Сети компании CyrusOne оказались заражены вымогательским ПО REvil (Sodinokibi).
Один из крупнейших провайдеров дата-центров в США CyrusOne стал жертвой кибератаки с использованием вымогательского ПО.
Как сообщает ZDNet, инцидент произошел в среду, 4 декабря. Сети компании оказались заражены вымогательским ПО REvil (Sodinokibi), в августе нынешнего года атаковавшим сотни стоматологических кабинетов в США и IT-инфраструктуру в 22 округах Техаса. Судя по уведомлению с требованием выкупа, атака на сети CyrusOne была целенаправленной. Точка входа, откуда началась атака, пока не установлена.
В настоящее время CyrusOne проводит расследование случившегося при участии правоохранительных органов и криминалистов, а также помогает своим клиентам восстанавливать потерянные в результате атаки данные из резервных копий.
Провайдер пока не уведомил широкую общественность об инциденте, однако брокерская компания FIA Tech проинформировала своих клиентов о том, что сбой в ее облачных сервисах произошел из-за проблемы на стороне провайдера дата-центров. FIA Tech не сообщила название провайдера, но журналисты ZDNet быстро выяснили, что речь идет о CyrusOne. Согласно уведомлению FIA Tech, атака была направлена на срыв операций с целью получения выкупа.
Инцидент затронул не все дата-центры CyrusOne. Хотя восстановление серверов и данных клиентов займет продолжительное время, компания не намерена платить вымогателям.
По данным Bloomberg, CyrusOne принадлежит 45 дата-центров в Европе, Азии, Южной и Северной Америке. Клиентская база компании насчитывает более тысячи клиентов.

Источник: https://www.securitylab.ru/news/503126.php

Исследователи из команды nao_sec сообщили о ранее неизвестном эксплойт-паке, получившем название Bottle. Вредоносный инструмент, ориентированный на японских пользователей, предположительно устанавливает на компьютер жертвы программу для кражи данных. Злоумышленники начали его активно использовать в сентябре этого года, а свежие данные о новой эксплойт-кампании появились у экспертов в начале декабря.
Как проходит атака Bottle?
Эксплойты Bottle попадают на компьютер жертвы через рекламное объявление, которое ведет на страницу, загружающую два JavaScript-сценария. Первый предназначен только для получения кода установщика с командного сервера. Второй содержит многократно обфусцированную полезную нагрузку. Злоумышленники меняют порядок блоков, а также комбинируют методы Base64, URL Encode и RC4, чтобы обойти антивирусные фильтры.
Далее вредоносный скрипт выполняет ряд проверок, чтобы убедиться в правильности выбранной цели: определяет язык системы, ищет на устройстве браузер Internet Explorer, а также следы предыдущих установок эксплойт-пака.
Если жертва прошла все проверки, Bottle загружает один из трех вариантов полезной нагрузки. Два сценария предназначены для эксплуатации CVE-2018-8174 в 32-разрядной или 64-разрядной версии Internet Explorer. Уязвимость в движке VBScript позволяет атакующему использовать порчу памяти для выполнения стороннего кода в контексте пользователя. Разработчики Microsoft закрыли баг еще в мае 2018 года, однако злоумышленники по-прежнему активно его эксплуатируют.
Третий скрипт использует ошибку use-after-free в медиадвижке Flash Player. Критическая уязвимость CVE-2018-15982 получила заплатку в декабре прошлого года, но еще до этого пополнила арсеналы киберпреступников.
Зловред, загружаемый на машину в результате отработки эксплойта,. является оригинальной разработкой. По мнению ИБ-специалиста Виталия Кремеза (Vitali Kremez), он нацелен на похищение данных у японских пользователей.

