Более 20 государственных организаций в штате Техас стали жертвами неизвестного шифровальщика. По мнению экспертов, атака знаменует сдвиг в тактике вымогателей, которые будут все чаще предпринимать массированные атаки на местные органы самоуправления.
Правоохранительные органы держат детали инцидента в секрете. Из официального заявления местного управления по реагированию на чрезвычайные ситуации известно, что ИБ-эксперты работают с 23 организациями, пытаясь вернуть их системы в нормальное состояние. К устранению последствий подключили военных специалистов, представителей местного департамента общественной безопасности, экспертов ФБР, Федерального агентства по чрезвычайным ситуациям и других ведомств.
Основная часть пострадавших инфраструктур находилась в местных городских администрациях, в то время как ресурсы непосредственно штата не пострадали. Представители группы реагирования также рассказали, что у всех инцидентов один организатор.
Эксперты считают, что в нынешней кампании можно увидеть признаки тщательного планирования, в то время как ранее государственные органы становились случайными целями вымогателей. Специалисты призывают муниципальные администрации готовиться к повторению таких случаев и создать группы реагирования на ИБ-инциденты. Наличие таких ресурсов в Техасе сейчас позволяет снизить негативные последствия атаки.
Прошлые кибератаки на госорганизации:
В качестве контрпримера эксперты напоминают нападение шифровальщика RobbinHood на администрацию города Балтимор. Пока IT-специалисты пытались остановить распространение зловреда, он заблокировал 10 тыс. компьютеров муниципальных сотрудников, базы учета потребления воды и штрафов за парковку, а также местный реестр сделок с недвижимостью. В результате инцидента город понес ущерб в 18 млн долларов.
До того госслужащим Аляски пришлось работать на печатных машинках, когда шифровальщик поразил их компьютеры и большую часть серверов. Зловред находился в инфраструктуре несколько недель, прежде чем IT-специалисты начали с ним бороться.
Киберпреступники угрожают государственным организациям не только в США — в 2018 году граждане Исландии пострадали от крупнейшей фишинговой атаки в истории страны. Злоумышленники разослали электронные письма от лица местной полиции и собрали тысячи номеров социального страхования, что позволяло выводить деньги с банковских счетов. Многие жертвы кампании также скачали вредоносное ПО, которое открыло преступникам доступ к их компьютерам.

Источник: https://threatpost.ru/texas-ransomware-massacre/33831/

Один из сайтов Европейского центрального банка (ЕЦБ) был взломан. Злоумышленники получили доступ к конфиденциальной информации пользователей, однако внутренние системы банка не были скомпрометированы.
Для проведения фишинговых операций киберпреступники установили вредоносное ПО на внешний сервер ЕЦБ, где была размещена система Banks’ Integrated Reporting Dictionary (BIRD), сообщает издание Bloomberg.
Web-сайт BIRD предоставляет банкам подробную информацию о составлении статистических отчетов и физически отделен от других внешних и внутренних систем ЕЦБ. По словам представителей банка, в руки злоумышленников попали адреса электронной почты, имена и данные о должностях 481 подписчика новостной рассылки BIRD, однако пароли остались нетронутыми. Утечка была обнаружена во время регулярного технического обслуживания, после чего ЕЦБ закрыл web-сайт и предупредил пользователей о раскрытии их данных.
Киберпреступники продолжают атаковать банки разных стран мира. В 2018 году злоумышленники взломали платежную систему мексиканских банков, похитив огромные суммы денег. А в 2016 году неизвестные похитили более $100 млн со счета правительства Бангладеш в Федеральном резервном банке Нью-Йорка.

Источник: https://www.securitylab.ru/news/500486.php

Компания Cisco предупредила о доступности эксплоитов для трех уязвимостей в устройствах Cisco Small Business 220 Series Smart Switches, исправленных в начале августа.
Одна из них является проблемой удаленного выполнения кода ( CVE-2019-1913 ), а вторая — уязвимостью обхода аутентификации ( CVE-2019-1912 ). Удаленный неавторизованный злоумышленник может проэксплуатировать их для выполнения произвольного кода с правами суперпользователя и загрузки произвольных файлов. Третья уязвимость ( CVE-2019-1914 ) потенциально может позволить аутентифицированным удаленным злоумышленникам осуществить атаку с внедрением команд.
Компания также исправила более 30 критических и опасных уязвимостей, обнаруженных в ее программном обеспечении Integrated Management Controller (IMC) и Cisco Unified Computing System (UCS). Четыре из них ( CVE-2019-1938 , CVE-2019-1974 , CVE-2019-1937 и CVE-2019-1935 ) получили оценку 9,8 балла по шкале CVSS v3.0. Их эксплуатация позволяет неавторизованным удаленным злоумышленникам осуществлять простые атаки с помощью специально сформированных вредоносных запросов, а также путем использования дефолтных учетных данных для авторизации на уязвимом устройстве.
Пользователям рекомендуется обновить программы Integrated Management Controller Supervisor до версии 2.2.1.0 и выше, UCS Director до версии 6.7.2.0 и более поздних (рекомендуется: 6.7.3.0) и UCS Director Express for Big Data до версии 3.7.2.0 и выше (рекомендуется: 3.7.3.0).

