Оператор восьми сервисов по заказу DDoS-атак признал свою вину
20-летний житель штата Иллинойс (США) Сергий Усатюк (Sergiy Usatyuk) признал себя виновным в создании и управлении восемью сервисами по заказу платных DDoS-атак, функционировавших с августа 2015 года по ноябрь 2017 года.
Согласно судебным документам, Усатюк совместно с сообщником в Канаде управлял сайтами ExoStress.in, QuezStresser.com, Betabooter.com, Databooter.com, Instabooter.com, Polystress.com, Zstress.net и Decafestresser. Управление сервисами производилось наряду с ботнетом, состоящем по крайней мере из 31 мощного сервера, арендованного у американских провайдеров облачного хостинга.
Под псевдонимом «Andy» Усатюк рекламировал сервисы на web-форуме для киберпреступников HackForums.net. Как указывается в судебных документах, пользователи, зарегистрированные на сайтах Усатюка, осуществили около 4 млн DDoS-атак против тысяч компаний, что привело к значительному ущербу.
Полиция выследила Усатюка после того, как он авторизовался на арендованных серверах с домашних IP-адресов. После ареста с его счета были изъяты 10,74 биткойна (примерно $542 924 тыс. на то время), которые, предположительно, были им заработаны на сдаче сервисов в аренду. Кроме того, сотрудники полиции получили доступ к журналам online-чата Усатюка, в котором он совместно с сообщником оказывал услуги техподдержки клиентам.
Ранее перед судом в США предстал российский программист Станислав Лисов, известный в Сети под псевдонимами Black и Blackf. Обвиняемый признался в использовании трояна NeverQuest для заражения компьютеров жертв с целью похищения учетных данных для online-банкинга и последующего использования их для незаконного перевода средств.
«Booter» или «Stresser» — сервисы, имеющие простые web-интерфейсы и возможности оплаты через Интернет, использующиеся в качестве инструментов для стресс-тестирования, могут выполнять несанкционированные DDoS-атаки и позволять технически неискушенным злоумышленникам получать доступ к сложным инструментам атаки без необходимости понимания цели их использования.
Уязвимости в 4G и 5G позволяют перехватывать звонки и отслеживать местоположение абонентов
Совместная группа исследователей из Университета Пердью и Университета штата Айова (США) обнаружила ряд новых уязвимостей в технологиях 4G и 5G, которые могут использоваться для перехвата звонков и отслеживания геопозиции пользователей.
Проблемы затрагивают как 4G, так и более защищенный стандарт мобильной связи пятого поколения (5G). Разработанные исследователями методы атак позволяют обойти меры защиты в 5G, призванные усложнить слежку за пользователями мобильных устройств. По их словам, «атаку может провести любой человек с минимальными знаниями о работе протоколов сотовой связи».
Первый метод под названием ToRPEDO (TRacking via Paging mEssage DistributiOn) эксплуатирует недостаток в протоколе, который мобильные операторы используют для уведомления устройства перед входящим вызовом или текстовым сообщением. Как обнаружили специалисты, совершение и отмена нескольких звонков в короткий период времени инициирует отправку пейджингового сообщения без уведомления устройства о входящем звонке, чем может воспользоваться злоумышленник для определения местоположения пользователя. При наличии данной информации атакующий сможет перехватить пейджинговый канал и подменять сообщения либо вообще их заблокировать.
ToRPEDO предоставляет возможность выполнения еще двух атак — Piercer (позволяет определить международный идентификатор IMSI в сети 4G) и IMSI-Cracking, которая может использоваться для брутфорса зашифрованных IMSI в сетях 4G и 5G.
По словам исследователей, уязвимость затрагивает четырех крупнейших операторов связи в США (AT&T, Verizon, Sprint и T-Mobile), а также ряд операторов в Европе и Азии. Как отмечается, для проведения атак не потребуются большие затраты – нужное радиооборудование обойдется примерно в $200. Специалисты не намерены публиковать PoC-код атаки, чтобы не подвергать риску пользователей.
Исследователи уже передали информацию об уязвимостях Международной ассоциации операторов GSM (The GSM Association). В организации признали наличие проблемы, однако не сообщили, когда она будет исправлена.
Напомним, в минувшем июне группа исследователей из Рурского и Нью-Йоркского университетов опубликовала доклад, в котором описала три типа атак, эксплуатирующих уязвимости в стандарте 4G LTE. В декабре 2018 года специалисты Ассоциации криптологических исследований раскрыли информацию об уязвимости в протоколе АКА, позволяющей отслеживать абонентов сетей 3G — 5G.
Международная ассоциация операторов GSM — организация, объединяющая около 700 операторов мобильной связи стандарта GSM из 218 стран. Разрабатывает различные стандарты и рекомендации для операторов GSM. Играет ведущую роль в работе по устранению технических и технологических барьеров к созданию и развитию клиентских сервисов на базе стандарта GSM, а также всемерно содействует распространению сетей стандарта GSM в развивающихся странах.
