12 ransomware operatori

Ukrainā un Šveicē arestēti 12 noziedznieki, kas veica ransomware uzbrukumus, izmantojot LockerGoga un Dharma izspiedējvīrusus. Šie cilvēki esot bijuši iesaistīti 2019. gada uzbrukumā Norvēģijas alumīnija ražotājam “Norsk Hydro”.

Kriptovalūtas atmazgāšana

Ukrainā arestēta noziedznieku grupa, kas zaga kriptovalūtu un veica naudas atmazgāšanu. Fotogrāfijās redzamie “hardware crypto wallets” like domāt, ka grupa veica “man in the middle” uzbrukumus, pārdodot iepriekš uzlauztus hardware maciņus.

REvil operators

Vācijas policija esot atklājusi REvil grupas dalībnieka identitāti. Šis vīrietis dzīvojot Krievijā un apraksta sevi kā veiksmīgu kriptoinvestoru. Vācijas policija esot sekojusi viņa ceļojumiem ar mērķi sagaidīt, kad viņš ieradīsies kādā Eiropas valstī, bet pēc nesenām ASV valdības darbībām tas šķiet mazticami, tāpēc informācija ir nonākusi Vācijas mēdijos. Visticamāk Vācija mēģinās panākt ekstradīciju no Krievijas (vēsturiski gan šādi pieprasījumi reti kad tiek apstiprināti).

Viltoti COVID-19 sertifikāti Ukrainā

Ukrainā arestēta grupa, kas ieguvusi pieeju Valsts veselības dienestam un tirgojusi viltotus COVID-19 vakcinācijas sertifikātus. Grupā bija iesaistīti dakteri, kam ir bijusi pieeja vakcinācijas datu portālam darba pienākumu veikšanai.

Viltus sertifikāti tika pārdoti par 100 Eur un pēc Ukrainas policijas datiem mēneša laikā tika izdoti ap 200 sertifikātiem. Jāatzīmē, ka Eiropas Savienība atzīst Ukrainā izdotus COVID-19 sertifikātus.

Viltoti COVID-19 sertifikāti Eiropā

Eiropas Savienības COVID-19 sertifikātus ieguvuši Adolfs Hitlers, Mickey Mouse un Sponge Bob. Daži ziņu avoti apgalvo, ka ir notikusi privāto atslēgu noplūde, taču tas šobrīd nav apstiprināts.

(Kārtējais) Cream Finance haks

No Cream Finance kriptovalūtu aizdevumu platformas nozagti $130 miljoni (atklāts eksploits, kas ļāva dubultot ieguldītos līdzekļus). Šī gada laikā CREAM platformai tas ir jau trešais atgadījums :)

Augusta uzbrukumā Cream Finance izdevās atgūt lielāko daļu no nozagtajiem $19 miljoniem, pateicoties Lossless protokolam (kas tādā gadījumā patur 50% no atgūtajiem līdzekļiem). Būs interesanti pasekot, vai nozagto līdzekļu atgūšana nostrādās arī šoreiz. 

dDoS uzbrukumi VoIP un epastu provaideriem

Lielbritānijas VoIP provaideru asociācija publiskojusi brīdinājumu par nu jau divus mēnešus ilgstošajiem dDoS uzbrukumiem. Tajā pašā laikā ziņots par to, ka līdzīgā veidā notikusi arī virkne dDoS uzbrukumu epastu servisiem.

Instagram krāpniecības

Jauns Instagram krāpniecības paveids. Hakeri nozog Instagram kontu un prasa lietotājus ierakstīt noteiktu video, lai to atgūtu. Konts netiek atgriezts, bet ierakstītais video tiek izmantots, lai pārliecinātu citus lietotājus ieguldīties neesošās investīciju platformās.

AbstractEmu

Aprakstīta bīstama Android ļauantūra - “AbstractEmu”, kas izmanto privilege escalation un sandbox escape ievainojamības, lai iegūtu “root” tiesības. 

