Новости про атака

Microsoft предупредила 10 000 клиентов об атаках со стороны правительственных хакеров

Компания Microsoft предупредила около 10 тысяч клиентов о том, что они стали целью хакеров за прошедший год.

Компания отмечает, что примерно 84% этих атак нацелены на бизнес, а остальные 16% — на персональные учётные записи электронной почты. Статистика сообщает, что атаки проводились на государственном уровне, а количество взломанных учётных записей Microsoft составило 1600 штук.

Логотип Microsoft

В компании обвиняют в организации атак такие государства, как Иран, Северную Корею и Россию: «Мы наблюдаем расширяющуюся активность от действующих лиц, называемых нами Ртуть и Гольмий, работающих из Ирана, Таллий — из Северной Кореи, и два лица из России, которые мы назвали Иттрий и Стронций», — пояснил Том Бёрт, корпоративный вице-президент клиентской безопасности и доверительных отношений в Microsoft.

Одна из этих групп, названная Стронций, является хакерской группой Fancy Bear, которую ранее связывали с атаками на Демократическую партию США и выпуском вируса NotPetya.

Скоординированная хакерская атака может стоить миру миллиарды долларов

Одна хорошо скоординированная хакерская атака, распространённая через уязвимые электронные почтовые ящики, может обойтись мировой экономике в сумму от 85 до 193 миллиардов долларов.

Таков результат анализа гипотетического сценария атаки, проведённого страховой компанией Ллойда. В заявлении говорится, что страховые претензии после такой атаки будут варьироваться в зависимости от приостановки деятельности бизнеса, уровня кибер-вымогательства, а также от затрат на реагирование.

Общая сумма претензий, выплачиваемых страховым сектором по этому сценарию, оценивается в размере от 10 до 27 миллиардов долларов США, исходя из лимитов политики в диапазоне от 500 тысяч до 200 миллионов долларов США.

Кибератака

Стресс-тест показал, насколько плохо компании застрахованы от такого рода убытков. Атака может затронуть несколько секторов по всему миру, при этом наибольшие потери будут нанесены в сфере розничной торговли, здравоохранения, производства и банковской деятельности.

Что касается регионов, то под большим ударом окажутся экономики, в которых доминируют сервисы, особенно экономики США и стран Европы. Они окажутся более уязвимыми к атаке и понесут большие потери.

Обнаружена база утечек личных данных объёмом 87 ГБ

Трой Хант, владелец сайта Have I been Pwned, обнаружил крупнейшую базу учётных данных, среди всех продаваемых в даркнете.

Эта база имеет объём 87 ГБ и содержит 770 миллионов адресов электронной почты и паролей. В виду её большого объёма база получила имя «Collection #1».

Хант заявил: «Всего есть 1 160 253 228 уникальных комбинаций адресов электронной почты и паролей. Это относится к паролю с учетом регистра, но к адресу электронной почты без учёта регистра. Она также включает некоторый мусор, потому что хакеры — это хакеры, они не всегда аккуратно форматируют свои дампы данных легко понимаемым способом».

Утечка данных

Он добавил, что всего в базе 772 904 991 уникальных адресов. «Это число делает её единственной крупнейшей утечкой, загруженной на HIBP». Что касается паролей, то Collection #1 содержит 21 222 975 записей, и это после очистки данных от фрагментов SQL.

Хант отметил, что многие записи можно легко распознать в других утечках, но есть и много таких, которые раньше нигде не всплывали. Такие утечки очень опасны, поскольку открывают злоумышленникам доступ к почте, которая часто используется для восстановления паролей других учётных записей. Наибольшему риску подвергнуты те, кто использует один пароль в нескольких учётных записях.

Обнаружен вирус-майнер для Linux

Антивирусная лаборатория Dr. Web сообщает о выявлении нового вируса для операционной системы Linux, который добывает криптовалюту и, потенциально, может воровать данные.

Зловред Linux.BtcMine.174 в первую очередь занимается майнингом Monero. Однако кроме этого вирус, длиной более 1000 строк кода, выключает сервисы, прячет файлы и может воровать пароли.

