INC.

Центр стратегических разработок (ЦСР) предложил ввести отдельное регулирование невзаимозаменяемых токенов (NFT) и лиц, которые обеспечивают синхронность и непротиворечивость перехода токенизированных вещных прав и записей об их учете в блокчейне, сообщают «Ведомости». О такой инициативе говорится в докладе центра «Виртуальные активы: NFT и виртуальные предметы в компьютерных играх и метавселенных». ЦСР рекомендовал создать отдельную регуляторику для NFT в силу отсутствия в российском законодательстве четкого определения и правовых режимов. В докладе также рассматривается правовое регулирование в отношении виртуальных предметов в компьютерных играх и метавселенных модели play-to-earn. В Банк России такой доклад не поступал, сказал "Ведомостям" представитель регулятора. Но вопросы регулирования отдельных видов NFT могут быть решены в рамках закона об инвестиционных платформах, добавил он: эти вопросы ЦБ планирует в ближайшее время проработать с участниками финансового рынка. Контуры понятия NFT и его правовой режим до сих пор не очевидны, отмечает ЦСР. Поэтому в первую очередь необходимо внести изменения в статью о цифровых правах Гражданского кодекса (ГК) и указать там, что понятие цифровых прав может охватывать токены, которые не предусмотрены в законе. По мнению авторов доклада, это позволит без изменения общей статьи об объектах гражданских прав подчеркнуть допустимость выпуска и обращения NFT, пишут "Ведомости". Если NFT будет определяться в соответствии с ГК как «иное» имущество, то для Налогового кодекса токены будут признаваться имуществом и, соответственно, товарами, поэтому они не будут облагаться налогом при покупке и майнинге. Однако NFT могут подлежать налогообложению НДС без введения специальных положений в Налоговый кодекс. Для отдельного регулирования токенизированных вещных прав ЦСР предлагает в качестве одного из вариантов введение агента, функционально подобного эскроу-агенту. Такой агент может следить за сохранностью токенизированных вещей и по итогу обеспечивать синхронизацию внесения изменений в блокчейне с переходом вещных прав.

Специалистам из TAG удалось связать бывших участников группировки Conti с UAC-0098 (такой идентификатор получила группировка от CERT-UA) с помощью анализа их методов и фишинговых кампаний, направленных на украинское правительство, организации, а также различные европейские гуманитарные и некоммерческие организации. В своем блоге специалисты сообщили, что ранее UAC-0098 использовала банковский троян IcedID для проведения вымогательских атак, но потом резко начала заниматься фишинговыми атаками, выступая в роли брокера начального доступа для других киберпреступников. Кроме того, TAG предоставила два признака, связывающие UAC-0098 с Conti: В атаках UAC-0098 использует скрытый бэкдор, доступный только тем группировкам, которые работают с Conti; UAC-0098 использует C&C-инструмент, разработанный Conti. В ходе недавних кампаний группировка рассылала фишинговые письма ряду крупных сетей украинских гостиниц, выдавая себя за Киберполицию Украины. Кроме того, хакеры пытались выдать себя за представителей Starlink, отправляя письма со ссылками на установщики вредоносных программ, замаскированные под ПО, необходимое для подключения к интернету через системы Starlink. Не стоит забывать и про нашумевшую Follina – UAC-0098 использовала эту уязвимость в своих атаках, однако TAG неизвестно, что злоумышленники делали после взлома систем с ее помощью. Подводя итоги, исследователи Google отметили, что границы между различными хакерскими группировками в Восточной Европе очень размыты. По их мнению, это является показателем того, как часто хакеры адаптируются под различные геополитические ситуации в данном регионе.

Ведущая гостиничная компания InterContinental Hotels Group PLC (также известная как IHG Hotels & Resorts) 5 сентября подверглась кибератаке, которая привела к отключению некоторых IT-систем компании. Системы бронирования IHG и другие сервисы были сильно повреждены и не работают на данный момент. IHG Hotels & Resorts наняла сторонних специалистов для расследования инцидента, а также уведомила соответствующие регулирующие органы. IHG рассказала об атаке в своем заявлении , поданном в Лондонскую фондовую биржу 6 сентября. Хотя компания не раскрыла никаких подробностей о характере атаки, в своем сообщении она упомянула, что работает над восстановлением пострадавших систем и оценкой масштаба кибератаки. Однако, по словам экспертов это может быть атака программы-вымогателя. IHG заявила, что отели IHG по-прежнему могут работать и принимать заказы напрямую. API-интерфейсы компании не работают и показывают ошибки HTTP 502 и 503. Кроме того, клиенты не могут войти в систему, а в приложении IHG отображается ошибка.

