на удаленную работу. В четвертом квартале 2019 года на продажу на хакерских форумах было выставлено более 50 доступов к сетям крупных компаний со всего мира (столько же мы насчитали за весь 2018 год), а уже в первом квартале 2020 года в продаже было более 80 доступов. Чаще всего продаются доступы в промышленные организации, компании из сферы услуг, финансов, науки и образования, информационных технологий (все это 58% предложений в совокупности). Если год-два назад злоумышленников в основном интересовали доступы к единичным серверам, которые стоили в пределах 20 $, то со второй половины 2019 года наблюдается рост интереса к покупке доступов к локальным сетям компаний. Выросли и суммы сделок. Например, сейчас за доступ к инфраструктуре компании с годовым доходом от 500 млн $ предлагают долю до 30% от потенциальной прибыли после завершения атаки. Средняя стоимость привилегированного доступа к локальной сети сейчас составляет порядка 5000 $. В число жертв сегодня входят организации с годовым доходом от сотен миллионов до нескольких миллиардов долларов. Чаще всего продаются доступы в компании из США (более трети всех предложений), также в пятерку входят Италия и Великобритания (по 5,2% предложений), Бразилия (4,4%), Германия (3,1%). При этом в случае США чаще всего продают доступы в организации сферы услуг (20%), промышленные компании (18%) и государственные учреждения (14%). Применительно к Италии в лидерах спроса промышленность (25%) и сфера услуг (17%), а в Великобритании ― сфера науки и образования (25%) и финансовая отрасль (17%). По 29% всех продаваемых доступов в немецкие компании приходится на сферу ИТ и сферу услуг. Обычно покупатели такого товара — другие злоумышленники. Они приобретают доступы, чтобы развить атаку самостоятельно либо нанять опытную команду хакеров для повышения привилегий в сети и размещения вредоносных файлов на критически важных узлах инфраструктуры компании-жертвы. Одними из первых такую схему взяли на вооружение операторы шифровальщиков. «Мы ожидаем, что в ближайшее время крупные организации могут попасть под прицел низкоквалифицированных нарушителей, которые нашли способ легкого заработка, ― говорит Вадим Соловьев, старший аналитик Positive Technologies. ― В период всемирного карантина, когда компании массово переводят сотрудников на удаленную работу, хакеры будут искать любую незакрытую брешь в системах на периметре сети. Чем крупнее компания, в сеть которой удастся получить доступ, и чем выше полученные привилегии, тем больше сможет заработать преступник». Для того чтобы избежать проблем, эксперты Positive Technologies рекомендуют компаниям уделять внимание комплексной защите инфраструктуры — как на сетевом периметре, так и в локальной сети. В первую очередь следует убедиться, что все сервисы на периметре сети защищены, а в локальной сети обеспечен достаточный уровень мониторинга событий безопасности для выявления нарушителя. Регулярный ретроспективный анализ событий безопасности позволит обнаружить пропущенные ранее кибератаки и устранить угрозу до того, как злоумышленники украдут информацию или остановят бизнес-процессы.

Как показывает практика, физически изолированные компьютеры отнюдь не являются неприступной крепостью, и при желании их можно взломать (яркий пример – атаки Stuxnet). Тем не менее, заразить отключенный от интернета компьютер (например, подключив к нему вредоносное устройство) – это одно, а вот извлечь из него данные – совсем другое. Один из теоретических методов получения данных с изолированных сетей предполагает использование радиоволн. Специалист компании Duo Labs Михаил Давыдов показал, как с помощью антенны и компьютерного скрипта можно похищать данные через сигналы видеокарты компьютера. В своей лаборатории в Сиэтле Давыдов настроил рабочую станцию Dell и приступил к работе. Находясь на расстоянии 15 м от атакуемой системы, с помощью радиоантенны исследователь изучил исходящие от видеокарты радиосигналы, а затем написал скрипт, позволяющий ими управлять. Управляя продолжительностью каждой радиопередачи с видеокарты, с помощью определенного программным обеспечением радио (SDR) Давыдов смог получить радиосигналы, а затем декодировать их и извлечь данные. Напомню, на прошлой неделе специалисты Университета имени Давида Бен-Гуриона в Негеве (Израиль) продемонстрировали способ извлечения данных из физически изолированных компьютеров с помощью вибраций кулера.

