Докладно про головне

• Російське кіберзлочинне угрупування Evil Corp почало використовувати вірус-вимагач Hades з метою обходу санкцій

Це звучить дивно, але це правда: таким чином здирники обходять санкції Казначейства США. Ще в грудні 2019 року американці ввели санкції щодо  учасників Evel Corp за використання шкідливої програми Dridex та спричинення більш ніж стомільйонних збитків. Тому коли чергова американська організація стає жертвою Dridex, вона опиняється у вдвічі складнішому становищі: з одного боку, вона не може продовжувати роботу через те, що всі системи пошифровані, а з другого боку – заплатити відкуп кіберзлочинцям означає порушити санкції уряду.

Для того, щоб уникнути загроз монетизації свого кримінального бізнесу, кіберзлочинці були змушені відмовитися від власної програмної розробки та розпочати використовувати інший продукт. Адже повної зупинки бізнесу та гніву свого уряду їхні жертви бояться в рівній мірі.

• США заявили, що Росія та Іран впродовж останніх президентських виборів активно здійснювали операції інформаційного впливу, та не змогли досягти успіху

Причому Іран спрямовував зусилля на послаблення підтримки Дональда Трампа, а Росія всіляко дискредитувала Джо Байдена. Про це йдеться у звіті директора національної розвідки США. Основні засоби маніпулювання виборчим процесом в обох гравців були схожі: дезінформація та пропаганда. Про застосування кібератак цього разу не йшлося.

За висновками американської розвідки, інформаційні операції з боку Росії цілком можливо були офіційно санкціоновані Кремлем. Що звучить дуже сильно й досить незвично, зважаючи на культуру та традиції російської пропаганди, де завжди дуже важко знайти крайнього.

Цікавий факт: Китайський уряд також розглядав перспективу здійснення схожих інформаційних операцій, але після уважного аналізу вирішив відмовитися від цієї ідеї. Цілком логічно, адже політика колишнього Президента Штатів не була для КНР надто сприятливою, тому основним прагненням Китаю була якщо не стабілізація відносин двох країн, то хоча б уникнення їх погіршення.

• Директор NSA заявив, що у США не має можливості попереджати кібератаки на кшталт тих, від яких постраждали SolarWinds та Microsoft

Про це голова Агенції Національної Безпеки та американського кіберкомандування повідомив американським парламентарям. Основна причина: спецслужби ворожих країн використовують американські приватні компанії як основну ланку для здійснення таких атак. А в американської розвідки немає дозволу на спостереження за діями американських резидентів. Натомість всі їхні зусилля спрямовані на операції за межами Штатів.

Й справді, в обох випадках з SolarWinds та Microsoft, ці компанії були використані як основні носії інфраструктури кібератак. Попередити ці атаки з допомогою держави було практично неможливо. Кібербезпекові проблеми американського приватного сектору лежать в юрисдикції ФБР та поліції, та вони займаються розслідуванням злочинів, а не захистом бізнесу від ворожих спецслужб.

Коротко про важливе

• У Microsoft стверджують, що 92% серверів Exchange захищені від атаки ProxyLogonвиправленнями безпеки або в інший спосіб

Раніше корпорація Майкрософт опублікувала низку оновлень безпеки для всіх версій Microsoft Exchange, а також докладні покрокові вказівки щодо уникнення атак на це програмне забезпечення.

Взагалі то в це повірити важко, бо якщо це правда, то ми маємо справу з рекордно швидкими показниками ліквідації наслідків масштабного стихійного лиха в галузі кібербезпеки. З іншого боку, не довіряти цифрам від Microsoft підстав в мене немає.

• Браузерне розширення ClearURLs, що видаляє трекінгові параметри з посилань, зникло з Chrome Web Store

Розробник Kevin Roebert звернувся до Google із запитом про причини блокування розширення. У відповіді Google стверджує, що опис розширення “занадто детальний” та порушує правила магазину розширень Chrome. Звісно, такі пояснення комічні, оскільки ClearURLs завдає явної шкоди бізнес-моделі Google.

Багатьох із нас муляють додаткові параметри URL, які Google, Facebook та інші рекламні фірми додають в кінець посилання для більш ефективного слідкування за нашими діями. Особисто я давно шукаю аналогічне розширення для Safari.

Наразі все виглядає так, що розширення ClearURLs реінстальовано в Chrome Web Store, а ми зробили йому непогану рекламу серед наших слухачів.

• Дослідник безпеки запустив фандрейзингову кампанію для оплати послуг юристів, яких йому довелося найняти у відповідь на погрози

Історія стара як світ: хлопець знаходить вразливість у програмі, хлопець доповідає про вразливість власнику програми, компанія-власник кличе юристів та погрожує хлопцеві судовим позовом. На жаль, йдеться не про виробника програмного забезпечення, а про британську систему охорони здоров’я. Тому про зрілу й адекватну реакцію на Responsible Disclosure годі було й чекати.

• Microsoft запустила bug bounty програму для застосунків Microsoft365

Наразі Teams – єдина програма у списку дозволених цілей і компанія не зазначила, коли додасть інші програми Microsoft 365, такі як OneDrive, Outlook, PowerPoint та інші.