Криптовалютная платформа Tornado Cash попала под санкции Минфина США. Об этом сообщается на сайте американского ведомства. В сообщении говорится, что работа данной платформы была заблокирована ввиду того, что она использовалась в отмывании миллиардов долларов, а также для обхода санкций против КНДР. Блокчейн-протокол, работающий в сети Ethereum, Tornado Cash позволяет повысить конфиденциальность транзакций, скрывая связь между источником и получателем токенов. Однако сервис часто используется хакерами при выведении средств с атакованных проектов. По данным Минфина США, с 2019 года сервис использовался для отмывания виртуальной валюты на сумму более $7 млрд. В эту сумму входит более $455 млн, которые были украдены Lazarus Group, спонсируемой КНДР хакерской группой, против которой США ввели санкции в 2019 году. Пpeдcтaвитeли кpиптoвaлютнoй индуcтpии ocудили ввeдeниe caнкций пpoтив микcepa Tornado Cash. Paзpaбoтчик Ethereum Пpecтoн Baн Лун cчитaeт, чтo блoкиpoвкa cepвиca лишeнa здpaвoгo cмыcлa. Пo eгo мнeнию, Tornado Cash — этo вceгo лишь инcтpумeнт, кoтopый мoжнo иcпoльзoвaть кaк для плoxиx, тaк и для xopoшиx цeлeй.

Впервые суд постановил заблокировать браузер в 2017 году, но блокировать начали только спустя 4 года. Однако в мае 2022 году решение было отменено из-за нарушения нормы процессуального права во время рассмотрения дела в первый раз. Вчера Ленинский районный суд Саратова удовлетворил новое требования прокуратуры Саратовского района по делу сайта проекта сети Tor в России. Об этом сообщается на сайте суда. По мнению суда Tor Browser «содержит информацию, запрещённую к распространению на территории РФ», а также позволяет получить доступ к контенту, который «способствует совершению уголовных преступлений». Tor Browser позволяет устанавливать анонимное соединение с сайтами, а также подключаться к скрытым сайтам в зоне .onion. Как сообщила юрист правозащитной организации «Роскомсвобода» Екатерина Абашина, представлявшая интересы разработчиков браузера, Суд проигнорировал определения из федерального закона «Об информации» и «согласился с позицией Роскомнадзора о том, что информация, приложение и технология — это одно и то же», сказала госпожа Абашина. Такая интерпретация, по словам юриста, противоречит и фактическому устройству интернета. Требование к Google об удалении приложения из магазина 26 июля было выделено в отдельное производство, дело Tor по существу дальше слушалось без него, добавила она.

Исследователи кибербезопасности компании Check Point обнаружили новую кампанию , приписываемую китайской хакерской группе Tropic Trooper , которая использует новый загрузчик под названием Nimbda и новый вариант трояна Yahoyah. Троянец входит в состав инструмента SMS Bomber. Заражение начинается с загрузки вредоносной версии SMS Bomber с дополнительным кодом, который внедряется в процесс notepad.exe. Загруженный исполняемый файл на самом деле является загрузчиком Nimbda, который использует значок SMS Bomber и использует бомбер в качестве встроенного исполняемого файла. В фоновом режиме загрузчик внедряет шелл-код в notepad.exe, чтобы получить доступ к репозиторию GitHub, получить исполняемый файл, декодировать его, а затем запустить с помощью процесса в dllhost.exe. Эта полезная нагрузка представляет собой новый вариант Yahoyah, который собирает данные о хосте и отправляет их на C2 сервер. Окончательная полезная нагрузка кодируется в JPG изображение с использованием стеганографии . Собранная трояном информация включает следующее: SSID ближайшей к устройству жертвы локальной беспроводной сети; Имя компьютера; MAC-адрес; версия ОС; информацию об установленном антивирусном ПО; данные о наличии файлов WeChat и Tencent.

