Немецкий программист Тобиас Фрёмель (Tobias Frömel) получил доступ к серверам операторов вымогателя Muhstik и опубликовал ключи, необходимые для расшифровки данных. Это произошло после того, как специалист заплатил злоумышленникам более 600 евро за возможность декодирования своей информации.
Первые сообщения о ранее неизвестном шифровальщике появились в Сети 30 сентября этого года. Пострадавшие сообщали, что злоумышленники подбирают пароли к сетевым хранилищам на базе NAS-устройств QNAP и кодируют находящиеся там файлы. В документе README_FOR_DECRYPT.txt, размещенном на взломанном диске, жертве предлагают несколько ссылок на ресурсы с дальнейшими инструкциями. За расшифровку информации киберпреступники требуют 0,09 биткойна (примерно 670 евро).
Этичный хакер создал декриптор для Muhstik:
В своем сообщении на Pastebin Фрёмель написал, что авторы вымогателя развернули свои веб-оболочки на уже скомпрометированных серверах, поэтому ему не пришлось взламывать чужие компьютеры. Этичный хакер пояснил, что сумел получить доступ к PHP-скрипту для генерации ключей и использовал его для вывода идентификаторов каждой жертвы.
Опубликованный документ содержит почти 3 000 секретных кодов Muhstik, сформированных программистом на основании полученных данных. Пострадавшие пользователи подтвердили работоспособность выложенных ключей. Специалист выразил сожаление, что уже заплатил злоумышленникам, и сообщил, что будет рад вознаграждению за свою работу.
Чуть позже в Интернете появился декриптор для Muhstik, созданный Фрёмелем, а также еще одна утилита для расшифровки, разработанная сторонней командой ИБ-экспертов. Связь вымогателей с операторами ботнета Muhstik, замеченного в ряде кибератак, пока не доказана.
Летом этого года сетевые хранилища QNAP уже становились целью вымогателей. Авторы шифровальщика eCh0raix пользовались отсутствием антивируса на сетевых устройствах и кодировали данные, подобрав пароль для доступа к системе. Специалисты довольно быстро научились восстанавливать информацию после атаки зловреда, воспользовавшись недостатками механизма генерации ключей.

Источник: https://threatpost.ru/muhstik-ransomware-decryption-keys-published-online/34413/

Разработчики популярного движка для интернет-форумов vBulletin выпустили обновление, исправляющее опасные уязвимости в программном обеспечении. Проблемы затрагивают версии vBulletin 5.5.4 и выше, а их эксплуатация позволяет злоумышленникам удаленно перехватить контроль над целевыми web-серверами и украсть конфиденциальную информацию.
Уязвимости обнаружил исследователь безопасности Эгидио Романо (Egidio Romano). Первая проблема (CVE-2019-17132) представляет собой уязвимость удаленного выполнения кода. Она связана с тем, что при обработке запросов пользователей на обновление аватаров для своих профилей, значков или графических элементов в vBulletin также позволяет злоумышленнику удаленно внедрить и выполнить произвольный PHP-код на целевом сервере с помощью неочищенных параметров. Данная уязвимость может быть проэксплуатирована при условии включенной опции «сохранять аватары в виде файлов». Романо также опубликовал в Сети PoC-код для данной уязвимости.
Две другие проблемы (объединены под общим идентификатором CVE-2019-17271) предоставляют возможность внедрить SQL-код и позволяют администраторам с ограниченными привилегиями получить доступ к важной информации в базе данных.
Администраторам сайтов настоятельно рекомендуется установить официальные патчи vBulletin.
vBulletin — широко используемый форумный движок, написанный на языке PHP. На базе vBulletin работают более чем 100 тыс. web-сайтов в интернете, включая сайты компаний, которые входят в рейтинг Fortune 500 и ТОП 1 млн по Alexa.

Источник: https://www.securitylab.ru/news/501650.php

Во вторник, 8 октября, компания Microsoft выпустила очередные ежемесячные обновления безопасности для своих продуктов. В общей сложности было исправлено 59 уязвимостей в Windows и связанном ПО, 9 из которых являются критическими, 49 – опасными и 1 – средней опасности.
Две критические уязвимости (CVE-2019-1238 и CVE-2019-1239), позволяющие удаленно выполнить код, были исправлены в VBScript. Проблемы связаны с тем, как VBScript обрабатывает объекты в памяти, и позволяют атакующему вызвать повреждение памяти и выполнить произвольный код в контексте текущего пользователя. Для эксплуатации уязвимостей злоумышленник должен хитростью заставить жертву открыть особым образом сконфигурированный сайт в браузере Internet Explorer.
Проэксплуатировать обе уязвимости можно также с помощью приложения или документа Microsoft Office, встроив элемент управления ActiveX, отмеченный как «безопасный для инициализации» и использующий движок браузера Internet Explorer.
Как и в прошлые месяцы, Microsoft исправила очередную уязвимость во встроенном в Windows приложении Remote Desktop Client, позволяющую получить контроль над компьютерами путем подключения их к вредоносному RDP-серверу. В отличие от червеобразной уязвимости BlueKeep, новоиспеченная уязвимость не является самораспространяющейся и для ее эксплуатации злоумышленник должен заставить жертву подключиться к вредоносному RDP-серверу либо с помощью социальной инженерии, либо путем «отравления» кэша DNS (DNS cache poisoning), либо осуществив атаку «человек посередине».
Три критические уязвимости, позволяющие удаленно выполнить код, были также исправлены в скриптовом движке Chakra. Проблемы существуют из-за того, как Chakra обрабатывает объекты в памяти в Microsoft Edge, и приводят к повреждению памяти. Одна критическая уязвимость позволяет повысить привилегии и возникает, когда Azure App Service в Azure Stack не проверяет длину буфера прежде, чем скопировать в него память.

