T.Hunter | информационная безопасность

#news После злоключений первого полугодия LockBit отчаянно пытается поддерживать свою значимость и генерировать инфоповоды. На этот раз группировка заявила о взломе Федеральной резервной системы США. Злоумышленники утверждают, что похитили 33 терабайта конфиденциальных данных с банковскими секретами. LockBit также выдала дерзкий ультиматум ФРС с требованием в течение 48 часов сменить «клинического идиота» в лице переговорщика — якобы им предложили всего 50 тысяч долларов за предположительно масштабную утечку. Тем не менее, пока официальных заявлений от ФРС и каких-либо подтверждений нет. А LockBit последнее время, мягко говоря, не отличается надёжностью, когда речь заходит о потенциально громких взломах. И пока это всё выглядит как очередная пиар-акция от группировки, которой уже особо нечего терять, включая репутацию и разбежавшихся по другим операциям партнёров. @tomhunter

#news Исследователи опубликовали отчёт по RansomHub, восходящем бренде рансомварь-сцены. Из ключевого, группировка четвёртая по числу заявленных атак за последние 3 месяца, комиссия 90% для партнёров и пересечения в коде с рансомварью от BlackCat и Knight. Knight Ransomware ушла на продажу в феврале этого года после закрытия операции, так что, возможно, RansomHub собрали свой энкриптор на её основе. Версии под Linux и Windows написаны на Go, под ESXi — на C+. В основном атаки идут по крупным компаниям в IT-сфере. Как обычно, доступны IoCs, правила YARA и Sigma плюс забавная уязвимость в энкрипторе под ESXi. Он создаёт файл для предотвращения запуска нескольких экземпляров. И если исправить в нём параметр на -1, рансомварь уходит в бесконечный цикл. Подробнее о новой операции в 44-страничном отчёте (PDF). @tomhunter

#news Неожиданные новости об отце всех утечек и ночном кошмаре Госдепа. Джулиан Ассанж заключил сделку с Минюстом США и был освобождён из тюрьмы в Лондоне, где провёл последние пять лет. Он сразу же вылетел в Австралию, а по пути предстанет перед судом на территории США в Тихом океане. Он признал вину по 1 из 17 пунктов — незаконное получение и публикация секретных данных. Ожидается, что ему дадут уже отсиженный срок. Эпические приключения Ассанжа начались в 2012-м, когда он скрылся от предположительно политического преследования в посольстве Эквадора в Лондоне, где прожил следующие семь лет до ареста в 2019-м. В США Ассанж с 2012-го признан врагом государства. По официальным обвинениям ему грозило до 175 лет тюрьмы, по неофициальным — самоубийство тремя выстрелами в затылок. Остаётся пожелать герою поколения, чтобы его 14-летняя эпопея получила счастливый конец. @tomhunter

#news К ИБ-курьёзам из-за океана. TikTok по ошибке опубликовал внутреннюю версию своей ИИ-модели, предназначенную для создания видеорекламы — цифровые аватары актёров позволяют бизнесу генерировать ролики под свой продукт. Но тестовая версия идёт без ограничений по промптам, позволяя оцифровать любой контент. Что делают журналисты CNN, добравшись до модели? Конечно, начинают клепать ролики с цитатами Гитлера, четырнадцатью забавными словами и прочими любимцами околоспортивной молодёжи, живущими rent-free в голове каждого либерального писаки на Западе. А также призывами пить отбеливатель для здоровья. И всё это без ИИ-вотермарки. В итоге получилась такая себе сенсация, ссылку быстро прикрыли, а журналисты задаются вопросом, готов ли TikTok бороться с злоупотреблениями Гитлером и дезинформацией. Готовы ли мы к обществу нулевого доверия, которое вскоре породит ИИ-контент, вопрос гораздо интереснее. Увы, ему CNN отводит лишь пять секунд в конце репортажа. @tomhunter

#news После недавней атаки по НСПК DDoS-лемминги из боевых Телеграм-каналов диванного хактивизма переключились на Мосбиржу. Сегодня с 10 утра по Москве шла атака по всем её ресурсам, включая сайт и маркетплейс. Сайт с утра пролежал 20 минут, также были перебои в работе маркетплейса «Финуслуги». Тактика схожа с той, что наблюдалась в недавней атаке по оператору карт «Мир», так что далеко ходить за предположениями об организаторе не нужно. Тем не менее, серьёзного ущерба она не нанесла, и торги приостановлены не были. Иными словами, эффект от атаки больше психологический. Плюс принудительный стресс-тест систем. Центробанк как раз предупреждал о грядущих проверках финтеха на киберустойчивость — можно анализ общей картины таких атак и реагирования на них и в отчёты подшить. @tomhunter

#news Опенсорсную малварь под Андроид Ratel RAT активно используют для атак по устаревшим устройствам. Исследователи насчитали больше 120 кампаний по её распространению. Часть использует рансомварь-модуль для блокировки устройств, но RAT также засветился в атаках по оборонке и госорганизациям. Основным вектором атаки идут фейковые приложения вроде Instagram, WhatsApp и антивирусов. Значительная часть атак пришлась на США и Китая, но есть достаточно случаев и в России. Большинство заражений идёт по версиям Андроида 11 версии и старше, лишь 12,5% затронули версии 12 и 13. Получается такой своеобразный налог для не желающих участвовать в нескончаемой карусели смены моделей и носящих в кармане кирпич почтенного возраста. Один заход не в ту онлайн-дверь, и старичок получает вредоносный APK, который на версиях новее бы не сработал. Подробнее о Ratel RAT в отчёте. @tomhunter