Группа реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA) заявила, что российские хакеры используют уязвимость Follina в новых фишинговых кампаниях для установки вредоносного ПО CredoMap и маяков Cobalt Strike. По предположениям специалистов, хакерская группа APT28 ( Strontium, Fancy Bear и Sofacy ) рассылает электронные письма с вредоносным документом под названием «Ядерный терроризм — реальная угроза.rtf». Хакеры выбрали такую тему, чтобы побудить получателя открыть документ, так как среди украинцев распространен страх перед потенциальной ядерной атакой. RTF документ использует уязвимость CVE-2022-30190 (Follina) для загрузки и запуска вредоносного ПО CredoMap (docx.exe) на устройстве жертвы. Согласно отчету Malwarebytes , полезная нагрузка представляет собой инфостилер , который крадёт учетные данные и cookie файлы из браузеров Chrome, Edge и Firefox. Затем ПО извлекает украденные данные с помощью протокола электронной почты IMAP и отправляет всё на C2 адрес, который размещен на заброшенном сайте в Дубае. CERT-UA также выявила другую кампанию злоумышленника под названием UAC-0098, использующую CVE-2022-30190. CERT-UA сообщила , что субъект угрозы использовал DOCX файл с именем «Наложение штрафов.docx», а полезная нагрузка, полученная с удаленного ресурса, представляет собой маяк Cobalt Strike (ked.dll) с последней датой компиляции.

Специалисты ИБ-компании Zscaler опубликовали подробности о полнофункциональном загрузчике вредоносного ПО PureCrypter, использующемся киберпреступниками для доставки на атакуемые системы троянов для удаленного доступа (RAT) и инфостилеров. Загрузчик представляет собой исполняемый файл на .NET, обфусцированный с помощью SmartAssembly для обхода обнаружения антивирусными решениями. Киберпреступники используют PureCrypter для загрузки Agent Tesla, Arkei, AsyncRAT, AZORult, DarkCrystal RAT (DCRat), LokiBot, NanoCore, RedLine Stealer, Remcos, Snake Keylogger и Warzone RAT. Вредонос, создателем которого является некто PureCoder, можно арендовать на хакерских форумах по цене $59 в месяц. Кроме того, его можно купить полностью за $249. С марта 2021 года PureCrypter рекламируется создателем как «единственный криптор на рынке, использующий техники доставки как offline, так и online». Крипторы выполняют функцию первого слоя защиты от реверс-инжиниринга и обычно используются для упаковки вредоносного ПО. PureCrypter также оснащен механизмом для внедрения встроенного вредоносного ПО в родные процессы, а также различными опциями конфигурации для обеспечения постоянства на атакуемой системе и обхода обнаружения. Автор вредоноса не поленился отметить, что PureCrypter «создан исключительно в образовательных целях», однако его пользовательское соглашение запрещает покупателям загружать инструмент в VirusTotal, Jotti и MetaDefender. Проанализировав один из образцов PureCrypter, специалисты Zscaler обнаружили, что файл образа диска (.IMG) содержал загрузчик первого этапа, который в свою очередь извлекал с удаленного сервера и запускал модуль второго этапа, внедрявшего финальную полезную нагрузку в процессы наподобие MSBuild. PureCryter также оснащен функцией самоудаления со взломанной машины и функцией оповещения о статусе заражения через Discord и Telegram.

Исследователь безопасности обнаружил уязвимость в системе NFC (Near-Field Communication) ключ-карт Tesla , которая позволяет злоумышленникам добавлять собственные ключ-карты без ведома жертвы. В прошлом году сообщалось о незадокументированном изменении в методе работы ключ-карты, после которого пользователям больше не нужно было класть карту на центральную консоль, чтобы переключить передачу и поехать по своим делам. Единственная загвоздка была в таймере, установленном на 130 секунд, в течение которых нужно было переключить передачу. По словам Мартина Херфурта, исследователя безопасности из Австрии, таймер позволял не только завести автомобиль, но и добавлять новые ключи, не требуя аутентификации и при этом не уведомляя водителя о происходящем. Для демонстрации уязвимости Хефурт разработал пробный вариант. Все, что нужно сделать вору – находиться недалеко от автомобиля и после его разблокировки начать обмен сообщениями между своим приложением и автомобилем, что автоматически добавит ключ-карту злоумышленника в список авторизованных ключей. Затем вор может использовать свою ключ-карту, чтобы разблокировать и угнать электрокар. Существует пользовательская версия Teslakee, которая, по словам Хефурта, помогает защититься от подобных атак. В интервью изданию Ars Technica исследователь сказал, что ему удалось продемонстрировать уязвимость на Model 3 и Model Y. Он не тестировал ее на новейших Model S и Model X, но ожидает аналогичных результатов. По словам Хефурта, защититься от угона позволит только функция PIN to Drive. Она не помешает злоумышленникам разблокировать автомобиль жертвы, но не даст никуда на нем уехать. Напомним, ранее сообщалось о другой уязвимости, позволяющей хакерам угонять автомобили Tesla. Уязвимость в протоколе Bluetooth LE позволяет злоумышленникам заводить двигатель и проникать в салон электрокара.

