Законодательство Франции позволяет спецслужбам предпринимать действия по нейтрализации киберпреступной активности.
Французские власти могут нанести ответный удар по киберпреступникам, недавно атаковавшим больницу Charles-Nicolle в Руане.
«Атакующие все еще активны и охотятся за целями во Франции. Французские законы позволяют нам предпринимать действия по их нейтрализации. Мы не исключаем такой возможности», – сообщил глава Национального агентства информационных систем безопасности Франции (ANSSI) Гийом Пупар (Guillaume Poupard) в кулуарах конференции, проходящей в Париже.
Французские власти подозревают в осуществлении кибератаки на больницу Charles-Nicolle 15 ноября группировку TA505. Как сообщает Business Insider, ANSSI направила в Руан порядка 50 специалистов для восстановления работы компьютерной сети медучреждения.
В то время как полиция Франции довольно ограничена в своих полномочиях, спецслужбы могут осуществлять кибератаки из-за рубежа.
Еще в начале месяца в интервью изданию Economist президент Франции Эммануэль Макрон выразил желание сотрудничать с Россией в вопросах кибербезопасности – области, в которой обе страны «ведут тотальную войну друг с другом».

Источник: https://www.securitylab.ru/news/502975.php

Сети компании CyrusOne оказались заражены вымогательским ПО REvil (Sodinokibi).
Один из крупнейших провайдеров дата-центров в США CyrusOne стал жертвой кибератаки с использованием вымогательского ПО.
Как сообщает ZDNet, инцидент произошел в среду, 4 декабря. Сети компании оказались заражены вымогательским ПО REvil (Sodinokibi), в августе нынешнего года атаковавшим сотни стоматологических кабинетов в США и IT-инфраструктуру в 22 округах Техаса. Судя по уведомлению с требованием выкупа, атака на сети CyrusOne была целенаправленной. Точка входа, откуда началась атака, пока не установлена.
В настоящее время CyrusOne проводит расследование случившегося при участии правоохранительных органов и криминалистов, а также помогает своим клиентам восстанавливать потерянные в результате атаки данные из резервных копий.
Провайдер пока не уведомил широкую общественность об инциденте, однако брокерская компания FIA Tech проинформировала своих клиентов о том, что сбой в ее облачных сервисах произошел из-за проблемы на стороне провайдера дата-центров. FIA Tech не сообщила название провайдера, но журналисты ZDNet быстро выяснили, что речь идет о CyrusOne. Согласно уведомлению FIA Tech, атака была направлена на срыв операций с целью получения выкупа.
Инцидент затронул не все дата-центры CyrusOne. Хотя восстановление серверов и данных клиентов займет продолжительное время, компания не намерена платить вымогателям.
По данным Bloomberg, CyrusOne принадлежит 45 дата-центров в Европе, Азии, Южной и Северной Америке. Клиентская база компании насчитывает более тысячи клиентов.

Источник: https://www.securitylab.ru/news/503126.php

Исследователи из команды nao_sec сообщили о ранее неизвестном эксплойт-паке, получившем название Bottle. Вредоносный инструмент, ориентированный на японских пользователей, предположительно устанавливает на компьютер жертвы программу для кражи данных. Злоумышленники начали его активно использовать в сентябре этого года, а свежие данные о новой эксплойт-кампании появились у экспертов в начале декабря.
Как проходит атака Bottle?
Эксплойты Bottle попадают на компьютер жертвы через рекламное объявление, которое ведет на страницу, загружающую два JavaScript-сценария. Первый предназначен только для получения кода установщика с командного сервера. Второй содержит многократно обфусцированную полезную нагрузку. Злоумышленники меняют порядок блоков, а также комбинируют методы Base64, URL Encode и RC4, чтобы обойти антивирусные фильтры.
Далее вредоносный скрипт выполняет ряд проверок, чтобы убедиться в правильности выбранной цели: определяет язык системы, ищет на устройстве браузер Internet Explorer, а также следы предыдущих установок эксплойт-пака.
Если жертва прошла все проверки, Bottle загружает один из трех вариантов полезной нагрузки. Два сценария предназначены для эксплуатации CVE-2018-8174 в 32-разрядной или 64-разрядной версии Internet Explorer. Уязвимость в движке VBScript позволяет атакующему использовать порчу памяти для выполнения стороннего кода в контексте пользователя. Разработчики Microsoft закрыли баг еще в мае 2018 года, однако злоумышленники по-прежнему активно его эксплуатируют.
Третий скрипт использует ошибку use-after-free в медиадвижке Flash Player. Критическая уязвимость CVE-2018-15982 получила заплатку в декабре прошлого года, но еще до этого пополнила арсеналы киберпреступников.
Зловред, загружаемый на машину в результате отработки эксплойта,. является оригинальной разработкой. По мнению ИБ-специалиста Виталия Кремеза (Vitali Kremez), он нацелен на похищение данных у японских пользователей.