Источник: https://threatpost.ru/konnichiwa-bottleek-ek/35036/

Иранский облачный провайдер Arvan Cloud столкнулся с DDoS-атакой, построенной на базе прокси-серверов Telegram. Эксперты предупреждают, что новый метод можно использовать для затруднения работы любых сайтов и веб-сервисов.
Проблемы начались утром 6 ноября и продолжались в течение нескольких дней. Пиковая мощность составила около 5000 запросов в секунду, что не создает серьезных трудностей для крупной телекоммуникационной компании, но может вызвать сбои у отдельных интернет-ресурсов.
Расследование DDoS-атаки на Arvan Cloud:
Специалисты компании сразу отметили необычность DDoS-атаки. Злоумышленники использовали протокол передачи данных, работающий на канальном уровне (Layer 2), — в большинстве случаев для таких кампаний используются Layer 3/4 и 7. Целью атаки были пограничные серверы Arvan Cloud.
Специалисты установили источник вредоносного трафика простым угадыванием. К правильному ответу их подтолкнула популярность в Иране MTProxy-серверов, которые помогают местным пользователям обходить государственную блокировку Telegram. Эти системы шифруют трафик, затрудняя его фильтрацию. Об эффективности подобных мер говорит тот факт, что Иран быстро достиг первого места по аудитории Telegram, а данные, которыми обмениваются местные пользователи мессенджера, занимают 60% во всем сетевом трафике этого государства.
В то же время, говорят специалисты Arvan Cloud, MTPoxy-серверы легко можно использовать для проведения DDoS-атак. Эксперты подтвердили это на практике, смоделировав атаку: в ходе эксперимента им удалось создать такой же трафик, как до этого они наблюдали в своей инфраструктуре.
По словам Arvan Cloud, этот прецедент особенно опасен в иранских условиях, поскольку теперь администраторы MTPoxy-серверов смогут использовать свои системы в зловредных целях.
Особенности DDoS-атак 2019 года:
Чем эффективнее организации защищают свою инфраструктуру от DDoS-атак, тем изощреннее становятся методы злоумышленников. Уже в первые месяцы 2019 года исследователи зафиксировали очередной рекорд по интенсивности потока пакетов, который был побит через три месяца. Однако увеличение pps-показателя (число пакетов в секунду) для вывода из строя сетевого оборудования и ходовых средств защиты — это лишь один метод из арсенала злоумышленников, постоянно экспериментирующих с новыми технологиями.
Так, преступники организуют атаки с помощью HTML-запросов ping, используют арендованные у облачных провайдеров мощности и сервисы удаленного управления macOS-машинами. Традиционной популярностью пользуются IoT-ботнеты, которые тоже сохраняют возможности для технологических экспериментов.
На этом фоне аналитики «Лаборатории Касперского» не раз предупреждали об опасной динамике, которая обнаруживается при исследовании DDoS-атак. С одной стороны, эксперты отмечают растущую долю профессионалов, направляющих лавины мусорных запросов на коммерческие инфраструктуры. С другой стороны, большие проблемы создают и злоумышленники-дилетанты, использующие многочисленные DDoS-сервисы, притом зачастую из хулиганских побуждений.

Источник: https://threatpost.ru/ddos-attack-against-arvan-cloud-found-using-mtproxy-servers/34830/