Китайская киберпреступная группировка Winnti (также известная как APT41, BARIUM, Blackfly) пыталась проникнуть во внутреннюю сеть южнокорейской игровой компании Gravity, разработавшей массовую многопользовательскую ролевую online-игру Ragnarok Online. Предположительно, попытки взлома осуществлялись в начале этого года, однако остается неизвестным, были ли они успешными. Специалисты из компании QuoIntelligence (QuoINT) опубликовали отчет о новых обнаруженных вредоносных программах, связанных с китайской группировкой Winnti. «Мы смогли извлечь файл конфигурации вредоносного ПО и определить предполагаемую цель. В данном случае конфигурация содержала строку 0x1A0:GRAVITY. Мы предполагаем, что данный образец использовался для осуществления целевых атак на компанию Gravity», — сообщили эксперты. Представитель Gravity пока не прокомментировал данную ситуацию, и неясно, знает ли компания о попытке взлома. Напомню, Winnti является одной из 5 китайских киберпреступных группировок, которые компрометировали организации из разных отраслей в попытке кражи интеллектуальной собственности и других конфиденциальных бизнес-данных. Группировки атаковали системы Red Hat Enterprise, CentOS и Ubuntu Linux в организациях практически в каждом географическом регионе и почти во всех отраслях промышленности, включая государственные, оборонные, военные, технологические, телекоммуникационные, фармацевтические, производственные и игровые.

Специалисты из компании Zimperium опубликовали подробное описание двух критических уязвимостей ядра в Android. Проблемы (CVE-2019-14040 и CVE-2019-14041) затрагивали все Android-устройства с чипсетами Qualcomm и могли быть использованы для предоставления вредоносным приложениям прав суперпользователя. Команда исследователей zLabs сообщила Qualcomm о проблемах 31 июля 2019 года. 4 августа был предоставлен PoC-код для данных уязвимостей, а месяц спустя Qualcomm отправила исправления производителям Android-устройств. Теперь, когда исправления стали доступны, Zimperium опубликовала PoC-коды на GitHub и подробно рассказала об уязвимостях ядра. Уязвимости содержатся в драйвере QTI Secure Execution Environment Communicator (QSEECOM), управляющем процессами, которые должны взаимодействовать с технологией TrustZone. Первая проблема (CVE-2019-14041) связана с «состоянием гонки» в функции обновления буфера __qseecom_update_cmd_buf, что может привести к переполнению буфера. API, предоставляемый QSEECOM, состоит из ioctls-вызовов к устройству /dev/qseecom. Для предотвращения дублирования, функция обновления буфера может быть выполнена через два совершенно разных ioctl и ведет себя по-разному в каждом сценарии. При этом функция проверяет data-> type, и, просто запросив этот вызов, можно повредить память. Вторая проблема (CVE-2019-14040) представляет собой уязвимость использования после освобождения в проецируемой памяти ядра. Механизм ION, используемый в проецировании, «позволяет процессам пользовательского пространства выделять память из специальных куч, которые ведут себя не так, как обычная память», в результате чего не только процессы пользовательского пространства могут отображать или читать/записывать память. При обращении к выделенному буферу ION некоторые параметры, включая дескрипторы, сохраняются. Специалисты обнаружили, что путем увеличения длины запроса возможно обойти стандартные валидационные проверки и выполнить код. По словам экспертов, в сочетании с эксплуатацией других уязвимостей (CVE-2017-13253, CVE-2018-9411 и CVE-2018-9539) вредоносные приложения могут получать права суперпользователя для хищения учетных данных, загрузки дополнительных вредоносных программ, прослушивания частных звонков и перехвата контроля над камерой и микрофоном телефона.

