Pull to refresh

Уязвимость EternalBlue парализовала очередной город в США

Information Security *Cryptography *Antivirus protection *Data recovery *Research and forecasts in IT


В начале мая шифровальщик RobbinHood, который относительно недавно появился на арене вымогательского ПО, заблокировал 10 тыс. персональных компьютеров в муниципалитете Балтимора. Как стало известно в последние дни, злоумышленники попали в инфраструктуру с помощью эксплойта EternalBlue.
Читать дальше →
Total votes 14: ↑14 and ↓0 +14
Views 4.7K
Comments 5

Не только WannaCry: эксплойт EternalBlue порождает новые атаки

Panda Security в России и СНГ corporate blog Antivirus protection *
Translation


После того как EternalBlue был опубликован, кто-нибудь еще воспользовался им? Или только создатели WannaCry? Прежде чем ответить на данный вопрос, давайте взглянем на историю уязвимости, которая дала путь эксплойту EternalBlue.
Читать дальше →
Total votes 12: ↑10 and ↓2 +8
Views 16K
Comments 12

Security Week 23: EternalBlue портировали на Win10, ЦРУ атакует с файлсерверов, маркетологи незаметно заразили весь мир

«Лаборатория Касперского» corporate blog Information Security *
Приключения EternalBlue продолжаются: теперь исследователи из RiskSense портировали его на Windows 10. На первый взгляд это деструктивное достижение, однако же, именно в этом состоит немалая часть работы исследователя-безопасника. Чтобы защититься от будущей угрозы, сначала надо эту угрозу создать и испытать, причем крайне желательно сделать это раньше «черных шляп».

Ранее RiskSense разработали EternalBlue-модуль для Metasploit, который отличается от оригинала тем, что его гораздо хуже детектят IDS. Из него выкинули имплант DoublePulsar который слишком хорошо изучен и не особо умеет скрываться на машине, демаскируя атаку. Вместо него исследователи разработали собственный шеллкод, который способен загрузить нужную нагрузку напрямую.

Исходный EternalBlue, как и его модуль для Metasploit, работает лишь на Windows 7 и Windows XP, а также на Windows Server 2003/2008 R2. В своем отчете компания подробно анализирует все цепочку багов, используемых эксплойтом, и из документа видно, что к подобной атаке уязвимы все системы на базе ядра NT – однако выручают защитные технологии, часть из которых EternalBlue обходить умеет, часть – не очень.
Читать дальше →
Total votes 17: ↑15 and ↓2 +13
Views 9.7K
Comments 5

Security Week 26: ExPetr – не вымогатель, Intel PT позволяет обойти PatchGuard, в Malware Protection Engine снова RCE

«Лаборатория Касперского» corporate blog Information Security *
Мимикрия чрезвычайно распространена в животном мире. Чтобы было проще прятаться от хищников, или наоборот, легче подкрадываться к добыче незамеченными, звери, рептилии, птицы и насекомые приобретают окраску, схожую с окружающей местностью. Встречается мимикрия и под предметы, и, наконец, под животных других видов – более опасных, или менее вкусных.

Схожим образом поступает новый троянец-вымогатель ExPetr, который вроде бы Petya, да не совсем он. Распространяясь как чума, он навел шороху в 150 странах. Один из векторов распространения, но не единственный – сладкая парочка EternalBlue и DoublePulsar, от которой многие так и не удосужились запатчиться после WannaCry.

Так вот, о чем я. При внимательном рассмотрении оказалось, что ExPetr никакой не вымогатель, и самый натуральный стиратель данных. Восстановление зашифрованных данных не предусмотрено и невозможно.
Читать дальше →
Total votes 18: ↑14 and ↓4 +10
Views 7.3K
Comments 0

Security Week 51: на старые грабли с новой силой, «растяжка» против уязвимых сайтов, еще один хактивист

«Лаборатория Касперского» corporate blog Information Security *
Новость
В Сети бушует эпидемия золотодобытчиков: неизвестные злоумышленники через Linux и Windows-серверы обзаводятся мулами (точнее, криптомайнерами Mule) для выкачки Monero. Кампания продумана до мелочей, агрессивна, как зерг раш, и наречена была Zealot в честь одного из загружаемых вредоносных файлов (других говорящих терминов тоже хватает и в коде, и в названиях файлов: как вам Observer или Overlord?). Об организаторах известно немного: во-первых, они явно фанаты StarCraft, во-вторых, столь же явно профи в своем деле.
Читать дальше →
Total votes 13: ↑11 and ↓2 +9
Views 5.1K
Comments 1

Microsoft обвинила АНБ в накоплении эксплойтов

IT-companies


Компания Microsoft в лице президента и юридического директора Брэда Смита (Brad Smith) высказала официальную позицию по поводу глобальной эпидемии червя и криптовымогателя WannaCrypt (WannaCry, WanaDecrypt0r). С пятницы этот зловред поразил более 200 тыс. компьютеров в более 150 странах мира, наиболее пострадали Великобритания и Россия. Червь распространяется через незакрытую уязвимость во всех версиях Windows, используя эксплойт ETERNALBLUE из арсенала АНБ, который хакеры рассекретили два месяца назад, вместе с десятками других эксплойтов под Windows, Linux, HP-UX, SunOS, FreeBSD, JunOS, других операционных систем и прикладных программ типа антивирусов.

Брэд Смит сравнил утечку киберарсенала АНБ с кражей ракет «Томагавк» у армии. Если такое мощное оружие достаётся злоумышленникам, то жди беды. То же самое произошло эксплойтом ETERNALBLUE.
Читать дальше →
Total votes 35: ↑27 and ↓8 +19
Views 25K
Comments 245

Массовые атаки: особенности противодействия на опыте последних лет

Ростелеком-Солар corporate blog Information Security *
Многие центры безопасности смыслом своей работы, а то и жизни делают борьбу с хакерами и атаками. Дело действительно важное и интеллектуально очень емкое. Исследуем данные Threat Intelligence, собираем атрибуцию на группировки и её TTP (tactics, techniques and procedures), разрабатываем отдельные сценарии и правила выявления инцидентов, внедряем мощные технологические решения. Это огромный и важный кусок работы любой команды по безопасности, а уж тем более любого зрелого SOC.

image

Но периодически все классические подходы к безопасности через мониторинг просто умножаются на ноль, когда в жизнь приходит большая и неприятная массовая атака. Та самая, о которой узнаёт даже ваша бабушка. Условно назовем такую атаку медиакиберпандемией, чтобы не путать с регулярными рассылками Cobalt или хитрыми инструментами Silence (для бывалых они уже стали чем-то вроде белого шума). Речь о Heartbleed, Shellshock, WannaСry, уязвимости в оборудовании Cisco и прочих. Что их отличает от прочих кибердиверсий? Как в этом случае стоит (или не стоит) вести себя SOC и просто ИБ-службе компании? Давайте разбираться под катом.
Читать дальше →
Total votes 22: ↑20 and ↓2 +18
Views 4.3K
Comments 8