Банк «Уралсиб» сообщил о взломе своих социальных сетей
💰 В своем Telegram-канале банк «Уралсиб» сообщил, что в ночь на 3 августа были взломаны его соцсети, а также социальные сети нескольких других банков (каких именно не уточняется).
⚡️ Как сообщают в пресс-службе банка, около 1:20 ночи мошенники разместили в социальных сетях сообщение о фальшивой акции с 1win, которое было удалено уже через 10 минут. С помощью этого фейкового поста об акции злоумышленники пытались похитить данные карт клиентов банка.
⚡️ Теперь пользователям, которые перешли по ссылке из этого сообщения и оставили им данные своей карты, рекомендуется временно ее заблокировать «для безопасности ваших средств».
💳 С блокировкой представители банка советуют не затягивать, так как «мошенники в любой момент могут расплатиться вашей картой или снять с нее деньги».
Apple потребует от разработчиков объяснить, почему они используют определенные API
🍏 Компания Apple сообщает, что начиная с осени текущего года разработчики приложений будут обязаны указывать причину использования определенных API, которые могут собирать информацию о пользователях.
🔘 Ожидается, что нововведение вступит в силу с релизом iOS 17, iPadOS 17, macOS Sonoma, tvOS 17 и watchOS 10, и будет направлено на предотвращение злоупотреблений, связанных со сбором данных, то есть приложения больше не смогут злоупотреблять конкретными API для фингерпринтинга пользователей.
📩 В компании сообщили, что Apple известно о существовании небольшого набора API, которые могут использоваться не по назначению, а именно — для сбора данных об устройствах пользователей и фингерпринтинга, что запрещено правилами.
Opera GX подменит историю браузера фальшивой и приличной, если пользователь неактивен 14 дней
🔴 В браузере Opera GX, ориентированном на геймеров, появилась новая функция Fake My History («Фальшивая история»), которая активируется, если не пользоваться браузером в течение двух недель. Она не просто очистит историю посещений, но подменит ее вымышленной и приятной версией, с запросами вроде «как построить скворечник», «как стать донором крови».
🔴 Разработчики пишут, что новая функция создана на случай смерти пользователя, специально для тех, кто переживает, что в случае кончины, его близкие могут увидеть всю интернет-историю, со всеми ее сомнительными сайтами.
🔴 Так, Fake My History полностью очистит список посещенных сайтов и добавит в историю такие поисковые запросы, которыми «которыми могла бы гордиться ваша бабушка». Например: «местные возможности для волонтеров», «бесплатные онлайн-курсы для личного роста» или «как построить скворечник».
⚠️ Функцию можно активировать в настройках (opera://history). Отмечается, что не обязательно ждать две недели: пользователь может «притвориться мертвым» в любой момент, просто включив Fake My History немедленно.
Сенатор США обвинил Microsoft в халатном отношении к кибербезопасности
🇺🇸 Сенатор от штата Орегон Рон Уайден(Ron Wyden) заявил, чтобы правительство США должно возложить на Microsoft ответственность за «небрежное отношение к кибербезопасности», в результате которого китайская кибершпионскя хак-группа сумела взломать американские власти.
🧊 Свою резкую критику в адрес Micosoft Уайден облек в письмо, направленное генеральному прокурору США Меррику Гарланду, а также главам Агентства по кибербезопасности и защите инфраструктуры США (CISA) и Федеральной торговой комиссии (FTC).
📩 В письме Уайден заявляет, что софтверный гигант «несет значительную ответственность» за недавний масштабный взлом, который начался с кражи у компании криптографического ключа MSA (Microsoft account consumer signing key).
Для регистрации на российских сайтах может потребоваться российский email-адрес
🇷🇺 Сегодня Госдума одобрила во втором чтении поправки к ФЗ «Об информации, информационных технологиях и о защите информации» и ФЗ «О связи». В итоге с 1 декабря 2023 года в Рунете могут запретить регистрироваться на сайтах с использованием иностранной электронной почты.
🗣️ Исходно законопроект был внесен в Госдуму еще в 2018 году, и тогда его приняли первом чтении, но с тех пор документ оставался без движения. 20 июля текущего года депутат Госдумы от «Единой России» Антон Горелкин подготовил поправки ко второму чтению, которое состоялось сегодня, 25 июля 2023 года.
🌐 Изначально документ вводил требования к владельцам новостных агрегаторов, которые должны иметь более 50% российского контроля в структуре управления. В обновленной версии законопроекта к этому добавились требования к порядку регистрации на российских сайтах.
Statcounter: под управлением Linux работают 3% всех десктопов в мире
🖥 Аналитики компании Statcounter подсчитали, что доля Linux-дистрибутивов на мировом рынке десктопных операционных систем впервые достигла 3,07%. Для сравнения — пять лет назад доля Linux составляла лишь 1,69%.
