Взломщик выложил данные шести компаний в назидание другим

Взломщик Gnosticplayers, который ранее уже трижды выставлял на продажу базы персональной информации, предложил покупателям новую порцию данных. С учетом этой подборки объем скомпрометированных злоумышленником файлов приблизился к 866 млн, а список жертв насчитывает 32 организации.
Выставленные на черный рынок базы содержат более 26 млн записей, за которые преступник хочет получить около $5000 в биткойнах. В число пострадавших вошли шесть компаний, предлагающих различные программные продукты:
Bukalapak (13млн записей оцениваются в 0,34 BTC) —индонезийский агрегатор интернет-магазинов;

EstanteVirtual (5,45 млн записей, 0,2618 BTC) — бразильский книжный интернет-магазин;
LifeBear (3,86 млн записей, 0,2618 BTC) — японское приложение для ведения расписания;
Coubic (1,5 млн записей, 0,157 BTC) —онлайн-календарь;
Gamesalad (1,5 млн записей, 0,0785 BTC) — платформа-конструктор для разработчиков игр;
YouthManual.com (1,12 млн записей, 0,144 BTC) — индонезийский портал для студентов с вакансиями начального уровня.

В этих базах есть электронные адреса, хешированные пароли, IP-адреса и прочие данные, связанные с деятельностью компаний, — например, персональные увлечения пользователей YouthManual или подробности о покупках, совершенных через Bukalapak. Четыре из пяти баз были похищены в феврале 2019 года, а Bukalapak взломали еще в 2017 году.
Журналисты отмечают, что некоторые из предыдущих жертв Gnosticplayers ранее действительно объявляли об утечках. Это позволяет предположить, что выставленные на продажу данные реальны. Из шести компаний, которые попали в нынешнюю серию, к настоящему моменту комментарии поступили только от Coubic и LifeBear — они сообщили об идущем расследовании возможного взлома.
Сам Gnosticplayers объясняет свои действия желанием наказать организации за пренебрежение безопасностью. По его словам, все опубликованные пароли можно взломать, поскольку компании не применяют сильные алгоритмы шифрования.
«Я расстроился из-за того, что никто не учится, — рассказал злоумышленник журналистам, которые связались с ним. — Столь низкий уровень безопасности в 2019 году меня просто бесит».
Взломщик также поведал, что в его архивах есть данные и других компаний, которые смогли откупиться и оставить потенциальную утечку в секрете.
Ранее в марте стало известно о поимке австралийского взломщика, который продавал похищенные данные через собственный магазин. По оценкам правоохранительных органов, преступная деятельность принесла 21-летнему австралийцу не менее $212 тыс.

Источник: https://threatpost.ru/gnosticplayers-goes-for-round-4-with-six-companies-data/31911/

Власти округа Джексон заплатили хакерам 400 000 долларов из-за атаки шифровальщика

В начале марта 2019 года власти округа Джексон (штат Джорджия) стали жертвой атаки шифровальщика Ryuk (он же Ryunk). Инцидент затронул практически всю ИТ-инфраструктуру местных органов власти, не считая официального сайта и аварийных систем 911. Люди были вынуждены использовать бумагу и ручку, вместо привычных систем, которые ушли в оффлайн, а шериф Джанис Магнум (Janis Mangum) рассказывал СМИ, что работать стало гораздо сложнее, хотя все справляются.
В минувшие выходные стало известно, что власти округа Джексон не только обратились за помощью к ФБР, но также наняли сторонних ИБ-консультантов. Последние смогли провести переговоры с операторами малвари, парализовавшей работу практически всех инфраструктуры округа, и договорились о выкупе в размере 400 000 долларов США (около 100 биткоинов).
Как выяснилось, в итоге власти округа приняли решение заплатить выкуп, в настоящее время получили от злоумышленников ключи дешифрования и уже занимаются восстановлением информации. Как объяснили представители округа Джексон, в противном случае на восстановление данных и возвращение систем к работе могли бы уйти долгие месяцы, а денег на эти процедуры было бы потрачено гораздо больше.
Напомню, что Ryuk был обнаружен в прошлом году. Эксперты давно заметили, что заражение Ryuk часто идет рука об руку с малварь Emotet и Trickbot, и полагают, что операторы и создатели шифровальщика базируются в Восточной Европе. Как правило, вымогатель охотится не за рядовыми пользователями, но атакует крупные компании, учреждения из сферы здравоохранения и муниципальные органы власти, как и произошло в округе Джексон.
Но округ Джексон отнюдь не стал рекордсменом, заплатив хакерам выкуп. Еще летом 2017 года южнокорейский хостинг-провайдер Nayana, тоже пострадавший от атаки шифровальщика, был вынужден заплатить вымогателям почти полтора миллиона долларов США в биткоинах.