Источник: https://www.securitylab.ru/news/500601.php

ИБ-исследователь Василий Кравец опубликовал новую уязвимость нулевого дня в игровом клиенте Steam для Windows. Как и баги, обнаруженные ранее, этот позволяет злоумышленникам повышать привилегии на пользовательском компьютере, чтобы полностью перехватить контроль над машиной.
На этот раз Кравец не стал уведомлять Valve о своей находке и сразу разместил сведения об уязвимости в открытом доступе: компания заблокировала эксперту доступ к своей программе по отлову багов на платформе HackerOne. Ранее разработчики не раз заявляли, что не считают уязвимости повышения привилегий проблемой Steam, поскольку для их эксплуатации злоумышленнику потребуется доступ к пользовательскому компьютеру.
Описание обнаруженной в Steam уязвимости:
Новый эксплойт оказался сложнее предыдущего и требует для эксплуатации комбинирования нескольких приемов:
Символические ссылки (симлинки) — позволяют использовать одну папку для переадресации запросов другой.
Уступающая блокировка (OpportunisticLock, оплок) — позволяет программе временно закрыть доступ к файлу.
Техника BaitAndSwitch — объединяет оплок исимлинки таким образом, чтобы первый запрос к файлу блокировал его для других программ, а второй пересылался на другой объект.
Для применения эксплойта необходимо создать директорию с двумя файлами Steam.exe и steamclient.dll, а также удалить или переименовать папку bin из основного каталога Steam. Как пояснил Кравец, это нужно, чтобы взять под контроль запросы клиента к рабочей библиотеке и в нужный момент предложить ему скомпрометированный файл.
Исследователь обратил внимание, что при запуске Steam программа шесть раз подряд обращается к steamclient.dll. Эксперт создал симлинки для переадресации этих запросов в другие папки, причем с помощью оплоков он разделил обращения на два параллельных потока. Это позволило ему направлять каждую операцию в нужные ему директории.
Согласно предложенному сценарию, первая пятерка запросов приводит клиент к нужной библиотеке. В последний же раз программе предлагается файл с полезной нагрузкой, в результате чего она читает сторонний код, который предоставляет взломщику привилегии администратора.
Реакция экспертов на конфликт Кравеца и Valve:
Блокировка Кравеца на HackerOne вызвала возмущение ИБ-специалистов, которые напомнили, что уязвимости повышения привилегий входят в топ-10 самых серьезных угроз по версии Open Web Application Security Project, a Microsoft регулярно исправляет такие баги в своих продуктах.
«Разумеется, Valve по-своему права — злоумышленник не сможет использовать эту уязвимость, чтобы взломать клиент, — рассуждает эксперт ZDnet Каталин Чимпану (Catalin Cimpanu). — Но дело в том, что когда пользователи устанавливают Steam, они не ждут, что эта программа станет стартовой площадкой для вредоносного ПО».
Специалисты также указали, что зловредным агентом может оказаться любая опубликованная в магазине Valve программа.
«Каждая игра может копировать файлы на компьютер, администраторы Steam не проверяют эти данные, — написал пользователь Twitter blakeyrat. — Кроме того, преступники могут украсть пароль к аккаунту [какой-нибудь игровой студии] и добавить эксплойт [в ее продукт]».
В итоге Valve все же пошла на уступку и изменила политику вознаграждений за найденные баги. Компания убрала из списка ограничений пункт, выводивший из-под действия программы атаки с применением сторонних файлов. С другой стороны, новая редакция политики вознаграждений распространила ее на методы, которые позволяют программам повысить свои привилегии через Steam, не требуя дополнительных разрешений от пользователей. Любая неавторизованная модификация игрового клиента теперь также включена в программу.

Источник: https://threatpost.ru/another-day-another-0day-in-steam/33844/

Более 40 муниципалитетов на территории США стали жертвами кибератак в этом году, включая крупные мегаполисы (например, Балтимор, Олбани и Ларедо) и небольшие города. В большинстве случаев злоумышленники использовали вымогательское ПО, сообщает издание The New York Times. Вымогатели шифруют файлы жертв на атакованных компьютерах, а затем требуют выкуп от владельцев устройств за расшифровку данных.
Атаки злоумышленников затронули городские компьютерные системы, которые используют больницы, суды, полиция и др. Больше всех пострадали маленькие города, которые во многом зависят от компьютеров, однако не могут позволить себе качественные системы защиты. К примеру, власти города Лейк-Сити были вынуждены заплатить вымогателям выкуп в размере около $460 тыс. в криптовалюте биткойн. Они опасались, что финансовые расходы на восстановление систем будут еще больше.
А мэр города Балтимор отказался идти на поводу у вымогателей и не заплатил $76 тыс. в биткойнах за расшифровку файлов и возобновление доступа сотрудникам к компьютерам. В результате атаки на восстановление систем ушло около четырех месяцев, а расходы составили более $5,3 млн. Вместе с утраченными доходами финансовые потери города составили более $18 млн.
Согласно данным Агенства национальной безопасности США, большинство кибератак осуществлялось из стран Восточной Европы, Ирана и США.

Источник: https://www.securitylab.ru/news/500596.php