В апреле 2022 года «Лаборатория Касперского» проанализировала объявления на нескольких русскоязычных теневых площадках и изучила актуальные сообщения о продаже доступа к учётным записям на зарубежных стриминговых платформах и других сервисах. В частности, специалисты обнаружили в даркнете десятки свежих объявлений о продаже доступа к Spotify Premium, Netflix Premium, PornHub и других планах подписок. По предварительным данным, стоимость предлагаемых учётных записей начинается в среднем от 20 рублей и во многом зависит от продавца, а также от длительности «подписки»: месяц, полгода или год. Помимо доступа к стриминговым платформам на форумах и в мессенджерах активно предлагают оформить подписку на VPN различных брендов. Встречаются также объявления с «услугой» продления аккаунтов, а не покупкой сторонних учётных записей. Эксперты не исключают, что часть найденных объявлений представляет собой банальное мошенничество, цель которого — выманить данные и деньги потенциальных покупателей. Сами продавцы часто представляются магазинами цифровых товаров и заманивают потенциальных покупателей своеобразным уровнем сервиса, например, предлагают быструю замену учётных данных при их невалидности, автоматическую выдачу товаров (якобы человек получит товар сразу после оплаты), а также техническую поддержку 24/7 и удобный чат-бот. Также покупателю могут предложить временную гарантию, например на неделю, однако такие обещания, как правило, оказываются обманом. «Большинство стриминговых сервисов позволяет в той или иной форме взять одну подписку на всю семью, и злоумышленники пытаются извлечь из этого выгоду, торгуя зачастую украденными аккаунтами. В качестве ответной меры сервисы стараются ужесточить условия совместного использования учётных записей. Предложения злоумышленников не теряют актуальности, напротив, мошенники могут активизироваться, играя на новостной повестке, — отмечает Леонид Безвершенко, эксперт по кибербезопасности в «Лаборатории Касперского». — При этом нужно понимать, что в даркнете гарантий не даёт никто. Риски для потенциального покупателя высоки: неизвестно, как злоумышленники распорядятся пользовательскими данными.

В ФСБ предложили обязать криптобиржи и криптокошельки представлять информацию правоохранительным органам наряду с судами. Такая инициатива содержится в отзыве российских ведомств на законопроект Минфина о регулировании криптовалют, пишут «Известия».. Кроме того, служба выступила за согласование требований к хранению и защите информации об обороте крипты с уполномоченными органами. В ведомстве также указали, что документ обязывает биржи сообщать уполномоченному органу идентификационные признаки криптовалюты, но при этом не регламентирует их «состав, характер и порядок формирования». В МВД считают , что законопроект не в полной мере регулирует порядок исполнения биржами постановления суда об аресте криптовалюты и создания кошелька для хранения арестованных или конфискованных активов. В то же время ФНС предложила ужесточить регулирование криптобирж и криптокошельков без лицензии. Минфин согласился с позициями ФСБ, МВД и ФНС по перечисленным вопросам.

С выпуском версии OpenSSH 9 и принятием гибридного метода обмена ключами Streamlined NTRU Prime + x25519 появилась постквантовая криптография по умолчанию. «Алгоритм NTRU противостоит атакам будущих квантовых компьютеров и сочетается с обменом ключами X25519 ECDH (предыдущее значение по умолчанию) в качестве защиты от любых слабых мест в NTRU Prime, которые могут быть обнаружены в будущем», — говорится в примечаниях к выпуску. По мере того, как работа над квантовыми компьютерами продвигается вперед, защита от возможных атак также усиливается. Благодаря массовому параллелизму, ожидаемому от работоспособных квантовых компьютеров, традиционную криптографию будет несложно взломать после того, как такая компьютерная система будет создана. В другом выпуске OpenSSH, который в основном был сосредоточен на исправлении ошибок, команда SCP перешла с устаревшего протокола по умолчанию на использование SFTP.