В последние годы стало намного проще приобрести себе новую личность в даркнете. Даркнет предоставляет пользователям беспрецедентный доступ к поддельным и украденным личным документам, которые в настоящее время стоят не так много, как можно было предполагать. Специалисты из SafetyDetectives посетили несколько подпольных торговых площадок в даркнете и составили среднюю стоимость документов, необходимых для начала новой жизни с совершенно новой личностью. Хотя почти всегда существует вариант оплаты такими валютами, как доллары США, многие из подпольных площадок принимают оплату только в биткойнах (BTC). Cтоимость совершенно новой личности варьируется в разных странах, посколольку включает новый паспорт, водительские права, свидетельство о рождении, диплом, финансовые данные и поддельные деньги. Средняя стоимость новой личности, в зависимости от страны, составляет $2048. Уровень жизни в разных странах отличается, и цена приобретения поддельных документов зависит от множества факторов, включая сложность получения документов, источник данных, подлинность и предполагаемую ценность стандарта жизни в стране, которая якобы выдала документы. Средняя стоимость приобретения новой личности в странах составляет: Австралия — $4294; Великобритания — $3253; Европа — $3051; США — $13051; Канада — $3038. Как отметили эксперты, паспорта, рекламируемые как «зарегистрированные», «подлинные» и «способные пройти проверку», стоили дороже. Самые простые поддельные паспорта, как правило, могли обойтись покупателю всего в $10. Средняя стоимость подлинного паспорта, приобретенного в даркнете составляет: Австралия — $745; Канада — $745; Европа — $750; США — $850. Хотя цена европейского паспорта в даркнете составляет в среднем $750, в каждой стране существует свой ряд факторов, влияющих на стоимость поддельных документов. По словам специалистов, дороже всего обойдется поддельный паспорт Норвегии ($800), за которым следует Швейцария ($764), Нидерланды ($745), Германия ($745), Франция ($745) и Испания ($690).

Киберпреступники выставили на продажу на подпольных торговых площадках в даркнете данные более 600 тыс. клиентов итальянского провайдера электронной почты Email.it О взломе Email.it стало известно, когда преступники начали рекламировать в Twitter сайт, где они продавали данные компании, сообщило издание ZDNet. Как утверждает киберпреступная группировка, называющая себя NN (No Name) Hacking Group, фактически взлом был осуществлен более двух лет назад, в январе 2018 года. «Мы взломали Email.it более 2 лет назад, и позиционируем себя как APT. Мы похитили любые возможные конфиденциальные данные с их сервера и дали компании возможность исправить уязвимости, требуя небольшую награду. Они отказались говорить с нами и продолжали обманывать своих пользователей/клиентов, не сообщая об инциденте!», — сообщается на сайте преступников. По словам представителей Email.it, компания тогда отказалась платить злоумышленникам и вместо этого уведомила итальянскую почтовую полицию (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche). После неудачной попытки вымогательства преступники выставили на продажу 46 похищенных баз данных компании по цене от 0,5 до 3 биткойнов (от $3,7 тыс. до $22,1 тыс.). Базы данных предположительно содержат незашифрованные пароли, содержимое электронной почты более чем 600 тыс. пользователей, зарегистрировавшихся в период с 2007 по 2020 годы. Как утверждает NN (No Name) Hacking Group, она также похитила исходный код всех web-приложений Email.it, включая приложения для администраторов и клиентов. Email.it заверила, что атака затронула только сервер с административными данными, и финансовая информация не пострадала.