Поддельная reCAPTCHA используется для распространения банковского Android-трояна
Исследователи ИБ-компании Sucuri выявили нацеленную на пользователей интернет-банкинга фишинговую кампанию, организаторы которой используют фальшивый механизм reCAPTCHA для кражи ценных учетных данных.
По словам исследователей, злоумышленники атаковали клиентов одного из польских банков, рассылая фишинговые письма якобы от имени сотрудников финорганизации либо с темами, призванными спровоцировать пользователя перейти по вредоносным ссылкам, содержащимся в письмах.
Хотя этот метод атаки не нов, в данном случае специалисты заметили интересную особенность: при переходе по ссылке жертва направляется не на поддельную страницу банка, а на фальшивую страницу с ошибкой 404 («страница не найдена» ).
На странице содержится ряд определенных строк User-Agent, ограниченных поисковыми ботами Google. Если жертва использует альтернативную поисковую систему (не Google), PHP-скрипт загружает фальшивую reCAPTCHA, созданную с помощью кода JavaScript и статического HTML.
Поддельная страница весьма схожа с настоящей reCAPTCHA, но имеет несколько отличий, заключающихся в использовании одинаковых изображений и отсутствии поддержки аудиовоспроизведения.
По данным в строке User-Agent PHP-код идентифицирует, какое устройство использует жертва, и на основе этой информации определяет тип загружаемого вредоносного ПО. В случае использования Android-устройств PHP-код запрашивает загрузку вредоносного файла .apk, в остальных — .zip-дроппер.
Вредонос, детектируемый антивирусным ПО как Banker, BankBot, Evo-gen и Artemis, способен собирать данные о состоянии мобильного устройства, местоположении, контактах в телефонной книге, просматривать и отправлять SMS-сообщения, совершать звонки, записывать аудио и красть другую конфиденциальную информацию.
Вымогатель Cr1ptT0r шифрует данные в сетевых хранилищах
На форуме издания Bleeping Computer появились сообщения о новом вымогателе, получившем название Cr1ptT0r. Он атакует сетевые системы хранения данных в линейке D-Link NAS DNS-320 и требует выкуп в биткойнах за расшифровку файлов. К заблокированным документам добавляется не новое расширение, но маркер _Cr1ptT0r_.
Сразу несколько пользователей сообщили о деятельности вымогателя на сетевых накопителях одной модели. Записка о выкупе ориентирована на англоязычных пользователей, однако уже известны случаи заражения по всему миру.
Так как все пострадавшие пользовались D‑Link NAS DNS-320, специалисты склоняются к выводу, что во всех устройствах этого семейства содержится уязвимость. Вероятнее всего, она существует в настройках по умолчанию, чем и воспользовались мошенники. Однако на текущий момент пока не установлено, какую именно брешь эксплуатировали злоумышленники.
После шифрования вредоносная программа создает файл с требованием выкупа под названием _FILES_ENCRYPTED_README.txt. В нем содержится ссылка на страницу вымогателей в сервисе OpenBazaar. В случае его недоступности преступники предлагают связаться с ними в децентрализованном мессенджере Tox.
Cr1ptT0r — не первый вымогатель, ориентированный на NAS-устройства (Network Attached Storage). В декабре 2017 года исследователи зафиксировали вспышку заражений шифровальщиком StorageCrypter. Для проникновения на компьютер он использовал уязвимость в Linux-версии пакета Samba. Специалисты полагают, что Cr1ptT0r может быть модифицированной версией этого зловреда.
Исследователи пока не разработали метод восстановления пораженных Cr1ptT0r файлов. В качестве защитной меры эксперты рекомендуют поддерживать в актуальном состоянии антивирусные решения и регулярно проводить резервное копирование.
Источник: https://threatpost.ru/cr1pt0r-ransomware-targets-d-link-nas-devices/31280/
Мальтийский банк приостановил работу из-за атаки
Один из крупнейших и старейших банков Мальты, Bank of Valletta, пострадал от кибератаки. Злоумышленники попытались похитить порядка 13 млн евро, и как только сотрудники банка заметили неавторизованные операции, было принято решение экстренно приостановить работу. В итоге все отделения Bank of Valletta увели в оффлайн свои банкоматы, PoS-системы, а также временно прекратил работу сайт банка, сервисы электронных услуг и внутренняя почта.
По данным местных СМИ (1, 2), атакующие попытались перевести 13 млн евро на счета в других банках, в том числе расположенных в Великобритании, США, Чехии и Гонконге. Мальтийский премьер-министр Джозеф Мускат (Joseph Muscat) сообщил, что специалисты Bank of Valletta незамедлительно уведомили об инциденте своих зарубежных коллег и смогли обратить транзакции, восстановив контроль над похищенными средствами.
В настоящее время Bank of Valletta уже возобновил работу в штатном режиме. На официальном сайте банка появилось заявление, согласно которому над расследованием случившегося уже работают местные и международные правоохранительные органы. Также представители банка заверили, что аккаунты клиентов данная атака не затронула, и они не были скомпрометированы.