😊 В компании поясняют, что эта статистика основана на данных трекеров, установленных на 1,5 млн сайтов по всему миру. Они фиксируют около 5 млрд просмотров страниц ежемесячно. Также отмечается, что к десктопам в данной аналитике отнесены и ноутбуки, потому что не существует простого способа отделить их от других машин.
🌐 Как уже было сказано выше, пять лет назад доля Linux в показателях Statcounter составляла лишь 1,69%, а в период с июня 2022 по 2023 год доля Linux поднялась 2,42% до 3,07%. К тому же если рассматривать Chrome OS как Linux-систему, то к полученным данным можно добавить еще 4,13%, в сумме получив уже целых 7,2%.
Червь P2PInfect угрожает серверам Redis в Linux и Windows
🖥 Специалисты Palo Alto Networks Unit 42 обнаружили P2P-червя, нацеленного на серверы Redis. МалварьP2PInfect обладает способностями к самораспространению и атакует установки Redis, работающие в системах под управлением Windows и Linux.
🥇 Исследователи сообщают, что заметили написанного на Rust червя 11 июля 2023 года. Он взламывает серверы Redis, которые уязвимы перед проблемой CVE-2022-0543 и позволяют осуществить побег из песочницы, а также выполнить произвольный код.
🔑 Данная уязвимость была обнаружена и исправлена еще в феврале прошлого года, однако хакеры продолжают использовать ее против непропатченных систем, так как далеко не все устанавливают исправления вовремя, а PoC-эксплоит для этой проблемы свободно доступен.
🟩 По словам исследователей, хотя за последние две недели в интернете было выявлено около 307 000 серверов Redis, только 934 из них потенциально уязвимы для атак P2PInfect. Но несмотря на то, что далеко не все серверы восприимчивы к заражению, червь все равно атакует их и пытается скомпрометировать. Пока эксперты говорят, что не могут оценить, насколько быстро растет вредоносная сеть, связанная с P2PInfect.
Исследователи сообщили о взломе туроператора «Интурист»
⚡️ Специалисты Data Leakage & Breach Intelligence (DLBI) сообщили, что хак-группы DumpForums и UHG заявили о взломе туроператор «Интурист» (intourist ru). Ранее представители компании действительно сообщали о хакерской атаке и были вынуждены выдать пользователям новые временные пароли от личного кабинета.
🟡 В начале июля 2023 года сообщалось, что сайт туроператора подвергся мощной хакерской атаке, из-за чего у пользователей возникли сложности с выпиской и распечатыванием документов на туры. Тогда в «Интуристе» заверили, что система была восстановлена в кратчайшие сроки, а также было принято решение выдать туркомпаниям временные пароли «для обеспечения безопасности».
❕ Как теперь рассказали эксперты DLBI, злоумышленники из группировок DumpForums и UHG, ранее атаковавшие сеть клинико-диагностических лабораторий «Ситилаб» и сервис по продажу билетов «Кассы Ру», заявили о взломе «Интуриста».
Инфраструктура маркетплейса Genesis продана другим преступникам
💣 Хакерская группировка, стоящая за даркнет-маркетплейсом Genesis, заявила, что платформу продали неназванному покупателю. Интересно, что всего три месяца назад власти США наложили санкции на Genesis Market, конфисковали некоторые из его доменов и утверждали, что получили доступ к бэкэнду.
⚫️ В конце июня на хакерских форумах появилось сразу несколько сообщений о продаже Genesis, написанных аккаунтом GenesisStore, который ранее публиковал посты от лица администрации маркетплейса.
📨 Эти сообщени гласили, что продаются «все наработки, включая полную базу данных (кроме некоторых деталей клиентской базы), исходные коды, скрипты», а при «определенной договоренности» даже серверная инфраструктура.
Ботнет AVrecon заразил более 70 000 Linux-маршрутизаторов
🪖 Согласно данным Lumen Black Lotus Labs, с мая 2021 года Linux-вреднос AVrecon заразил более 70 000 SOHO-роутеров и сделал большинство из них частью ботнета, который специализируется на создании скрытых резидентных прокси.
⚡️ Такие прокси позволяют операторам ботнета маскировать широкий спектр вредоносных действий, от мошенничества с цифровой рекламой до атак типа password spraying.
⚡️ По данным исследователей, несмотря на то, что троян удаленного доступа AVrecon (RAT) скомпрометировал более 70 000 устройств, только 40 000 из них стали частью ботнета, когда малварь закрепилась на устройстве.
🪖 AVrecon удавалось долгое время практически полностью избегать обнаружения, хотя впервые его заметили еще в мае 2021 года, когда вредонос был нацелен на маршрутизаторы Netgear. С тех пор ботнет оставался незамеченным на протяжении двух лет и постепенно рос, к настоящему моменту став одним из крупнейших в мире ботнетов, ориентированных на маршрутизаторы.
