Украинец взломал тысячи серверов в ста странах мира
Сотрудники Департамента Киберполиции Национальной полиции Украины выявили киберпреступника, занимавшегося взломом уделенных серверов с целью последующей продажи похищенных данных.
Как сообщили в киберполиции, 29-летний житель Харькова с 2018 года промышлял компрометацией удаленных серверов, и до настоящего времени успел взломать тысячи систем в ста странах мира. Доступ к взломанным серверам злоумышленник продавал через специализированные сайты и форумы.
Сотрудники правоохранительных органов провели ряд обысков по нескольким адресам, где проживал преступник. По их результатам были изъяты компьютерная техника, денежные средства и съемные накопители. Во время предварительного осмотра техники полицейские обнаружили активные сеансы и список скомпрометированных серверов с учетными данными для доступа к ним.
По данному факту продолжается досудебное расследование, квалифицированное по ч. 2 ст. 361 («Несанкционированное вмешательство в работу компьютеров, автоматизированных систем, компьютерных сетей или сетей электросвязи) УК Украины. Злоумышленнику грозит наказание в виде лишения свободы на срок до 6 лет.
Мошенники нашли новый способ заработка в Google Play
Исследователи из Sophos обнаружили в Google Play мошеннические приложения, которые обманом снимают со счетов жертв сотни долларов. Злоумышленники заманивают аудиторию бесплатным пробным периодом, по истечении которого взимают с пользователя плату, даже если тот удалил программу.
Как работает fleeceware:
Специалисты насчитали в официальном магазине Android как минимум 15 таких приложений — QR-сканеров, калькуляторов, фоторедакторов и прочих утилит. Все они абсолютно легитимны с юридической точки зрения — не содержат скрытых возможностей и выполняют заявленные функции. Их нельзя отнести к вредоносному ПО, поэтому исследователи предложили понятие fleeceware (от англ. to fleece — «обирать»).
Уже при первом запуске такие приложения требуют у пользователя данные карты. В уведомлении сообщается о некоем бесплатном периоде — в большинстве случаев это три дня. Однако о том, что удаление приложения не эквивалентно отказу от платной подписки, разработчики умалчивают.
Борьба с fleeceware:
Как указали эксперты, использованная мошенниками уловка технически не нарушает политику Google Play. Правила каталога не ограничивают стоимость дополнительных услуг и позволяют разработчику переводить пользователя на платную подписку по истечении установленного пробного периода.
В правилах Google Play указано, что «обычно [компания] не возвращает пользователям средства». Клиенты имеют право потребовать возврат в течение 48 часов после покупки. После этого такие вопросы приходится решать напрямую с разработчиком, который может вернуть деньги, «если это не противоречит его правилам и действующим законам». В случае fleeceware этот вариант, очевидно, оказывается бесперспективным.
Поэтому все, что остается жертвам, — это оставлять негативные отзывы на страницах приложений — среди них можно увидеть жалобы на потерю значительных сумм. Как указывают исследователи, с учетом количества загрузок это может обеспечивать мошенникам солидную прибыль, даже если им удастся обмануть незначительную долю пользователей.
Эксперты ждут действий Google:
Специалисты сообщили о проблеме администраторам Google Play, после чего те удалили основную часть мошеннических программ. Тем не менее в магазине остается еще немало подобных приложений; среди них есть утилиты с 5–10 млн загрузок, а стоимость подписки по истечении пробного периода варьируется от 100 до 200 евро.
По мнению экспертов, единственный выход — введение правила, которое запретит разработчикам устанавливать запредельные цены за фактически бесплатные сервисы без уникальных функций.
Все произошедшее продолжает серию инцидентов в Google Play, так или иначе связанных с активностью киберпреступников. За последний месяц из магазина удалили два adware-зловреда: ранее не встречавшийся Android-бэкдор BRATA и троян-загрузчик Necro.n со 100 млн загрузок. Ранее в этом году исследователи нашли в магазине шпион Exodus, который был доступен пользователям на протяжении трех лет.
Источник: https://threatpost.ru/google-play-fleeceware/34278/
На сайте поставщика расширений для Magento нашли скиммер
Компания Extendware, создатель расширений для сайтов на базе CMS Magento, пострадала от атаки взломщиков. Злоумышленники внедрили скиммер на сайт организации и могли также заразить ее продукцию. Преступники присутствовали в инфраструктуре Extendware с 4 октября.
Вредоносный скрипт представляет собой стандартный кейлоггер. Он копирует платежные данные пользователей и отправляет их на стороннюю веб-площадку. Аналитики полагают, что пунктом назначения служит еще один взломанный сайт.
Эксперты обнаружили скиммер на сайте Extendware, однако предупреждают, что могла иметь место атака на цепочку поставок. Возможность записывать данные на сервер Extendware позволяет преступникам скомпрометировать хранящиеся там дистрибутивы, внедрив вредоносный код и в них. А это значит, что в опасности все торговые площадки, использующие расширения этого поставщика.
