Киберпреступники атаковали крупнейшую в Хорватии нефтяную компанию INA Group. В ходе кибератаки злоумышленники, предположительно, использовали вымогательское ПО CLOP, зашифровавшее данные некоторых внутренних серверов компании, сообщило издание ZDNet.
Данный инцидент не затронул поставки бензина клиентам и не повлиял на работоспособность платежных систем компании. Однако в результате атаки компания не смогла выставлять счета-фактуры, фиксировать использование карт лояльности, выпускать новые мобильные ваучеры и новые электронные виньетки, а также принимать от клиентов оплату за топливо.
Хотя INA Group не раскрыла подробностей о том, какое вредоносное ПО использовалось в атаках, предполагается, что речь идет о вымогательском ПО CLOP. О причастности вымогателя свидетельствует несколько факторов. В частности, за несколько часов до того, как INA Group опубликовала заявление об инциденте, аналитик из компании Sophos сообщил о начале активности нового C&C-сервера, используемого в кибератаках CLOP. Кроме того, на этой неделе исследователи безопасности обнаружили новые версии вымогателя CLOP на сервисе VirusTotal.
Напомним, на этой неделе SecurityLab писал о кибер атаке на американского оператора газопровода, в результате которой его компьютерные сети были заражены вымогательским ПО. Злоумышленники использовали фишинговую ссылку для получения первоначального доступа к информационным компьютерным сетям организации, а затем нацелились на OT-сеть (Operational Technology).

Источник: https://www.securitylab.ru/news/505288.php

Исследователь безопасности и разработчик в NIC.gp. Микел Гаскет (Michel Gaschet) обнаружил у Microsoft серьезные проблемы с управлением тысячами своих поддоменов. По его словам, поддомены компании могут быть легко взломаны злоумышленниками и использоваться в атаках как на ее пользователей, так и на сотрудников.
В течение последних трех лет Гаскет неоднократно сообщал Microsoft о поддоменах с некорректными конфигурациями записей DNS, однако компания либо игнорировала его сообщения, либо «втихую» исправляла баги, но далеко не все. Так, в 2017 году исследователь уведомил о 21 уязвимом поддомене msn.com, а в 2019 году – еще о 142 поддоменах microsoft.com. По словам Гаскета, компания исправила конфигурации не более 5-10% поддоменов, о которых он сообщил.
До недавнего времени уязвимые поддомены не причиняли Microsoft никакого беспокойства. Тем не менее, сейчас, похоже, все изменилось. Исследователь выявил по крайней мере одну киберпреступную группу, взламывающую поддомены Microsoft с целью публикации на них спама. Как минимум на четырех поддоменах Гаскет обнаружил рекламу индонезийских online-казино (portal.ds.microsoft.com, perfect10.microsoft.com, ies.global.microsoft.com, и blog-ambassadors.microsoft.com).
По мнению исследователя, Microsoft не спешит с исправлением уязвимостей на своих поддоменах, поскольку это не входит в программу выплат вознаграждения за обнаруженные уязвимости. Проблема взлома поддоменов не является частью bug bounty и поэтому не в приоритете.

Источник: https://www.securitylab.ru/news/505182.php

Поисковая система Google индексирует приглашения в групповые чаты WhatsApp (включая ссылки на закрытые группы), в связи с чем они становятся видимыми и доступными для любого пользователя, желающего присоединиться к группе.
На проблему обратил внимание журналист Джордан Уилдон (Jordan Wildon). Он обнаружил, что функция WhatsApp «Пригласить в групповую ссылку» («Invite to Group link») позволяет Google индексировать подобные группы, делая их доступными в общем поиске в Сети, поскольку ссылки распространяются за пределы безопасного сервиса WhatsApp.
В ходе собственного расследования журналисты издания Motherboard смогли найти закрытые группы, используя конкретный поиск Google. В частности, им удалось присоединиться к группе, предназначенной для НГО, аккредитованных ООН, и получить доступ к списку всех 48 участников и их телефонным номерам.
При желании администраторы групп могут сделать ссылку на чат недействительной, однако, по словам Уилдона, в таких случаях WhatsApp только генерирует новую ссылку и не всегда отключает исходную.
Как пояснила представитель Facebook / WhatsApp Элисон Бонни (Alison Bonny), по аналогии со любым контентом, распространяемым по публичным каналам, если пригласительная ссылка размещена в общем доступе в интернете, ее может найти любой пользователь WhatsApp.
«Ссылки, которыми пользователи желают поделиться в частном порядке с доверенными людьми, не должны публиковаться на общедоступном сайте», — отметила Бонни.