Источник: https://xakep.ru/2019/03/12/jackson-county-ryuk/

Уязвимость в «Google Фото» раскрывала данные о местоположении

Компания Google исправила в сервисе «Google Фото» уязвимость, раскрывающую геолокационные данные фотографий пользователей. Если говорить точнее, уязвимость позволяла вызвать так называемую утечку по сторонним каналам в браузере.
Атака работает следующим образом. Сначала злоумышленник заманивает жертву на свой web-сайт, где специальный JavaScript-код пытается подключиться к URL-адресам ее личных страниц в учетных записях. Затем он анализирует время, понадобившееся атакуемому сайту на отправку ответов, и размеры самих ответов (даже в случае ответа «access denied») и сопоставляет эти показатели между собой для выявления в учетной записи жертвы определенных артефактов.
Исследователь компании Imperva Рон Масас (Ron Masas) написал JavaScript-код для эксплуатации функции поиска в «Google Фото». Как только пользователь оказывался на вредоносном сайте, используя его браузер в качестве прокси, JavaScript-код отправлял запросы и осуществлял поиск по учетной записи в «Google Фото».
К примеру, Масас использовал поисковый запрос «мои фото в Исландии» с целью выяснить, бывала ли жертва когда-либо в Исландии. Для этого исследователь измерял размер HTTP-ответа и определял время, требуемое сервису на ответ по данному запросу, даже в случае отсутствия в ответе запрашиваемых фотографий. Масас также отправлял в запросе даты, чтобы выяснить наиболее посещаемые жертвой места.
Подобные атаки по сторонним каналам позволяют узнать много частной информации о пользователях, однако они требуют «личного подхода» к каждой жертве и не подходят для массового сбора данных. Тем не менее, такие атаки могут весьма пригодиться злоумышленникам, преследующим конкретную жертву.
В настоящее время уязвимость в «Google Фото» уже исправлена, однако она может затрагивать и другие сервисы, такие как Dropbox, iCloud, Gmail, Twitter и пр. В прошлом месяце аналогичная проблема была исправлена в Facebook.