Источник: https://threatpost.ru/konnichiwa-bottleek-ek/35036/

Иранский облачный провайдер Arvan Cloud столкнулся с DDoS-атакой, построенной на базе прокси-серверов Telegram. Эксперты предупреждают, что новый метод можно использовать для затруднения работы любых сайтов и веб-сервисов.
Проблемы начались утром 6 ноября и продолжались в течение нескольких дней. Пиковая мощность составила около 5000 запросов в секунду, что не создает серьезных трудностей для крупной телекоммуникационной компании, но может вызвать сбои у отдельных интернет-ресурсов.
Расследование DDoS-атаки на Arvan Cloud:
Специалисты компании сразу отметили необычность DDoS-атаки. Злоумышленники использовали протокол передачи данных, работающий на канальном уровне (Layer 2), — в большинстве случаев для таких кампаний используются Layer 3/4 и 7. Целью атаки были пограничные серверы Arvan Cloud.
Специалисты установили источник вредоносного трафика простым угадыванием. К правильному ответу их подтолкнула популярность в Иране MTProxy-серверов, которые помогают местным пользователям обходить государственную блокировку Telegram. Эти системы шифруют трафик, затрудняя его фильтрацию. Об эффективности подобных мер говорит тот факт, что Иран быстро достиг первого места по аудитории Telegram, а данные, которыми обмениваются местные пользователи мессенджера, занимают 60% во всем сетевом трафике этого государства.
В то же время, говорят специалисты Arvan Cloud, MTPoxy-серверы легко можно использовать для проведения DDoS-атак. Эксперты подтвердили это на практике, смоделировав атаку: в ходе эксперимента им удалось создать такой же трафик, как до этого они наблюдали в своей инфраструктуре.
По словам Arvan Cloud, этот прецедент особенно опасен в иранских условиях, поскольку теперь администраторы MTPoxy-серверов смогут использовать свои системы в зловредных целях.
Особенности DDoS-атак 2019 года:
Чем эффективнее организации защищают свою инфраструктуру от DDoS-атак, тем изощреннее становятся методы злоумышленников. Уже в первые месяцы 2019 года исследователи зафиксировали очередной рекорд по интенсивности потока пакетов, который был побит через три месяца. Однако увеличение pps-показателя (число пакетов в секунду) для вывода из строя сетевого оборудования и ходовых средств защиты — это лишь один метод из арсенала злоумышленников, постоянно экспериментирующих с новыми технологиями.
Так, преступники организуют атаки с помощью HTML-запросов ping, используют арендованные у облачных провайдеров мощности и сервисы удаленного управления macOS-машинами. Традиционной популярностью пользуются IoT-ботнеты, которые тоже сохраняют возможности для технологических экспериментов.
На этом фоне аналитики «Лаборатории Касперского» не раз предупреждали об опасной динамике, которая обнаруживается при исследовании DDoS-атак. С одной стороны, эксперты отмечают растущую долю профессионалов, направляющих лавины мусорных запросов на коммерческие инфраструктуры. С другой стороны, большие проблемы создают и злоумышленники-дилетанты, использующие многочисленные DDoS-сервисы, притом зачастую из хулиганских побуждений.

Источник: https://threatpost.ru/ddos-attack-against-arvan-cloud-found-using-mtproxy-servers/34830/

Аналитики компании vpnMentor обнаружили в Сети незащищенную базу данных гостиничной системы AutoClerk. Хранилище содержало информацию о тысячах клиентов отелей, совершавших бронирования по всему миру при помощи различных сервисов. Потенциальная утечка данных затронула частные лица, коммерческие организации, а также правительственные учреждения США.
Как утверждают ИБ-специалисты, 13 сентября этого года они обнаружили незащищенную базу данных Elasticsearch в ходе масштабного сканирования открытых портов в определенном диапазоне IP-адресов. Хранилище содержало 179 Гбайт информации, включавшей в себя критически важные персональные сведения.
Какие данные содержала база?
Из записей можно было узнать:
Имя и фамилию человека.
Дату рождения.
Домашний адрес.
Номер телефона.
Даты бронирования и цену гостиничного номера.
Особое беспокойство аналитиков вызвало наличие в базе информации о путешествиях и бронированиях американских чиновников, военных и сотрудников Департамента внутренней безопасности. Хранилище оставалось в открытом доступе до 2 октября 2019 года и было закрыто лишь после того, как о нем сообщили представителям Министерства обороны США.
Ранее специалисты Comparitech сообщили, что в открытом доступе находятся данные 20 млн российских налогоплательщиков. База данных также работала на движке Elasticsearch и размещалась на серверах AWS. Хранилище содержало конфиденциальные сведения, в том числе ИНН и суммы налоговых выплат, и пролежало в открытом доступе около года. Причиной инцидента стала неправильная настройка СУБД, однако владелец скомпрометированной информации остался неизвестным.часть информации банковской карты
В ряде случаев база содержала время заезда клиента в отель и его адрес электронной почты.
Хранилище размещалось на серверах Amazon Web Services (AWS) и, по мнению экспертов vpnMentor, принадлежало AutoClerk. База включала данные служб управления гостиничным бизнесом, в частности myHMS, CleanMeNext и SynXis, к которым были подключены множество туристических агентств и отелей. Специалисты отметили, что злоумышленники могли использовать эти сведения для кибератак и реальных угроз в адрес клиентов отелей.
Особое беспокойство аналитиков вызвало наличие в базе информации о путешествиях и бронированиях американских чиновников, военных и сотрудников Департамента внутренней безопасности. Хранилище оставалось в открытом доступе до 2 октября 2019 года и было закрыто лишь после того, как о нем сообщили представителям Министерства обороны США.
Ранее специалисты Comparitech сообщили, что в открытом доступе находятся данные 20 млн российских налогоплательщиков. База данных также работала на движке Elasticsearch и размещалась на серверах AWS. Хранилище содержало конфиденциальные сведения, в том числе ИНН и суммы налоговых выплат, и пролежало в открытом доступе около года. Причиной инцидента стала неправильная настройка СУБД, однако владелец скомпрометированной информации остался неизвестным.

Источник: https://threatpost.ru/data-of-thousands-travelers-exposed-online/34583/