Источник: https://www.securitylab.ru/news/501652.php

Специалистам компании «Лаборатория Касперского» удалось выявить киберпреступную группировку, предположительно связанную со Службой государственной безопасности Узбекистана, благодаря ошибкам, допущенным участниками подразделения, получившего название SandCat, при обеспечении собственной операционной безопасности. В частности, исследователи обнаружили ряд эксплоитов, используемых группировкой, а также вредоносное ПО, находящееся в процессе разработки, пишет издание Motherboard Vice.
Одна из сомнительных практик включала использование «названия военного подразделения, связанного с СГБ» для регистрации домена, задействованного в атаках. Кроме того, участники SandCat установили на компьютер, где разрабатывался новый вредонос, антивирус производства ЛК, что позволило экспертам обнаружить вредоносный код на стадии его создания. Еще одну ошибку группировка допустила, встроив скриншот с одного из компьютеров в тестовый файл, тем самым раскрыв крупную платформу для атак, которая находилась в разработке. Благодаря всем этим недочетам специалистам удалось выявить четыре эксплоита для уязвимостей нулевого дня, приобретенных SandCat у сторонних брокеров, а также отследить активность не только данной группировки, но и других хакерских групп в Саудовской Аравии и Объединенных Арабских Эмиратах, использующих те же эксплоиты.
В ходе проведенного исследования специалисты выявили, что IP-адреса машин, используемых для тестирования вредоносного ПО, связаны с доменом itt.uz, зарегистрированным на военную часть 02616 из Ташкента. Более того, с тех же компьютеров SandCat загружала образцы вредоносов на Virus Total.
Впервые эксперты ЛК выявили следы активности SandCat еще в 2018 году, однако в то время у них не было оснований предполагать связь группировки с СГБ. В своих операциях SandCat применяла вредонос под названием Chainshot, который также использовался группировками из Саудовской Аравии и ОАЭ. Однако в атаках SandCat была задействована другая инфраструктура, на основании чего эксперты пришли к выводу, что речь идет о разных преступниках.
По мнению экспертов, SandCat приобретала эксплоиты для атак у двух израильских компаний — NSO Group и Candiru. Обе фирмы прекратили поставлять SandCat эксплоиты в 2018 году, в результате группировка занялась разработкой собственного вредоносного ПО.
«Эти парни [SandCat] существуют уже давно и до недавнего времени я никогда не слышал о наличии у Узбекистана кибервозможностей. Так что для меня было шоком узнать, что они покупают все эти эксплоиты и атакуют людей, и никто никогда не писал о них», — отметил специалист исследовательской команды ЛК Брайан Бартоломью (Brian Bartholomew).

Источник: https://www.securitylab.ru/news/501570.php

Хакер под ником Gnosticplayers рассказал о взломе нескольких приложений крупнейшего американского разработчика онлайн-игр Zynga Inc. По его словам, он получил доступ к данным 218 млн игроков. Утечка затронула всех пользователей Android и iOS, которые установили игру-головоломку Words With Friends и зарегистрировались в ней до 3 сентября этого года.
Взломщик поделился с изданием The Hacker News данными нескольких аккаунтов. Судя по этим образцам, к нему попали имена пользователей, адреса электронной почты, хэшированные пароли с солью, токены сброса паролей (если их сбрасывали), номера телефонов и Facebook ID (если были указаны при регистрации), а также идентификаторы аккаунта Zynga.
Gnosticplayers добавил, что ему также удалось похитить данные пользователей Draw Something и игры OMGPOP, которая уже не поддерживается производителем. По его словам, среди информации, к которой он получил доступ, были 7 млн паролей пользователей в незашифрованном виде.
12 сентября представители Zynga опубликовали официальное заявление об утечке данных из Words With Friends и Draw Something, но не раскрыли количество пострадавших пользователей. Они сообщили, что уже начали расследование и привлекли к нему сторонних специалистов и правоохранительные органы. Также разработчики предприняли шаги для защиты учетных записей пользователей, но призвали самих игроков проявить бдительность.
Zynga Inc — один из самых успешных разработчиков онлайн-игр с текущей рыночной капитализацией в более чем 5 млрд долларов. Компании принадлежат такие игры, как FarmVille, Words With Friends, Zynga Poker, Mafia Wars и Café World, насчитывающие миллиард пользователей по всему миру.
Эксперты по кибербезопасности не считают, что этот взлом игр принесет жертвам небывалый урон, но неоднозначно оценивают подход компании Zynga к защите данных.
Джавад Малик (Javvad Malik) из компании KnowBe4 отметил оперативную реакцию разработчика на инцидент, но заявил, что «в наши дни ни одна компания не должна хранить пароли в открытом доступе».
Илья Колоченко (Ilia Kolochenko), основатель и генеральный директор компании ImmuniWeb, не торопится делать выводы о масштабах атаки до окончания расследования, но уверен, что полученная информация «не даст злоумышленникам огромного пространства для маневра».
В марте этого года Gnosticplayers выставил на продажу похищенные данные 26 миллионов пользователей и объяснил это желанием проучить компании за наплевательское отношение к защите данных. «Столь низкий уровень безопасности в 2019 году меня просто бесит», — признался злоумышленник.

Источник: https://threatpost.ru/hacker-told-about-zynga-games-data-breach/34341/