Специалисты сообщили об инциденте разработчикам Extendware и поинтересовались, не повлиял ли он на целостность размещенного на сервере ПО. На момент написания статьи компания не опубликовала заявления на этот счет — последняя запись в новостной ленте датируется 12 сентября, в Facebook и Twitter — 1 октября. Эксперты рекомендуют клиентам Extendware не устанавливать расширения, загруженные за последнюю неделю, и выпущенные в этот период обновления.
О взломе Extendware стало известно вскоре после того, как ИБ-эксперты представили подробное исследование кибератак на сайты Magento. Помимо прочего, специалисты отметили растущий интерес преступников к цепочкам поставок, которые позволяют им значительно увеличить охват.
В конце 2018 года аналитики Kaspersky поместили подобные атаки в список главных угроз ближайшего времени. Этот прогноз быстро подтвердился — за последнее время преступники скомпрометировали репозиторий расширений и приложений PHP, официальный сервис обновления ASUS, а также несколько компаний из игровой индустрии.
Источник: https://threatpost.ru/magento-extensions-developer-extendware-compromised/34396/
В Сети появились ключи для файлов, пораженных Muhstik
Немецкий программист Тобиас Фрёмель (Tobias Frömel) получил доступ к серверам операторов вымогателя Muhstik и опубликовал ключи, необходимые для расшифровки данных. Это произошло после того, как специалист заплатил злоумышленникам более 600 евро за возможность декодирования своей информации.
Первые сообщения о ранее неизвестном шифровальщике появились в Сети 30 сентября этого года. Пострадавшие сообщали, что злоумышленники подбирают пароли к сетевым хранилищам на базе NAS-устройств QNAP и кодируют находящиеся там файлы. В документе README_FOR_DECRYPT.txt, размещенном на взломанном диске, жертве предлагают несколько ссылок на ресурсы с дальнейшими инструкциями. За расшифровку информации киберпреступники требуют 0,09 биткойна (примерно 670 евро).
Этичный хакер создал декриптор для Muhstik:
В своем сообщении на Pastebin Фрёмель написал, что авторы вымогателя развернули свои веб-оболочки на уже скомпрометированных серверах, поэтому ему не пришлось взламывать чужие компьютеры. Этичный хакер пояснил, что сумел получить доступ к PHP-скрипту для генерации ключей и использовал его для вывода идентификаторов каждой жертвы.
Опубликованный документ содержит почти 3 000 секретных кодов Muhstik, сформированных программистом на основании полученных данных. Пострадавшие пользователи подтвердили работоспособность выложенных ключей. Специалист выразил сожаление, что уже заплатил злоумышленникам, и сообщил, что будет рад вознаграждению за свою работу.
Чуть позже в Интернете появился декриптор для Muhstik, созданный Фрёмелем, а также еще одна утилита для расшифровки, разработанная сторонней командой ИБ-экспертов. Связь вымогателей с операторами ботнета Muhstik, замеченного в ряде кибератак, пока не доказана.
Летом этого года сетевые хранилища QNAP уже становились целью вымогателей. Авторы шифровальщика eCh0raix пользовались отсутствием антивируса на сетевых устройствах и кодировали данные, подобрав пароль для доступа к системе. Специалисты довольно быстро научились восстанавливать информацию после атаки зловреда, воспользовавшись недостатками механизма генерации ключей.
Источник: https://threatpost.ru/muhstik-ransomware-decryption-keys-published-online/34413/
В форумном движке vBulletin исправлены опасные уязвимости
Разработчики популярного движка для интернет-форумов vBulletin выпустили обновление, исправляющее опасные уязвимости в программном обеспечении. Проблемы затрагивают версии vBulletin 5.5.4 и выше, а их эксплуатация позволяет злоумышленникам удаленно перехватить контроль над целевыми web-серверами и украсть конфиденциальную информацию.
Уязвимости обнаружил исследователь безопасности Эгидио Романо (Egidio Romano). Первая проблема (CVE-2019-17132) представляет собой уязвимость удаленного выполнения кода. Она связана с тем, что при обработке запросов пользователей на обновление аватаров для своих профилей, значков или графических элементов в vBulletin также позволяет злоумышленнику удаленно внедрить и выполнить произвольный PHP-код на целевом сервере с помощью неочищенных параметров. Данная уязвимость может быть проэксплуатирована при условии включенной опции «сохранять аватары в виде файлов». Романо также опубликовал в Сети PoC-код для данной уязвимости.
Две другие проблемы (объединены под общим идентификатором CVE-2019-17271) предоставляют возможность внедрить SQL-код и позволяют администраторам с ограниченными привилегиями получить доступ к важной информации в базе данных.
Администраторам сайтов настоятельно рекомендуется установить официальные патчи vBulletin.
vBulletin — широко используемый форумный движок, написанный на языке PHP. На базе vBulletin работают более чем 100 тыс. web-сайтов в интернете, включая сайты компаний, которые входят в рейтинг Fortune 500 и ТОП 1 млн по Alexa.