Trojāns tika izplatīts caur 19 Android aplikācijām, viena no kurām bija pieejama caur Google Play Store, bet pārējās caur Amazon & Samsung veikaliem. “root” permīciju iegūšanai tika izmantotas piecas ievainojamības, jaunākās no kurām tika atklātas 2020. gadā (CVE-2020-0041, CVE-2020-0069). 

Lai gan ļaunatūra ar šādu funkcionalitāti ir samērā reta parādība, jāņem vērā, ka liela daļa Android iekārtu ir ievainojamas, jo izmanto novecojušas versijas. 

UA-Parser-JS bibliotēka

Populāra NodeJS bibliotēka UA-Parser-JS uz pāris stundām aizvietota ar ļaunatūru. Uzbrucēji uzlauzuši izstrādātāja NPM kontu un iekļāvuši bibliotēkā trojānu. Lai gan izstrādātājs pamanījis uzbrukumu un atguvis kontu pāris stundu laikā, dēļ mūsdienu izstrādes procesa, kas bieži vien lejupielādē nepieciešamās bibliotēkas automātiski (Continuous Integration), šajā laikā varētu tikt inficētas 100'000 sistēmas.

BillQuick Web Suite

“SQL Injection” ievainojamība grāmatvedības programmatūrā “BillQuick Web Suite” izmantota ransomware uzbrukumos. 

Programmatūras izstrādātāji nav sekojuši labajai praksei, pēc noklusējuma autentifikācijai izmantojot “sa” MSSQL lietotāju (sistēmas administrators), kas ļāva ne tikai nošifrēt MSSQL datubāzē glabātos datus, bet arī palaist komandas uz servera, inficējot gan to, gan saistīto Active Directory tīklu. 

Populārs WP paplašinājums OptinMonster

Populārā WordPress paplašinājumā “OptinMonster” atklātas ievainojamības, kas ļauj uzbrucējiem izvietot mājaslapā patvaļīgus JavaScript skriptus.

Populāra forumu programmatūra Discourse

Atklāta Remote Code Execution ievainojamība populārā forumu programmatūrā Discourse.

Adobe produkti

Kritiskas ievainojamības vairākos Adobe produktos (Photoshop, Premiere un Creative Cloud produktu saimes) piespiež izlaist ārpuskārtas atjauninājumus (parasti Adobe ielāpi tiek publiskoti mēneša otrajā otrdienā).

Google Chrome

Google izlabo vēl divas Chromium nultās dienas (“0day”) ievainojamības, kas izmantotas savvaļā. Šī gada laikā ir atklāti jau 16 šādi caurumi, kas ir rekordliels rādītājs. 

Atklātie caurumi izlaboti Google Chrome versijā 95.0.4638.69. 

MacOS

Microsoft atklāj ievainojamību MacOS, kas ļāva apiet “System Integrity Protection” mehānismu, ļaujot instalēt sistēmā kodola līmeņa ļaunatūru - rootkits. 

Tas, ka Microsoft atklāj ievainojamības Apple produktos, varētu šķist jocīgi, bet šāda sadarbība starp vendoriem, protams, veicina visu iesaistīto pušu produktu uzlabošanu. 

Intervija ar LockBit pārstāvi

LockBit grupas (viena no aktīvākajām ransomware-as-a-service operācijām) pārstāvis devis interviju Recorded Future mēdijam.

Hive ransomware ar Linux/FreeBSD atbalstu

Hive ransomware izplata jaunu versiju, kas rakstīta Go programmēšanas valodā un spēj šifrēt failus Linux vai FreeBSD serveros.

BlackMatter dekriptors

Ievainojamība BlackMatter izspiedējvīrusā ļāva izstrādāt alternatīvu failu atgūšanas programmatūru. Emsisoft kompānija esot vairākus mēnešus privāti izplatījusi šo rīku BlackMatter skartajām organizācijām, ļaujot tām atgūt failus neizmaksājot pieprasīto izpirkuma naudu.