Власти США предъявили обвинения администратору даркнет-маркетплейса Monopoly 👀
⚠️ 33-летний гражданин Сербии был экстрадирован из Австрии в США для предъявления обвинений в управлении даркнет-маркетплейсом Monopoly. Согласно заявлению Министерства юстиции США, подозреваемый Миломир Десница (Milomir Desnica) обвиняется в содействии незаконным операциям по обороту наркотиков на общую сумму 18 млн долларов США.
📣 Подозреваемый был арестован в Австрии еще в ноябре 2022 года, а теперь американские власти официально предъявили ему обвинения. В итоге Деснице обвиняется в сговоре с целью распространения и хранения метамфетамина, а также в сговоре с целью отмывания денежных средств.
❓ Напомню, что маркетплейс Monopoly появился в даркнете в 2019 году и в то время использовался в основном для продажи наркотиков (включая опиоиды, психоделики, стимуляторы и отпускаемые по рецепту лекарства) и оружия клиентам по всему миру, принимая платежи и BTC и Monero. Когда в 2021 году ресурс неожиданно закрылся, многие предполагали, что произошел exit scam (то есть операторы сайта скрылись с деньгами), но другие допускали, что сайт могли захватить правоохранительные органы.
Компания JumpCloud обнулила все ключи API из-за кибератаки 🔔⚠️ Разработчики JumpCloud, поставщика облачных решений для управления идентификацией и доступом, сообщили о «продолжающемся киберинциденте», который затронул некоторых клиентов компании. В результате, с целью защиты ценных данных, в JumpCloud были вынуждены сбросить ключи API всех клиентов, затронутых произошедшим.
‼️ Следует отметить, что облачные службы Active Directory (AD) JumpCloud используют более 180 000 организаций по всему миру, а множество поставщиков ПО и облачных услуг интегрировали свои системы с продуктами JumpCloud.
📌 Компания сообщает клиентам, что сброс ключей API нарушит работу некоторых функций, включая импорт AD, интеграцию HRIS, модули JumpCloud PowerShell, приложения JumpCloud Slack, приложения Directory Insights Serverless, ADMU, сторонние пакеты MDM,Command Triggers, интеграции Okta SCIM, Azure AD SCIM, Workato, Aquera, Tray и многое другое.
📣 При этом разработчики уверяют, что сброс ключей проводится во благо клиентов, и готовы оказать поддержку всем, кому потребуется помощь в сбросе и восстановлении ключей API.
Приложения, насчитывающие 1,5 млн установок, передавали данные пользователей в Китай
📱 В Google Play нашли два вредоносных приложения для управления файлами, суммарно установленные более 1,5 млн раз. Они собирали множество пользовательских данных, выходивших далеко за рамки информации, необходимой им для работы, а затем отправляли собранную информацию в Китай.
💡 Исследователи из компании Pradeo, специализирующейся на мобильных угрозах, сообщают, что первое приложение называлось File Recovery and Data Recovery (com.spot.music.filedate) и имело не менее миллиона установок. Второе приложение под названием File Manager (com.file.box.master.gkd) насчитывало не менее 500 000 загрузок. В настоящее время оба уже удалены из магазина Google Play.
💀 Оба приложения были опубликованы от лица одного и того же издателя (wang tom). В их описании, в разделе Data Safety, указано, что они не собирают никаких пользовательских данных, однако это было ложью.
Онлайн-кинотеатры и телеканалы против использования зарубежного контента без разрешения
💿 Представители онлайн-кинотеатров и телеканалы выступили против идеи депутатов Госдумы, которые ранее предлагали использовать контент зарубежных правообладателей без их разрешения.
❕ Соответствующий законопроект был внесен в Госдуму в апреле текущего года. Он предусматривает изменения в 46-ФЗ от 4 марта 2022 года. Согласно документу, перевод, публичный показ, воспроизведение и распространение экземпляров произведений с исключительными зарубежными правами на них будут допускаться без разрешения, но с выплатой вознаграждения. Все отчеты об использовании произведений должны передаваться в уполномоченную организацию для сбора и распределения средств.
❕ Также законопроект предлагает правительству определять перечень обладателей исключительного права на произведения, действия (бездействие) которых приводят к недоступности произведения в РФ.
🇷🇺 Проблемы с кинопрокатом в РФ наблюдаются на фоне специальной военной операции, так как после ее начала многие западные кинокомпании и стриминговые сервисы, включая Disney, Warner Bros, Netflix и Sony Pictures, приостановили работу и прокат своего контента в России.