Источник: https://www.securitylab.ru/news/498419.php

Facebook пропатчила Fizz — свою реализацию протокола TLS

Компания Facebook закрыла серьезный баг в протоколе Fizz — оригинальной реализации TLS с открытым исходным кодом. Эксплуатация уязвимости позволяла удаленному злоумышленнику вызвать отказ в обслуживании и приводила к сбою в работе целевой системы. Баг обнаружили ИБ-специалисты компании Semmle, применившие запросы на языке .QL для моделирования атаки.
Fizz защищает каналы передачи данных в веб-сервисах Facebook и представляет собой один из вариантов стандарта TLS 1.3. В августе прошлого года социальная сеть открыла исходный код проекта, что позволило сторонним разработчикам использовать его в своих продуктах.
Как выяснили эксперты, недостатки в реализации Fizz позволяют неавторизованному киберпреступнику удаленно инициировать бесконечный цикл, который полностью займет все ресурсы библиотеки и сделает ее недоступной для других пользователей. Баг зарегистрирован как CVE-2019-3560 и затрагивает ряд мобильных приложений Facebook, проект Proxygen и еще несколько сервисов, поддерживаемых социальной сетью. По информации разработчиков Fizz, их реализация TLS 1.3 защищает примерно половину интернет-трафика, генерируемого платформой.
Аналитики отмечают, что Fizz написан «в современном стиле C++» и не подвержен традиционным проблемам переполнения буфера, характерным для подобных проектов. Чтобы найти уязвимость и смоделировать ошибку целочисленного переполнения, ИБ-специалист Кевин Бэкхаус (Kevin Backhouse) применил язык запросов .QL, позволяющий извлекать информацию из систем управления реляционными базами данных.
Исследователи сообщили о своей находке в Facebook 20 февраля 2019 года, а уже 25 февраля вышел Fizz 2019.02.25.00, в котором уязвимости закрыли.
В данный момент все сервисы Facebook работают на обновленной версии продукта и защищены от подобных атак. Сторонним разработчикам, использующим эту библиотеку, рекомендуется незамедлительно установить апдейт.
Несмотря на то что DoS-уязвимости не входят в bug bounty социальной сети, ИБ-специалисты получили $10 тыс. за информацию об этой проблеме. Система вознаграждения этичных хакеров в Facebook — одна из самых эффективных в мире. Только в прошлом году независимые исследователи получили более $1 млн за найденные в платформе бреши. Как отмечают представители компании, общая сумма бонусов с момента запуска программы в 2011 году составила $7,5 млн.

Источник: https://threatpost.ru/facebook-patches-fizz-dos-bug/31940/

Шифровальщик LockerGoga атаковал заводы в нескольких странах

Норвежская нефтегазовая и металлургическая корпорация Norsk Hydro попала под удар шифровальщика LockerGoga — чтобы остановить распространение зловреда, IT-специалистам пришлось изолировать предприятия и перевести несколько из них на ручное управление.
Атака произошла в ночь на вторник 19 марта и поразила информационные системы сразу на нескольких производственных участках. На пресс-конференции, связанной с инцидентом, представители корпорации сообщили, что им пришлось остановить несколько заводов, обеспечивающих экструзию металла. В Бразилии, Катаре и Норвегии на ручной режим перешли плавильные предприятия.
Финансовый директор Norsk Hydro Эйвинд Каллевик (Eivind Kallevik) оценил ситуацию как «довольно серьезную».
«Атака обрушила наши сети по всему миру, в результате чего пострадали как производственные, так и офисные процессы, — рассказал топ-менеджер. — В настоящий момент мы стараемся возобновить работу, сократить финансовый и операционный ущерб. К настоящему моменту произошедшие инциденты не привели к несчастным случаям [на производстве]».
Каллевик сообщил, что специалисты остановили распространение зловреда в системах компании. Как видно на опубликованных в Сети объявлениях службы безопасности Norsk Hydro, для этого сотрудников просили не включать компьютеры и не присоединяться к корпоративной сети.
По словам Каллевика, корпорация не планирует платить выкуп и надеется восстановить пораженные данные из резервных копий. Компания не уточнила, какое именно ПО вызвало проблемы.
По информации специалистов центра NorCERT, преступники применили относительно новый шифровальщик LockerGoga. В январе зловред атаковал французскую фирму Altran Technologies, которая занимается консалтингом в области инженерных разработок.
Как поясняют ИБ-эксперты, преступники устанавливают LockerGoga через скомпрометированный аккаунт с правами администратора и размещают вредоносный дистрибутив в папке Netlogon, к которой имеют доступ все компьютеры корпоративной сети. После этого злоумышленники настраивают групповую политику таким образом, чтобы все компьютеры и серверы запустили файл с максимальными привилегиями.
Такая механика позволяет LockerGoga быстро распространиться по сети без саморепликации. Кроме того, благодаря использованию службы Active Directory злоумышленники обходят корпоративные брандмауэры.
В конце прошлого года аналитики «Лаборатории Касперского» включили атаки на промышленность в список ключевых угроз. Причиной тому остается низкая защищенность производственных процессов в этом сегменте. Эксперты подчеркнули, что целью злоумышленников может быть не только нажива, но и оказание давления на компанию или страну, если предприятие входит в число критически важных.

Источник: https://threatpost.ru/lockergaga-ransomware-hits-hydro-norsk/31927/