• Парламент Німеччини зазнав фішингової атаки російських хакерів

Схоже на те, що зловмисники отримали доступ до поштових облікових записів семи членів Бундестагу ​​та 31 члена регіональних парламентів Німеччини.

• Microsoft та Discord ведуть перемовини про угоду на суму понад 10 млрд дол

Discord було оцінено в 7 млрд, але він не планує продаватися дешевше ніж за 10 після того, як кілька потенційних покупців виявили зацікавленість. Сума виглядає цілком реалістично, з огляду на суму угоди між Slack та Salesforce – понад 27 млрд дол.

• Відтепер в США автомобілі Tesla можна купити за Біткоіни

Опція оплати Біткойнами стане доступною для інших країн пізніше цього року.

• Криптографічні протоколи TLS1.0 та TLS1.1 перенесено в список застарілих

Якщо з якихось причин ви зволікали їх вимкнути, це ваш шанс.

Атаки та інциденти

• Кіберзлочинне угрупування виклало в відкритий доступ дані підрядника Повітряних Сил США та інших військових організацій

Жертва атаки – PDI Group, компанія зі штату Огайо, яка виробляє широкий спектр наземного обладнання для військових потреб, таких як візки та платформи для транспортування зброї, двигунів та деталей літаків.

• Страховий гігант CNA зазнав атаки нового вірусу-вимагача Phoenix CryptoLocker

Зловмисники розмістили вірус-вимагач в мережі компанії 21 березня та зашифрували понад 15,000 пристроїв. Не уникнули цієї долі й комп’ютери працівників, що працюють віддалено та під’єднуються до мережі компанії по VPN.

• Сервери Exchange знаходяться під ударом чергової кіберзлочинної групи

Група під назвою Black Kingdom була вперше помічена торік, коли злочинці використовували вразливості в продуктах Pulse Secure VPN для проникнення у корпоративні мережі та встановлення криптолокерів.

• Дані 6,5 мільйонів громадян Ізраїлю опинилися у відкритому доступі

Особисті дані мільйонів ізраїльських виборців потрапили в Інтернет за два дні до того, як у країні відбулися вибори до Кнесету. Нагадуємо, що це не перший подібний інцидент, а населення Ізраїлю не перевищує 10 млн осіб.

• В ході фішингової атаки зловмисники отримали доступ до пошти та файлівКаліфорнійського Бюро Контролю.

SCO – це агентство, відповідальне за управління державними активами на понад 100 мільярдів доларів щороку. Зловмисники мали доступ до мережі організації понад добу, та викрали номери соціального страхування й конфіденційні файли тисяч державних службовців. Після чого надіслали фішингові повідомлення щонайменше 9000 інших працівників та їхнім контактам.

• Атака вірусу-вимагача зупинила роботу Sierra Wireless, світового лідера виробництва пристроїв інтернету речей

Під час атаки компанії довелося зупинити виробництво на кількох своїх заводах по всьому світі. На цей час Sierra Wireless вважає, що вірус зачепив лише корпоративну мережу виробника, а користувачі пристроїв компанії не постраждали.

• Дані 7,3 мільйонів громадян Нідерландів виставлені на продаж на одному з кіберзлочинних форумів

Згідно зі зразками даних, інформація включає деталі ідентифікації авто, їхніх власників, та будинків власників.

Вразливості та патчі

• Microsoft виправила вразливість підняття привілеїв у PsExec

Ця локальна ескалація привілеїв дозволяє користувацькому процесу підняти права до рівня LOCAL SYSTEM. Вразливість актуальна якщо PsExec виконується в цільовій системі локально або віддалено. Вразливість підтверджено на версіях Windows від XP до 10.

• Cisco повідомляє про критичну вразливість у Cisco Jabber

Перша думка: вразливість в Cisco що?… Ось як я дізнався про існування реалізації Джабберу від Циски: через публікацію CVE.

Вразливість дозволяє виконання віддаленого коду та має рівень ризику 9.9/10. На щастя, щоб скористатися цією багою, зловмисники мають пройти автентифікацію на сервері XMPP.

• Більш ніж 40,000 рядків коду з вразливостями та порушеннями ліцензій могли потрапити в ядро FreeBSD

Не переглянутий та погано відтестований порт WireGuard для FreeBSD мав шанси потрапити у 13-ту версію операційної системи. З цього приводу розгорілася чергова open source драма, яку докладно описала ArsTechnica.

Статті та аналітика

• Визначення форми ключа по звуку 

Не дуже точний та зовсім непрактичний метод, що в ідеальних умовах дозволяє віднайти форму ключа, прослухавши звук, з яким він відкриває замок. Але ж яка чудова ідея!

Рекомендації

• Password Lists – це збірка популярних паролів, впорядкована за різними ознаками, такими як країни, організації, та домени, де вони використовувалися
• OWASP Zhytomyr опублікував запис своєї останньої зустрічі на тему, як забезпечити безпеку програмного продукту, починаючи розробку з нуля
• OWASP Kyiv оголосив збір заявок доповідачів на свою весняну зустріч, що відбудеться 24 квітня

Смі#$%oчки

• Працівники блог-платформи Medium пояснили, чому в офіційного облікового запису президента США в рекомендованих статтях засвітився порнографічний контент