Сотрудники ГУ МВД России по г. Санкт-Петербургу и Ленинградской области обнаружили незаконно подключенные к электросетям фермы для майнинга криптовалюты. «По предварительной информации, ущерб для энергоснабжающих компаний ежемесячно составлял порядка 15 миллионов рублей, такую же сумму злоумышленники получали в качестве незаконного дохода», — говорится на сайте МВД. Преступники добывали криптовалюту на восьми объектах в различных частях Ленинградской области. Среди них заброшенное здание бывшей птицефабрики в деревне Лесколово Всеволожского района Ленинградской области, здание базы отдыха в поселке Рощино, а также ряд жилых помещений. Сотрудники правоохранительных органов осуществили 20 обысков, в ходе которых было обнаружено 1,5 тыс. специальных устройств, более 2 млн руб., 100 модифицированных электрических счетчиков, запрограммированных на занижение показаний расхода электроэнергии с пультами дистанционного управления. Также было изъято 150 пломб и голографических этикеток, 5 пломбираторов, 10 устройств для вскрытия и модификации сертифицированных счетчиков учета расхода электроэнергии. Кроме того, изъяты смартфоны с перепиской, имеющей доказательственное значение для уголовного дела. По данному факту возбуждено уголовное дело в соответствии с частью 2 статьи 273 УК РФ («создание, использование и распространение вредоносных программ для ЭВМ»). Один из подозреваемых организаторов был задержан, еще девять его предполагаемых сообщников доставлены в полицию.

Операторы вымогательского ПО LockerGoga, ранее атаковавшие крупного производителя алюминия Norsk Hydro, возможно, намеревались не потребовать у него деньги, а нарушить работу компьютерных систем. Как предполагают специалисты из ИБ-компании Dragos, атака могла быть делом рук спонсируемых правительством киберпреступников. Новая версия вымогателя, замеченная в ходе атаки на Norsk Hydro, «выполняла задачи, препятствовашие монетизированию заражения». Пароли локальных учетных записей пользователей и администраторов были изменены на одно и то же зашифрованное значение, системная сетевая карта была отключена, а все авторизованные пользователи были принудительно отключены. «Данная цепочка событий указывает на то, что системы оказались не только зашифрованы, но и недоступны. Даже просмотр записки с требованием выкупа требовал дополнительных действий, таких как криминалистическая экспертиза устройства или анализ вредоносного ПО. Хотя просмотр информации о выкупе, безусловно, был возможен, такие действия кажутся любопытными и контрпродуктивными для эффективной монетизации», — сообщили специалисты. По словам экспертов, в последнее время атаки вымогателей, преследующих финансовую выгоду, происходят все чаще, обеспечивая идеальное прикрытие для других киберпреступников с модифицированным вредоносным ПО. Напомню, 18 марта 2019 года Norsk Hydro подверглась кибератаке, которая повлекла за собой сбой в работе производственных объектов. Атака нарушила работу компании в разных странах, в том числе в Норвегии, Катаре и Бразилии. Часть рабочих процессов на производстве были переведены в ручной режим, некоторые другие процессы – приостановлены.

Разработчики корпоративного мессенджера Slack исправили уязвимость в системе безопасности, эксплуатация которой позволяла злоумышленникам путем атаки типа HTTP Request Smuggling похитить cookie-файлы и автоматизировать перехват произвольных учетных записей. По словам эксперта Эвана Кустодио (Evan Custodio), обнаружившего уязвимость, проблема была «чрезвычайно критичной» как для Slack, так и для всех клиентов и организаций платформы, которые обмениваются личными данными, каналами и разговорами. Эксплуатация уязвимости могла позволить злоумышленникам создавать автоматические боты, которые бы непрерывно атаковали уязвимый актив Slack, перехватывали сеанс жертвы и похищали все доступные данные. Кустодио сообщил об обнаруженной уязвимости в рамках программы Slack HackerOne. Команда Slack исправила уязвимость в течение 24 часов и наградила Кустодио премией в размере $6 500. Slack представляет собой популярный корпоративный мессенджер. Он собирает в одном окне обсуждения в общих темах (каналах), приватных группах и личных сообщениях; имеет собственный хостинг, режим превью для изображений и позволяет искать среди всех сообщений сразу. Кроме того, Slack поддерживает интеграцию с почти 100 сторонними сервисами, такими как Dropbox, Google Drive, GitHub, Google Docs, Google Hangouts, Twitter, Trello, MailChimp Heroku, Jirа и пр.

Принято, пользователь забанен.