Аналитики компании vpnMentor обнаружили в Сети незащищенную базу данных гостиничной системы AutoClerk. Хранилище содержало информацию о тысячах клиентов отелей, совершавших бронирования по всему миру при помощи различных сервисов. Потенциальная утечка данных затронула частные лица, коммерческие организации, а также правительственные учреждения США.
Как утверждают ИБ-специалисты, 13 сентября этого года они обнаружили незащищенную базу данных Elasticsearch в ходе масштабного сканирования открытых портов в определенном диапазоне IP-адресов. Хранилище содержало 179 Гбайт информации, включавшей в себя критически важные персональные сведения.
Какие данные содержала база?
Из записей можно было узнать:
Имя и фамилию человека.
Дату рождения.
Домашний адрес.
Номер телефона.
Даты бронирования и цену гостиничного номера.
Особое беспокойство аналитиков вызвало наличие в базе информации о путешествиях и бронированиях американских чиновников, военных и сотрудников Департамента внутренней безопасности. Хранилище оставалось в открытом доступе до 2 октября 2019 года и было закрыто лишь после того, как о нем сообщили представителям Министерства обороны США.
Ранее специалисты Comparitech сообщили, что в открытом доступе находятся данные 20 млн российских налогоплательщиков. База данных также работала на движке Elasticsearch и размещалась на серверах AWS. Хранилище содержало конфиденциальные сведения, в том числе ИНН и суммы налоговых выплат, и пролежало в открытом доступе около года. Причиной инцидента стала неправильная настройка СУБД, однако владелец скомпрометированной информации остался неизвестным.часть информации банковской карты
В ряде случаев база содержала время заезда клиента в отель и его адрес электронной почты.
Хранилище размещалось на серверах Amazon Web Services (AWS) и, по мнению экспертов vpnMentor, принадлежало AutoClerk. База включала данные служб управления гостиничным бизнесом, в частности myHMS, CleanMeNext и SynXis, к которым были подключены множество туристических агентств и отелей. Специалисты отметили, что злоумышленники могли использовать эти сведения для кибератак и реальных угроз в адрес клиентов отелей.
Особое беспокойство аналитиков вызвало наличие в базе информации о путешествиях и бронированиях американских чиновников, военных и сотрудников Департамента внутренней безопасности. Хранилище оставалось в открытом доступе до 2 октября 2019 года и было закрыто лишь после того, как о нем сообщили представителям Министерства обороны США.
Ранее специалисты Comparitech сообщили, что в открытом доступе находятся данные 20 млн российских налогоплательщиков. База данных также работала на движке Elasticsearch и размещалась на серверах AWS. Хранилище содержало конфиденциальные сведения, в том числе ИНН и суммы налоговых выплат, и пролежало в открытом доступе около года. Причиной инцидента стала неправильная настройка СУБД, однако владелец скомпрометированной информации остался неизвестным.

Источник: https://threatpost.ru/data-of-thousands-travelers-exposed-online/34583/

Исследователи из компании Check Point обнаружили в WhatsApp уязвимость, позволяющую вызвать сбой приложения у всех участников целевого чата. Для этого автору атаки достаточно лишь отправить в беседу вредоносное сообщение. Восстановить работоспособность мессенджера без потери всех сообщений в группе невозможно. Разработчики исправили баг в сентябрьском релизе программы.
Киберпреступники могут уничтожить любой чат WhatsApp?
Проблема кроется в протоколе XMPP (Extensible Messaging and Presence Protocol), который WhatsApp использует для передачи сообщений. Как выяснили ИБ-специалисты, каждое послание в чат содержит идентификаторы отправителя, такие как имя и номер телефона. Последний параметр представляет собой последовательность цифр длиной от 5 до 20 символов. Если выйти за пределы этого диапазона или подставить вместо номера текстовую строку, парсер прочтет его как пустую переменную.
Не получив требуемого параметра, WhatsApp прекратит работу на всех устройствах, чьи владельцы являются участниками чата. Программа будет выдавать ошибку при повторном запуске и сможет продолжить работу только после переустановки и удаления канала, содержащего вредоносное сообщение.
Баг был обнаружен при помощи инструмента, разработанного экспертами Checkpoint для демонстрации другой уязвимости WhatsApp. Недостаток в протоколе protobuf2 допускал перехват и манипуляцию сообщениями мессенджера, включая замену ключевых параметров послания. Кроме того, для организации новой PoC-атаки ИБ-специалисты использовали модуль DevTools браузера Chrome, легитимную утилиту Burp Suite, а также один из локальных Python-серверов, доступных на GitHub.
Исследователи перехватывали отправленное сообщение, декодировали отдельные параметры и, заменив их, возвращали в WhatsApp.Таким же образом могут поступить и злоумышленники, стремящиеся уничтожить данные в целевом чате.
Аналитики сообщили разработчикам мессенджера об ошибке в августе 2019 года. Создатели WhatsApp исправили уязвимость в версии 2.19.246, вышедшей в сентябре. Пользователям программы рекомендуют как можно скорее установить этот или более поздний релиз приложения.

Источник: https://threatpost.ru/whatsapp-vuln-causes-crash-loop-loss-of-all-data-shared-in-the-group/35051/