Различными путями он получает root-доступ, перемещает себя в папку с правами на запись, повышает свои привилегии с помощью эксплоита. Также он добавляет себя в автозапуск и устанавливает руткит.

Кибербезопасность

Оказываясь в системе, он останавливает всё остальное ПО для майнинга, останавливает службы и удаляет необходимые файлы (включая антивирусы) и майнит Monero. Руткит позволяет воровать вводимые пользователем пароли под командой su, что позволяет ему атаковать по многим фронтам.

Также вирус ищет через SSH другие подключенные системы и затем пытается их заразить.

Вирус выявлен совсем недавно и пока не распространился.

Простая, но опасная уязвимость Windows не исправлена за целый год

Год назад исследователи в области безопасности открыли одну уязвимость в семействе операционных систем Windows, которая до сих пор не исправлена.

Первым уязвимость нашёл Себастиан Кастро из CSL. Эта техника направлена на один параметр в учётной записи пользователя Windows, известный как Relative Identifier (RID). Воспользовавшись уязвимостью, хакер может получить полный административный доступ к компьютеру.

Идентификатор RID — это код, добавляемый в конце идентификатора безопасности учётной записи (Security Identifier —SID), который описывает группу доступа пользователя. К примеру, для гостевой записи RID равен 501, а для администратора — 500.

Иконка системного реестра Windows

Кастро установил, что изменение ключа в реестре, содержащего информацию об учётных записях, может модифицировать RID, и таким образом изменить уровень доступа определённого пользователя. Удалённо таких изменений провести нельзя, но если хакер доберётся до машины, он сможет изменить группу пользователя на администратора, а затем выполнить с машиной любое действие.

Кастро обратился к Microsoft, исправила ли она уязвимость, на что был получен отрицательный ответ. Атака работает на всех Windows начиная с XP и до 10, и от Server 2003 до Server 2016. Пока информации о том, что уязвимостью пользовались, нет.

Уязвимость WPA2 позволяет легко взламывать WiFi

Уязвимость в безопасности сетей выявлена в протоколе WPA/WPA2. Она позволяет не только подключаться к Сети, но и получать доступ к роутеру.

Уязвимость выявлена случайно исследователем Дженсом Стьюби при проведении тестов нового протокола WPA3. Сравнивая процесс подключения при обмене ключами Pre-Shared Key в WPA2 и Simultaneous Authentication of Equals в WPA3, он установил, что новая атака не требует присутствия конечного пользователя. Все известные методы взлома WPA2 основаны на перехвате процесса «рукопожатия» между пользователем и сетью и дальнейшей брутфорс-атакой. Метод, выявленный Стьюби, нацелен на единственный кадр в Robust Security Network Information Element, а потому не требует проведения подключения.

Роутер

«В настоящее время мы не знаем, сколько производителей и как много роутеров уязвимы перед этой техникой, но мы думаем, что она сработает на всех сетях 802.11i/p/q/r с включённой функцией роуминга (большинство современных роутеров)», — сообщил Стьюби.

Протокол WPA3 был анонсирован в январе. Он использует 128-битное шифрование в персональном режиме и 192-битное в корпоративном. Также в нём технология разделённых ключей заменена на процесс одновременной аутентификации равных, что исключает возможность проведения атаки по методу Стьюби.

Intel будет использовать встроенную графику для выявления зловредов

Компания Intel дополнила технологии Accelerated Memory Scanning и Advanced Platform Telemetry двумя новыми средствами для противостояния вредоносному ПО на аппаратном уровне.

Теперь система Accelerated Memory Scanning будет выгружать выявление атак на основе памяти на встроенную графику CPU. Согласно внутренним тестам компании, нагрузка методом GPGPU позволила снизить использование CPU с 20% до 2%.

Скан вредоносного кода

Вторая техника объединяет отслеживание и облачное машинное обучение для выявления более совершенных угроз. Когда вредоносный код размещается на жёстком диске, он может быть замаскирован или даже зашифрован. Теоретически, когда он попадает в память, его становится легче выявить.