Европол при содействии местных правоохранительных органов осуществил серию арестов в нескольких европейских странах, ликвидировавпреступные группировки, занимавшиеся SIM-свопингом (подменой SIM-карт). В ходе операции под названием Quinientos Dusim сотрудники Европейского центра по борьбе с киберпреступностью Европола (EC3), Национальной полиции Испании и Гражданской гвардии Испании арестовали 12 подозреваемых в испанских городах Бенидорм, Гранада и Вальядолид. В рамках операции Smart Cash сотрудники правоохранительных органов Румынии и Австрии арестовали 14 предположительных участников еще одной киберпреступной группировки. Участники первой группировки подозреваются в похищении €3 млн в результате серии кибератак. С помощью вредоносного ПО злоумышленники похищали учетные данные пользователей для online-банкинга, а затем подавали запрос операторам связи на восстановление SIM-карт жертв, предъявив поддельные удостоверения личности. Получив дубликат SIM-карт, злоумышленники перехватывали проверочные коды для двухфакторной аутентификации и переводили средства с чужих банковских счетов на подставные. В случае с Румынией и Австрией киберпреступники использовали похожую схему. Злоумышленники точно так же похищали учетные данные и с помощью SIM-свопинга перехватывали коды безопасности. Однако обналичивание средств осуществлялось через безкарточные банкоматы. Группировка «обчистила» более 100 жертв. В каждом случае злоумышленники похищали порядка €6-137 тыс. В общей сложности было похищено около полумиллиона евро.

Feds say Deer.io has been hosting hundreds of online shops where hackers are selling hacked accounts. The FBI has arrested a Russian national believed to be behind Deer.io, a Shopify-like platform that hosts online stores where hackers advertise and sell hacked accounts and stolen user information. The suspect, named Kirill Victorovich Firsov, was arrested on Saturday, March 7, at the John F. Kennedy Airport, in New York, according to an arrest warrant seen by ZDNet. US officials say Firsov has been in charge and running the Deer.io platform since its launch in October 2013. The site, which lets users host online stores for around $12/month, is believed to have hosted more than 24,000 shops and made more than $17 million, according to claims posted by Firsov on the Deer.io platform.

Специалисты Дина Хейнс (Dina Haines) и Кори Куявски (Cory Kujawski) из компании White Ops обнаружили обнаружили тысячи взломанных маршрутизаторов Asus (по оценкам, 50 тыс. - 120 тыс.). Доступ к некоторым устройствам Asus предлагается всего за несколько долларов. Данные размещены на сайте avatools[.]Ru, который был запущен в августе прошлого года и в настоящее время насчитывает около 100 активных пользователей, сообщило издание Forbes. Преступник также дополняет свои предложения отдельными базами данных, одна из которых содержала личную информацию около 500 тыс. американцев, а другая — данные кредитных карт. У мошенников есть несколько причин использовать такие взломанные маршрутизаторы. Во-первых, они маскируют исходный IP-адрес преступника. Во-вторых, системы обнаружения мошенничества блокируют транзакцию, если она происходит за пределами региона, где обычно используется карта. Таким образом, получив доступ к маршрутизатору, расположенном в том же регионе, где в основном происходят транзакции жертвы, вероятность блокировки незаконной финансовой операции будет крайне мала. По словам исследователей, злоумышленник, предположительно, действует как посредник, помогающий мошенникам, поскольку он проверил IP-адреса с помощью нескольких общедоступных инструментов обнаружения мошенничества. Затем каждому IP был присвоен балл от 0 до 100 — чем выше число, тем выше вероятность эксплуатации в прошлом. Цены на взломанные устройства варьируются от 3$ до 15$, а денежные средства злоумышленник получает на Qiwi-кошелек. По словам исследователей, создатель Ava-Tools обнаружил уязвимые маршрутизаторы Asus в результате массового сканирования на предмет устройств, содержащих старую (и уже исправленную) уязвимость CVE-2018-18287 . Как предполагают специалисты, преступнику также удалось получить доступ к устройствам от 30 других поставщиков. Эксперты получили доступ к некоторой информации преступника и предполагают, что им является житель Молдовы, работающий в сотрудничестве со специалистом в области безопасности.