Netgear

Netgera rūteros atrastas kritiskas ievainojamības, kas nodrošina attālinātu koda palaišanu (Remote Code Execution). Šogad šāda līmeņa ievainojamības Netgear iekārtās atrastas jau piekto reizi.

NPM bibliotēkas

Github atklāja informāciju par divām oktobrī izlabotām NPM ievainojamībām:

• Viena ļāva publicēt patvaļīgas NPM bibliotēkas (apejot autorizāciju)
• Otra padarīja publisku visu NPM bibliotēku sarakstu (t.sk. organizāciju privātās bibliotēkas)

Python bibliotēkas

Līdzīgi kā iepriekšējās nedēļās, atklātas kārtējās ļaundabīgas bibliotēkas, šoreiz Python nevis JavaScript.

FatPipe VPN

FBI brīdina par 0day uzbrukumiem pret FatPipe VPN servisu. Spriežot pēc Shodan datiem, Latvijā šis pakalpojums nav populārs, taču līdzīgas ievainojamības šogad tika atklātas arī citos VPN servisos (piem. Fortinet, Pulse Secure, Cisco, SonicWall).

Moses Staff

Aprakstīta jauna grupa “Moses staff”, kas uzbrūk Izraēlas kompānijām. Uzbrukumu mērķis škietami ir “wiper” nevis izspiešana, t.i. dati tiek dzēsti neatgriezeniski.

“Watering-hole” uzbrukumi Mjanmā

Mjanmas valsts domēnos izvietota CobaltStrike ļaunatūra. Uzbrucēji izmantojuši vairākas “domain fronting” tehnikas, kas sarežģī uzbrukumu atklāšanu (jo parastie indikatori — domēni un IP adreses kļūst bezjēdzīgi).

Kiberdrošības speciālistu algu palielināšana ASV

ASV palielina algas kiberdrošības darbiniekiem līdz $20k mēnesī (visai konkurētspējīgi, jo tā ir ASV viceprezidenta alga)

Uzlauzts Conti serveris

Šveices kiberdrošības kompānija “Prodaft” publicēja atskaiti par Conti ransomware grupas darbību, kurā cita starpā tika atklāts, ka šī kompānija veiksmīgi uzlauzusi Conti serveri, vairāku nedēļu laikā monitorējot tā darbību un pieslēgumus.

Lai gan Conti darbinieku IP adreses netika atklātas, Prodaft atskaitē tika iekļauta servera IP adrese un parole, liekot Conti grupai nomainīt serveri.

Servera izpētes laikā Prodaft atklājuši, ka Conti gada laikā nopelnījuši vismaz $25 miljonus, lai gan paši Conti apgalvo, ka šie dati ir par dažiem mēnešiem un gada laikā nopelnīts virs $300 miljoniem.

Pētījuma rezultātā Conti grupa atslēgusi uzlausto serveri un veikusi infrastruktūras maiņu (bet turpina savu darbību).

Fake ransomware

Uzlauztas vairākas WordPress mājaslapas, tajās veicot defacement. Krāpnieki apgalvo, ka lapas dati ir nokriptēti un lūdz nosūtīt naudu uz norādīto Bitcoin maku.

Emotet botneta atgriešanās

Ir atgriezies Emotet botnets. Šobrīd šo ļaunatūru instalē cits pazīstams trojāns — Trickbot (iepriekš novērota pretēja parādība, kad Emotet instalēja lietotāju datoros Trickbot).

Pagājušajā gadā Emotet bija kārtīgi paplosījies arī Latvijā. Šīs ļaunatūras galvenā iezīme ir spēja savākt reālas sarakstes piemērus no lietotāju epastiem, pārsūtot šos epastus visiem kontaktiem (ar inficētu pielikumu). Pagaidām atjaunotais botnets šādas darbības nav veicis, taču var sagaidīt, ka tas notiks, kad būs sasniegts noteikts inficēto ierīču skaits.

Kurss botnetu veidošanā un uzturēšanā

Pagrīdes forumā esot pieejams kiberdrošības kurss, kur var iemācīties, kā izveidot un uzturēt savu botnetu (“Ботоводство”). Cena ir $1400 un tā veidošānā iesaistītas tādas pagrīdē zināmas personības, kā karderu foruma administrators, kādas Krievijas universitātes profesors un pat IT katedras dekāns.

Exploit-as-a-service

Noziedzniekiem parādījies jauns biznesa modelis: “Exploit-as-a-service”. Tā kā nulles dienas (0day) ievainojamību cenas mūsdienās var sasniegt miljonus dollāru, tad daži pārdevēji mēģina diversificēt savus ienākumus, “iznomājot” eksploitus vairākiem pircējiem reizē.

Huntress Labs paziņojums par incidentu

Huntress Labs publicēja “post-mortem” rakstu par to, kā tika uzlausta kāda no viņu iekšējām sistēmām. Lai gan konkrētā sistēma nav bijusi būtiska un incidenta rezultātā nav atklāti lietotāju dati, šis ir labs piemērs tam, kā organizācijām vajadzētu reaģēt uz drošības incidentiem.