Слитые несколько недель назад личные данные «Яндекс.Еды» оформлены неизвестными хакерами в интерактивную карту. Теперь любой желающий может узнать личную информацию о клиентах платформы: имя, номер телефона и даже адрес. Сообщения о слитой базе данных появились вечером 22 марта 2022 года. На карте можно увидеть тысячи данных жителей со всей России и ближнего зарубежья. К примеру, вбив номер, можно проверить, содержатся ли ваши данные в утечке. В настоящее время сайт со слитыми данными пользователей внесён в реестр нарушителей прав субъектов персональных данных, доступ к нему ограничен. В слитой базе можно найти данные чиновников и известных людей. Появилась информация что некоторые пользователи таким образом смогли обнаружить гламурные похождения своих вторых половинок. Сама база в свободном доступе появилась еще 1 марта. Тогда служба безопасности Яндекса сообщила , что в результате недобросовестных действий одного из сотрудников в интернете были опубликованы телефоны клиентов и информация об их заказах: состав, время доставки и так далее. Выложенный хакерами файл представлял два дампа общим размером около 50Гб.

Хакеры, предположительно являющиеся участниками движения Anonymous, заявили о взломе десятков камер видеонаблюдения в России и запуске поверх их видеопотока сообщения политического характера. Они также создали сайт Behind Enemy Lines, на котором можно было посмотреть «живую» видеотрансляцию с этих камер. Как сообщает издание Motherboard, сайт транслировал видео с 86 уникальных камер видеонаблюдения, однако на момент написания новости оно уже было недоступно. Хакеры рассортировали видео на насколько категорий, в зависимости от места расположения камер: «внутренние», «наружные», «рестораны», «офисы», «дома», «бизнес» и «школы». Сотрудники Motherboard просмотрели трансляции с нескольких разных камер и пришли к выводу, что как минимум некоторые из них находятся в России. Через некоторое время хакеры убрали видео из раздела «дома», объяснив это уважением к приватности гражданского населения. «Мы надеемся, вы поймете», - гласило сообщение в разделе «дома». Один из упомянутых на сейте имен пользователей Twitter Anonymous не ответил на запрос журналистов, поэтому на данный момент непонятно, как был получен доступ к камерам, с помощью Shodan или каким-либо другим способом.

Хакеры, похитившие 1 ТБ данных у компании Nvidia, теперь пытаются продать данные, в том числе информацию по снятию ограничения в видеокартах для майнинга Ethereum. Группировка LAPSUS$ (LAPSU$) направила предложения заинтересованным покупателям в понедельник, 28 февраля, через свой открытый чат. Согласно сообщению, в распоряжении хакеров есть кастомизированный драйвер, способный с легкостью разблокировать ограничитель хэшрейта Lite Hash Rate (LHR) в видеокартах серии RTX 3000, пишет PCmag. Напомню, как стало известно на днях, производитель графических процессоров Nvidia подвергся кибератаке, в результате которой злоумышленники похитили 1 ТБ данных. Компания попыталась атаковать хакеров в ответ и зашифровать похищенные ими данные, но данная мера оказалась неэффективной. В настоящее время коммерческие и бизнес-процессы Nvidia проходят нестабильно, и компания все еще пытается установить масштабы и влияние инцидента. LAPSUS$ потребовала у Nvidia выкуп в криптовалюте. В настоящее время группировка предлагает архив размером 19 ГБ, предположительно содержащий исходный код драйверов видеокарт Nvidia. Кроме того, в нем есть достаточно информации, которая может помочь технически подкованным пользователям снять ограничения хэшрейта. В воскресенье, 27 февраля, хакеры потребовали у компании убрать ограничитель LHR во всех видеокартах RTX 3000 с помощью обновления ПО. В случае отказа группировка пригрозила «слить» большую папку с информацией касательно аппаратного обеспечения Nvidia. Однако теперь она сама заявила о намерении продавать драйвер, способный блокировать ограничитель хэшрейта. Возможно, предъявленное в воскресенье требование было просто попыткой привлечь внимание. Не исключено также, что LAPSUS$ врет и отчаянно пытается монетизировать взлом любыми методами.