Процесс сканирования памяти на признаки вредоносного кода обслуживается драйвером Intel и работает в так называемой цепи приложений или Ring 3. Однако возможности данного решения могут быть расширены до уровня ядра, или Ring 0. Интенсивность сканирования может быть настроена для загрузки GPU. Однако если пользователь играет в игру, сканирование может быть отложено или размещено на других незагруженных ядрах GPU.

GitHub подвергся самой мощной DDoS атаке за всю историю Интернета

Известный репозиторий GitHub подвергся крупнейшей в истории DDoS атаке, при этом сайт был недоступен лишь 10 минут.

В инженерном блоге ресурса сообщается, что 28 февраля GitHub.com был в офлайне с 17:21 до 17:26 (по Всемирному координируемому времени), и сразу же снова «упал» с 17:26 до 17:30.

По данным ресурса, первая атака достигала максимальной плотности в 1,35 Тб/с, в то время как вторая достигла плотности 400 Гб/с. Это делает её крупнейшей атакой за всё время. До этого самой мощной была DDoS атака на скорости 1,1 Тб/с.

Отмечено, что атака была произведена десятками тысяч распределённых уникальных точек. При достижении пика в 1,35 Тб/с скорость передачи пакетов составила 126,9 миллиона за секунду.

В GitHub отметили, что атака подобного рода может генерировать огромные объёмы траффика со спуфированием IP адресов, что позволяет откликам нацеливаться на другие адреса, как те, что обслуживают GitHub.com, и направлять больше данных на цель, чем необходимо было бы источнику без спуфа. В данной атаке коэффициент усиления составил 51000. Это значит, что каждый байт, отправленный атакующим, превращался в 51 КБ трафика на сервере GitHub.

При этом сайт отметил, что никакого риска для пользователей она не несёт, а конфиденциальность и целостность пользовательских данных не пострадала.

Новая защита Denuvo продержалась дольше предшественников

Защита Denuvo версии 4.7, по всей видимости, достаточно устойчива ко взлому. И яркий пример тому — Assasin's Creed Origins, которую пираты до сих пор не взломали.

Правда, эта игра защищена не только Denuvo, но и VMProtect. Примечательно, что многие пользователи жаловались на высокую нагрузку на процессор в ходе игровых сессий. Но в любом случае, комбинированная защита двумя системами оказалась эффективной. Вторым примером может служить Ubisoft Watch_Dogs 2, и эта игра так же до сих пор не взломана.

Обычно игры взламываются в течение нескольких дней, и новости о быстром взломе игры уже не вызывают интереса, так что невозможность взломать игры с Denuvo в течение месяца уже заслуживает уважения. Некоторые хакерские группировки, например, китайская 3DM, даже сделала заявление, что такая защита от копирования может положить конец игровому пиратству.

CCleaner инфицирован бэкдором

Компания Talos, являющаяся структурным звеном Cisco и занимающаяся безопасностью, установила, что хакеры сумели внедрить вредоносный код на сервера британской компании Piriform, известной как разработчик утилиты CCleaner.

Программа CCleaner предназначена для очистки системы и ускорения работы компьютера. По данным исследования, утилита на платформах PC и Android загружалась 5 миллионов раз за неделю.

Получив доступ к серверам, злоумышленники инфицировали инсталлятор утилиты. Заражённая версия CCleaner была доступна в августе. Эксплоит, содержащийся в ней, пытается подключиться к нескольким незарегистрированным вебсайтам, вероятно, чтобы получить дополнительную порцию зловредов. По информации Рейтер, которое ссылается на исследователя Крейга Уиллиамса, вредоносный код распространяется таким же образом, как это делал NotPetya в июне, заразив сотни тысяч компьютеров через бухгалтерский пакет украинской разработки.

Утилита CCleaner использует цифровой сертификат, который позволяет компьютерам автоматически доверять программе в ходе инсталляции. В Piriform рекомендовали пользователям CCleaner версии 5.33.6162 и CCleaner Cloud версии 1.07.3191 загрузить и установить свежую версию утилиты. Автоматически приложение не обновляется.