Источник: https://www.securitylab.ru/news/505296.php

Пока Microsoft решает проблему с обновлением KB4532693, предприятия, использующие Windows 10 (версии 1903 и 1909), вынуждены отложить установку патча, исправлявшего некоторые уязвимости. В частности, KB4532693 исправлял уязвимость нулевого дня в Internet Explorer 9/10/11 (CVE-2020-0674), позволяющую удаленно выполнить код и уже использующуюся злоумышленниками в реальных атаках.
К счастью, до выхода исправленной версии обновления пользователи могут установить временное исправление для CVE-2020-0674, доступное на платформе 0Patch. Исправление представляет собой микропатч – однобайтный код, исправляющий проблему в режиме реального времени и не требующий перезагрузки компьютера.
Микропатч не предназначался для 1903 и 1909, но в связи с проблемным обновлением KB4532693 был портирован и на эти версии. Изначально он был создан для Windows 7, Windows 10 1709/1803/1809, Windows Server 2008 R2 и Windows Server 2019. Теперь же установить его могут также пользователи 1903 и 1909.
Компания Microsoft уведомила своих пользователей об уязвимости CVE-2020-0674 в прошлом месяце. С ее помощью злоумышленник может вызвать повреждение памяти и выполнить произвольный код в контексте текущего пользователя. До выхода полноценного патча Microsoft выпустила временное исправление, которое, однако, вызывало проблемы с печатью у принтеров HP. Обновление KB4532693 должно было устранить все неисправности, но только вызвало дополнительные проблемы. После его установки пользователи стали жаловаться на исчезновение своих файлов.

Источник: https://www.securitylab.ru/news/505290.php

По результатам двухмесячного анализа, проведенного независимым экспертом Джамилией Кайя (Jamila Kaya) и специалистами из компании Cisco Duo Security, из Chrome Web Store было удалено более 500 вредоносных расширений, жертвами которых стало несколько миллионов пользователей.
Злоумышленники были активны в течение по крайней мере восьми месяцев, начиная с января 2019 года, а в период с марта по июнь 2019 года выпустили десятки новых вариантов расширений. Вполне возможно, что преступники начали действовать намного раньше, так как некоторые вредоносные программы и связанные домены были зарегистрированы в 2018 и 2017 годах.
С помощью сервиса для анализа расширений CRXcavator специалистам удалось выявить 70 рекламных расширений с общим числом загрузок более 1,7 млн. Плагины были объединены почти идентичной кодовой базой и использовали непримечательные названия. Вредоносный код внедрял рекламу в браузеры пользователей, а также перенаправлял жертв на фишинговые сайты. Исследователи проинформировали Google о своих находках, и компания провела собственное расследование, в ходе которого обнаружила еще более 420 подобных программ.
Во всех расширениях применялась схожая техника для маскировки вредоносной активности и избежания механизмов верификации программ в Chrome Web Store. Код практически не отличался на уровне исходных текстов, за исключением имен функций, которые в каждом расширении были уникальны. Передача вредоносных команд осуществлялась с С&C-серверов.
В числе выполняемых расширениями действий упоминается загрузка на С&C-сервер конфиденциальных данных пользователей, перенаправление на вредоносные сайты и установка вредоносных приложений под видом антивирусного ПО или обновления браузера.

Источник: https://www.securitylab.ru/news/505103.php