Международная компания AON, специализирующаяся на консультациях в сфере страхования, стала жертвой кибератаки. Инцидент затронул «ограниченное» количество компьютерных систем. Как сообщается в форме 8-K , поданной в Комиссию по ценным бумагам и биржам США, 25 февраля 2022 года компания подверглась кибератаке. AON не предоставила никаких подробностей об инциденте, кроме того, что проблема затронула ограниченное количество систем. Сразу после выявления инцидента компания начала расследование и воспользовалась услугами сторонних консультантов, специалистов по реагированию на инциденты и адвоката. Инцидент не оказал существенного влияния на деятельность AON Помимо страховой деятельности, AON также является ведущей перестраховочной компанией, а это означает, что она страхует страховые компании. Получение дампов данных клиентов других страховщиков является обычным явлением при подписании полиса перестрахования. Это делает AON привлекательной мишенью для злоумышленников, которые обычно крадут корпоративные данные во время кибератак.

Португальское подразделение Vodafone стало жертвой хакерской атаки, в результате которой была нарушена работа услуг компании. Как заверили представители Vodafone Portugal, персональные данные клиентов не были скомпрометированы. В понедельник вечером, 7 февраля, система Vodafone Portugal столкнулась с техническими проблемами — тысячи клиентов не могли осуществлять звонки или подключаться к Сети на своих телефонах и компьютерах. Как выяснилось позже, технические проблемы были вызваны кибератакой. Vodafone Portugal «намерена восстановить нормальное обслуживание» и использование мобильной связи. Сеть 4G на момент написания новости остается недоступной.

Крупные суммы биткойнов, украденные с криптовалютной биржи Bitfinex шесть лет назад, были перемещены хакерами на новый адрес. «94 643,29 биткойнов (примерно $3,55 млрд) были перемещены в ходе 23 транзакций из кошелька, связанного с кражей у Bitfinex в 2016 году, на новый адрес», — сообщила аналитическая компания Elliptic. Маловероятно, что средства будут обналичены в ближайшее время, полагают эксперты. Криптовалюта, полученная в результате взлома, медленно отмывается уже более пяти лет, и обналичивание больших объемов за короткий период времени привлечет нежелательное внимание. Количество перемещенных биткойнов составило 79% от общего количества украденных средств (119 756 биткойнов). Последний раз хакеры перемещали украденные биткойны в апреле 2021 года, осуществив перевод на сумму более $700 млн на неизвестные кошельки во время ажиотажа, вызванного листингом криптовалютной биржи Coinbase на Nasdaq. Согласно Elliptic, средства были отмыты через рынки даркнета, такие как Hydra, и кошелек Wasabi. Большая часть биткойнов, связанных со взломом Bitfinex, отслеживается и занесена в черный список. Таким образом, хакерам будет сложно обналичить деньги на известных централизованных биржах.

Основатель WikiLeaks Джулиан Ассанж добился права подать в Верховный суде Великобритании апелляционную жалобу на решение Высокого суда Лондона об экстрадиции в США. Однако право на обжалование еще не означает, что оно будет рассмотрено, сообщает BBC. В любом случае, с момента подачи апелляции до принятия судом окончательного решения может пройти много времени, в течение которого Ассанжу не будет экстрадирован в США. Напомню, начиная с 2010 года, на WikiLeaks были опубликованы тысячи секретных документов правительства США, в связи с чем Ассанжу были предъявлены обвинения в заговоре с целью получения и раскрытия государственной тайны. В общей сложности против него были выдвинуты 17 обвинений в разглашении государственной тайны и одно – в незаконном взломе компьютерных сетей. По словам американских властей, своими публикациями на WikiLeaks Ассанж поставил под угрозу жизни американских разведчиков в нескольких странах, в том числе на Ближнем Востоке. С 2012-го по 2019 год основатель WikiLeaks провел в посольстве Эквадора в Лондоне, где ему было предоставлено политическое убежище. В апреле 2019 года Ассанж был арестован в Лондоне и помещен под стражу. 4 января 2021 года суд постановил, что обвиняемый не может быть экстрадирован в США по состоянию здоровья и потенциальной угрозы суицида. Однако почти через год, в декабре 2021 года Министерство юстиции США выиграло апелляцию в Высоком суде Лондона против предыдущего решения об отказе в выдаче Ассанжа.