#news Неделя начинается с курьёзов инфобеза на родных просторах. РКН пару недель назад потребовал у операторов связи блокировать звонки от абонентов, не подключённых к системе «Антифрод». Чуть больше половины из 2 тысяч операторов её пока так и не освоили. Например, «Газпром Телеком», висящий на сети «Мегафона». И его звонки начали блокировать. Как пожаловался представитель «Газпром Телеком», они ещё только тестируют ПО для подключения к «Антифроду», а звонки в сети других операторов уже не проходят. И внедрить новую систему за полмесяца они не могут — закупка по инвестпрограмме будет идти минимум год. Формально «Газпром Телеком», конечно, может пожаловаться на вот это вот всё, но жалобы придётся писать, собственно, в РКН. А что им там ответят, сами понимаете. @tomhunter

26-28 июня в Технопарке «Сколково» в рамках «Tech Week» пройдёт конференция «Tech for Corprorations». Её главными темами станут внедрение технологий и модернизация, киберзащита и безопасная работа с данными, а также проблемы замещения попрощавшегося с РФ софта — с кейсами и решениями. Если вы директор IT-отдела, поставщик IT-продуктов или, конечно же, специалист по инфобезу, на конференции найдётся что-нибудь актуальное. От T.Hunter в ней примет участие Игорь Бедеров, руководитель нашего департамента расследований, и 27 июня представит наш продукт ThreatHunter DRP — SaaS-решение для поиска и нейтрализации киберугроз. Получить программу конференции и забронировать билет можно здесь. Присоединяйтесь, будет интересно! @tomhunter

#news Не успела «Лаборатория Касперского» провести все консультации с ЦИБ по итогам блокировки её софта на территории США, как подоспела ещё одна новость. На очереди кураж от штатовского Минфина: топ-менеджмент Касперского попал под санкции. В расстрельный список отправились 12 человек. Члены совета директоров, вице-президенты, руководители нескольких подразделений, технический и управляющий директоры. Чем они не угодили Минфину? Очевидно, это связано со смехотворными домыслами, что на ключевых менеджерских постах сидят люди, тесно связанные со спецслужбами. При этом сама компания и её основатель под санкции пока не попали. Как сообщил Минфин, решение подчёркивает приверженность защите киберпространства от злонамеренных киберугроз. Так одним росчерком санкционного пера по ту сторону океана официально размылась грань между нашим криминальным хакерским сообществом, апэтэшными мишками и частными ИБ-компаниями. Ожидаемо, но всё равно занятно. @tomhunter

#news Пятничный пост о приключениях Брайана Кребса по следам его любви к русским злоумышленникам и не только. В марте он опубликовал расследование о Radaris — брокере данных сомнительного плана. Как выяснилось, за его фейковым CEO скрываются двое русских братьев, которые также держат кучу сайтов для иммигрантов из России, с партнёрскими программами и прочим. Ну а теперь они грозят Кребсу судом по делу о клевете. Адвокат братьев Любарских сначала потребовал удалить статью и принести им извинения. Затем требования ограничились исключением имён из статьи и, кхм, «помощью с удалением её копий из Интернета». При этом к последнему письму адвокат опрометчиво приложил резюме клиентов. И по информации из них Кребс накопал ещё больше компромата на парочку. В общем, живёт свою лучшую жизнь. Главное, чтобы большой и малый Любарский от обиды не увезли его на подвал решать проблему по старинке. Без Кребса увлекательный мир OSINT’a по нашему отечественному изрядно обеднеет. @tomhunter

#news Увлекательная ИБ-история одной невезучей корпорации из Штатов. Во вторник CDK Global, поставщик SaaS-платформ для автодилерского и смежных рынков, стал жертвой кибератаки. Системы прилегли, у автосалонов по всем США возникли проблемы с софтом — компания поставляет его под полный цикл работы, так что отвалилось всё, продажи встали. При этом пользуются их софтом более 15 тысяч автосалонов в стране. Однако на этом проблемы не закончились. На следующий день, когда начали поднимать системы, по ним прошлась вторая атака. Всё снова пришлось отключать. Судя по принятым мерам, можно предположить, что на сервера пустили рансомварь. А следом на них могла зайти другая группировка — например, по начальному доступу от одного и того же брокера. Похожий случай был пару лет назад — тогда данные этих везунчиков LockBit, Hive и BlackCat зашифровали трижды. Но подробностей пока нет, как нет и ETA по восстановлению работы. Главное, чтобы вектор атаки догадались убрать. @tomhunter

#news Кульминация приключений «Лаборатории Касперского» на западном рыночке: США ввели запрет на продажу ПО компании в стране. Всё это, как водится, из-за угрозы национальной безопасности и предполагаемого сотрудничества с российскими властями. США опасаются, что по запросу товарища майора софт от Касперского превращается в инфостилер или бэкдор в американских системах. Так что с 20 июля идёт запрет на новые соглашения, с 29 сентября — на обновления текущим клиентам. WL-продукты тоже под запретом. Кроме того, наряду с Huawei компания попадёт в пресловутый Entity List — список организаций, угрожающих нацбезопасности США, с ограничениями на торговлю. Тем, кто продолжит пользоваться продуктами Касперского, штрафы не грозят, но через 100 дней не грозят и обновления. Компания, как обычно, все обвинения отрицает и обещает судиться за право нести свой софт простым — и не только — американцам. Но здесь уже шансы невысоки. @tomhunter