LockBit заявляет о взломе TSMC и требует 70 млн долларов
🖥 Вымогательская хак-группа LockBit заявила о взломе TSMC (Taiwan Semiconductor Manufacturing Company) — крупнейшего в мире контрактного производителя микросхем. Злоумышленники требуют выкуп в размере 70 000 000 долларов и обещают не сливать в сеть украденные данные, если им заплатят. В компании факт атаки отрицают, заявляя, что с «киберинцидентом» столкнулся один из ее поставщиков.
⚡️ На прошлой неделе связанный с группировкой LockBit злоумышленник, известный под ником Bassterlord, начал твитить о вымогательской атаке на TSMC, публикуя скриншоты с информацией, касающейся компании. Эти скриншоты демонстрировали, что хакеры имел доступ к системам, предположительно принадлежащим TSMC, доступ к приложениям, а также содержали учетные данные для различных внутренних систем и адреса электронной почты.
🚫 Хотя этот тред вскоре был удален из Twitter, на сайте LockBit в даркнете действительно появилась новая запись, посвященная TSMC. Хакеры заявили, что похитили у компании данные и потребовали 70 млн долларов, в противном случае угрожая опубликовать украденную информацию в открытом доступе, включая учетные данные для систем полупроводникового гиганта.
ФСБ И «ЛАБОРАТОРИЯ КАСПЕРСКОГО» ОБНАРУЖИЛИ ЦЕЛЕВЫЕ АТАКИ НА IOS
🇷🇺 В начале июня ФСБ и ФСО России сообщили о «разведывательной акции американских спецслужб, проведенной с использованием мобильных устройств фирмы Apple». Вскоре после этого «Лаборатория Касперского» опубликовала развернутый отчет о целевых атаках, направленных на устройства, работающие под управлением iOS.
🔘 Эта кампания получила название «Операция „Триангуляция“» (Operation Triangulation), и, по данным «Лаборатории Касперского», целью атак было «незаметное внедрение шпионского модуля в iPhone сотрудников компании — как топ‑менеджмента, так и руководителей среднего звена». По данным компании, эти атаки начались еще в 2019 году.
🔘 Представители ФСБ сообщали, что «полученная российскими спецслужбами информация свидетельствует о тесном сотрудничестве американской компании Apple с национальным разведсообществом, в частности АНБ США, и подтверждает, что декларируемая политика обеспечения конфиденциальности персональных данных пользователей устройств Apple не соответствует действительности».
🌐 Компанию Apple обвиняли в том, что она «предоставляет американским спецслужбам широкий спектр возможностей по контролю как за любыми лицами, представляющими интерес для Белого дома, включая их партнеров по антироссийской деятельности, так и за собственными гражданами».
Обнаружен инструментарий, предназначенный для атак на macOS
🆕 Специалисты Bitdefender обнаружили набор вредоносных артефактов, которые, по их словам, являются частью сложного кроссплатформенного инструментария, в том числе нацеленного на устройства, работающие под управлением macOS.
❕ Анализ исследователей строится на изучении нескольких образцов малвари, которые были загружены на VirusTotal неназванной жертвой. Самый ранний образец датирован 18 апреля 2023 года. Отмечается, что на данный момент эти образцы по-прежнему плохо обнаруживаются защитными решениями и «о любом из них доступно очень мало информации».
🖱 Два из обнаруженных вредоносов представляют простые собой бэкдоры, написанные на Python и предназначенные для атак на Windows, Linux и macOS. Эти полезные нагрузки получили в отчете Bitdefender общее название JokerSpy.
Китайские хакеры случайно заразили европейскую больницу малварью
🇨🇳 Аналитики Check Point обнаружили, что неназванная европейская больница оказалась случайно заражена вредоносным ПО. Исследователи связывают это с неконтролируемым распространением малвари китайской хак-группы Camaro Dragon (она же Mustang Panda, BASIN, Bronze President, Earth Preta, HoneyMyte, RedDelta и Red Lich) через USB-накопители.
🔴 Отчет компании гласит, что обычно Camaro Dragon атакует цели в странах Азии, и в коде малвари группировки можно найти функции, предназначенные для уклонения от SmadAV, популярного в регионе антивирусного решения. Однако вредоносное ПО WispRider и HopperTick проникло в европейскую больницу, а также встречалось исследователям в Мьянме, Южной Корее, Великобритании, Индии и России.
❌ В Checkpoint полагают, что атака начинается с того, что жертва запускает вредоносный лаунчер, написанный на Delphi, на зараженном USB-накопителе. Это приводит к запуску основной полезной нагрузки, которая загружает вредоносное ПО на другие накопители, когда они подключаются к зараженной машине. При этом подчеркивается, что малварь представляет большую опасность для корпоративных систем, так как зараженные машины устанавливают вредонса на любые вновь подключенные сетевые диски, а не на диски, уже подключенные к машине на момент заражения.