В первую неделю января государственные учреждения штата Нью-Мексико подверглись масштабной кибератаке с применением программы-вымогателя. Среди объектов нападения — местная тюрьма, заключённые которой не только не могли выйти из своих камер, но и воспользоваться интернетом и сотовой связью. Об этом пишет Albuquerque Journal. В результате кибератаки городской центр заключения округа потерял доступ к некоторым ключевым функциям безопасности, в том числе к записям с камер и автоматическим дверям тюрьмы. Это вынудило администрацию округа заблокировать всю тюрьму, заставив всех заключенных в обозримом будущем находиться в своих камерах. В то же время некоторых арестантов, которые во время атаки не находились в своих камерах, пришлось размещать в хозяйственных помещениях и изоляторах строгого содержания. Как сообщается, кибератака, испортившая файлы в базах данных, может привести к нарушению мирового соглашения 1995 года, которое заставило местные власти гарантировать заключённым регулярный доступ к телефонам и другим устройствам связи. Тюрьму могут ждать судебные иски.

Злоумышленники взламывают серверы Windows Internet Information Services (IIS) и внедряют страницы с уведомлением об истекшем сертификате, предлагающим установить ПО, которое на деле является установщиком вредоносной программы. Вредоносная программа автоматически устанавливает и запускает программу удаленного управления TeamViewer. После запуска сервер TeamViewer связывается с C&C-сервером злоумышленников. «Обнаружена потенциальная угроза безопасности и не продлен переход на [имя сайта]. Обновление сертификата безопасности может позволить установить это соединение. NET :: ERR_CERT_OUT_OF_DATE», — сообщается в уведомлении на страницах. Как отметили исследователи в области кибербезопасности из Malwarebytes Threat Intelligence, с помощью поддельного установщика обновлений, подписанного сертификатом Digicert, на компьютер жертвы устанавливается вредоносная программа TVRAT (также известная как TVSPY, TeamSpy, TeamViewerENT или Team Viewer RAT). Вредонос предоставляет операторам полный удаленный доступ к зараженным узлам. По словам экспертов, злоумышленники могут использовать различные способы взлома серверов Windows IIS. Например, PoC-код для эксплуатации критической червеобразной уязвимости ( CVE-2021-31166 ) в HTTP Protocol Stack (HTTP.sys), используемом web-сервером Windows IIS, был опубликован в мае нынешнего года. Microsoft исправила проблему и заявила, что она затрагивает только версии Windows 10 2004/ 20H2 и Windows Server 2004/20H2. APT-группировка Praying Mantis (также известная как TG1021) в своих атаках использовала уязвимость удаленного выполнения кода в Checkbox Survey ( CVE-2021-27852 ), уязвимости незащищенной десериализации и альтернативной сериализации в VIEWSTATE, а также уязвимости в Telerik-UI (CVE-2019-18935 и CVE-2017-11317 ). Как ранее писал SecurityLab, в Сети обнаружено более двух миллионов web-серверов, работающих на устаревших и более не поддерживаемых версиях IIS. Microsoft IIS является третьим по популярности web-сервером в мире, на базе которого работает свыше 50 млн интернет-сайтов. Рыночная доля IIS составляет более 12%.

Компания Cisco Systems исправила ряд критических и опасных уязвимостей сетевом оборудовании Cisco Nexus 9000 Series. Самая опасная проблема ( CVE-2021-1577 ) получила оценку в 9,1 балла из максимальных 10 по шкале CVSS. Ее эксплуатация может позволить удаленному неавторизованному злоумышленнику читать или записывать произвольные файлы в интерфейс протокола приложения, используемом в коммутаторах серии Cisco 9000 для управления программно-определяемыми сетевыми данными. Критическая уязвимость затрагивает контроллеры Cisco Application Policy Infrastructure Controller (APIC) и Cisco Cloud Application Policy Infrastructure Controller (Cloud APIC). APIC — основной архитектурный компонент инфраструктуры Cisco, ориентированной на приложения, которые работает на узле Cisco Nexus 9000 Series. «Уязвимость связана с некорректным контролем доступа. Злоумышленник может воспользоваться этой уязвимостью, используя определенную оконечную точку API для загрузки файла на уязвимое устройство», — сообщили эксперты. Уязвимость в конфигурациях сети Multi-Pod или Multi-Site для коммутаторов Cisco Nexus 9000 Series в режиме Application Centric Infrastructure (ACI) может позволить неавторизованному удаленному злоумышленнику перезапустить устройство, вызвав состояние «отказа в обслуживании» (DoS). Еще одна уязвимость в Cisco Nexus Series 9000 содержится в Fabric Switches ACI Mode Queue Wedge. Проблема может позволить неавторизованному удаленному злоумышленнику нарушить работу коммутатора и привести к сбросу критически важного трафика устройства. По словам экспертов, для устранения данной проблемы требуется «ручное вмешательство для перезагрузки устройства и его восстановления» после применения исправлений. Проблема затрагивает фабричные коммутаторы серии N9K (Nexus 9000) поколения 1.

Тайваньская компания CyCraft выпустила бесплатное приложение, которое поможет жертвам вымогательского ПО Prometheus восстановить зашифрованные файлы. Декриптор опубликован для скачивания на GitHub. Инструмент работает путем брутфорса ключа шифрования, использовавшегося для шифрования файлов жертвы. «Для шифрования файлов вымогательское ПО Prometheus использует Salsa20 с произвольным паролем на базе счетчика тиков. Размер произвольного пароля составляет 32 байта, и каждый символ является видимым. Поскольку в качестве ключа пароль использует счетчик тиков, его можно вычислить с помощью брутфорса», – сообщили в CyCraft. Единственный минус декриптора – он может взломать криптографический ключ только для файлов небольшого размера. Однако несмотря на это, релиз инструмента, похоже, оказал огромное влияние на операции Prometheus. Декриптор был выпущен 13 июля 2021 года, и в этот же день на сайте утечек Prometheus была сделана последняя публикация. Через две недели операторы вымогателя, очевидно, свернули свою активность. Вымогательское ПО Prometheus впервые было обнаружено в феврале нынешнего года. До того, как группировка завершила свою деятельность, на ее сайте утечек был опубликован список более чем из сорока жертв. Она привлекла внимание общественности после заявлений о своей связи с нашумевшей группировкой REvil. Тем не менее, упоминание «звездных» вымогателей было удалено после атаки REvil на компанию Kaseya.

Исследователи в области кибербезопасности обнаружили уязвимость в распространенном драйвере печати, используемом такими крупными производителями как HP , Xerox и Samsung. Проблема, получившая идентификатор CVE-2021-3438, существовала в коде с 2005 года и затрагивает миллионы принтеров, выпущенных за последние 16 лет, в частности, более 380 различных моделей принтеров HP и Samsung, а также по меньшей мере 12 моделей устройств Xerox. Согласно исследователям из компании SentinelOne, выявившим проблему и сообщившим о ней производителям в феврале 2021 года, CVE-2021-3438 представляет собой уязвимость переполнения буфера в файле SSPORT.SYS драйвера печати. Уязвимость может быть проэксплуатирована в целях повышения привилегий на системе, что позволит установленному вредоносному ПО или вредоносному коду получить доступ с правами администратора. Более того, по словам специалиста SentinelOne Асафа Амира (Asaf Amir), не исключено, что на системах некоторых пользователей Windows уязвимый драйвер уже может быть установлен без их ведома. Это может происходить в случае, если пользователь подключен к уязвимой модели принтера и драйвер был установлен через Центр обновления Windows. В настоящее время уязвимость уже исправлена. Пользователям рекомендуется проверить, числится ли их принтер в списке уязвимых и установить обновление драйвера с сайта производителя.

Киберпреступник, использующий псевдоним integra, внес на одном из хакерских форумов депозит в размере 26,99 биткойна на покупку эксплоитов для уязвимости нулевого дня. По данным исследователей компании Cyble, участник форума integra зарегистрировался в сентябре 2012 года и с тех пор завоевал хорошую репутацию. Кроме того, integra зарегистрирован на другом киберпреступном форуме с октября 2012 года. Хакер внес депозит с желанием приобрести эксплоит, не детектируемый никаким решением безопасности. В частности, его интересуют следующие предложения: Трояны для удаленного доступа (RAT), не детектируемые ни одним решением безопасности; Неиспользовавшиеся ранее методы атак на Windows 10, в частности атаки с использованием подручных средств и техники обхода реестра (хакер готов заплатить до $150 тыс. за оригинальное решение); Эксплоиты, позволяющие удаленное выполнение кода (RCE) и локальное повышение привилегий (за них киберпреступник согласен заплатить до $3 млн). Столь большая сумма депозита вызывает беспокойство, поскольку предполагает, что злоумышленник собирается использовать эксплоиты для атак или перепродать их. «Уязвимости нулевого дня позволяют злоумышленникам пользоваться слепыми пятнами в безопасности. Столь высокая сумма депозита на покупку этих уязвимостей/эксплоитов показывает серьезность намерений злоумышленников. Организациям следует установить исправления для всех известных уязвимостей и регулярно проводить внутренний аудит вдобавок к готовности к таким атакам в будущем», - сообщили в Cyble.