Позначка: Кібератаки

Про боротьбу з вірусами-шифрувальниками

Міжнародна спільнота робить успіхи у боротьбі з криптоздирниками – з розробниками та користувачами вірусів шифрувальників, що становлять найбільшу кіберзагрозу.

Криптоздирники, тобто розробники та оператори вірусів-шифрувальників, складають найбільші кібер загрози для сучасного бізнесу. Часом здається, що єдиний спосіб захиститися від вірусів-шифрувальників – це повністю від‘єднати організацію від інтернету. І то не факт що допоможе, бо все частіше чуємо про факти підкупу інсайдерів, які за винагороду надають криптоздирникам доступ до інфраструктури, просто запускаючи вірус-шифрувальник згідно з інструкцією.

Продовжити читання “Про боротьбу з вірусами-шифрувальниками”

Кібератака на Kaseya: неПетя для США

Кібератака криптоздирників REvil на компанію Kaseya та її клієнтів – це найбільша операція кібервимагачів в історії та справжній «notPetya moment» для США.

Пам‘ятаєте, я колись казав, що кібератака на Colonial Pipeline стала «моментом неПетя» для сполучених штатів? Я помилявся. Цим моментом стала кібератака на компанію Kaseya.

Kaseya виробляє програму для віддаленого контролю за великими флотиліями комп‘ютерів у гігантських територіально розподілених ІТ-інфраструктурах (VSA). Користуються нею великі транснаціональні корпорації та MSP (Managed Service Providers) – компанії, які надають послуги ІТ-адміністрування меншим організаціям.

Продовжити читання “Кібератака на Kaseya: неПетя для США”

США анонсують кібератаки проти Росії

США готуються відповісти на кібератаку росіян проти SolarWinds та інших компаній. Чи буде це кібератака? Навіщо анонсувати цей контрудар? Поміркуймо разом.

Джерела у Білому домі повідомляють, що протягом наступних трьох тижнів США здійснять низку прихованих дій у російських мережах, які будуть очевидні для військового та розвідувального керівництва РФ та особисто Володимира Путіна, але залишаться невидимими для зовнішнього світу. Ці дії буде поєднано із розширенням економічних санкцій, повідомляє New York Times.

Після виходу цього матеріалу 7 березня у кібербезпековій тусовці здійнялася не аби яка хвиля піднесення: ось, нарешті, Джо Байден покладе край бездіяльності Сполучених штатів щодо російського беспрєдєла в інтернеті. Усі, хто хоч трохи знається на кібербезпеці, діляться один з одним та з “простими смертними” своїми прогнозами щодо того, що ж насправді відбудеться, навіщо про це повідомляти заздалегідь, і взагалі – що за гру веде нова адміністрація Білого дому.

Продовжити читання “США анонсують кібератаки проти Росії”

Критичні вразливості в Microsoft Exchange

SolarWinds з його Supply Chain, про який всім вже мозок винесли сейли та маркетологи, це практично ніщо в порівнянні з десятками тисяч скомпрометованих цими днями серверів Microsoft Exchange.

Короткий переказ подій: якщо ваша корпоративна пошта на Microsoft Exchange і ви розміщуєте її у «наземному» датацентрі, – є високі шанси, що це вже не ваша корпоративна пошта. В продукті було знайдено низку критичних вразливостей безпеки, які активно використовуються кількома хакерськими групами. Одна з таких груп, що має назву HAFNIUM та напряму пов’язана з китайським урядом, ймовірно першою розробила багатоетапний експлойт та вже встигла скомпрометувати з його допомогою понад 30,000 поштових серверів, в тому числі в чисельних державних установах США. І не дивно, адже за спостереженнями компанії Volexity активна експлуатація цих вразливостей нульового дня розпочалася ще 6 січня цього року.

Продовжити читання “Критичні вразливості в Microsoft Exchange”

РНБО повідомляє про атаку російських хакерів на систему документообігу держорганів

РНБО попереджає про фішингову атаку через систему документообігу Українських державних установ та звинувачує в цьому росіян.

Техніка атаки примітивна: класичні документи Microsoft Office із макросами. Проте, цілком дієва: фішинг завжди в моді, а користувачі радо погоджуються на пропозиції хакерів завантажити на комп’ютер шкідливі програми.

Цікавий скоріше вектор атаки: поширення файлів через Систему електронної взаємодії органів виконавчої влади (СЕВ ОВВ). Це такий собі файлообмінник з вебінтерфейсом та скриптами за кілька десятків мільйонів гривень, який українські державні установи використовують замість електронної пошти або сервера SharePoint. Система, на хвилиночку, має атестат відповідності КСЗІ від 2019 року.

З усього скидається те, що нападникам вдалося захопити контроль над щонайменше одним суб’єктом системи документообігу. Цікавий нюанс: у пресрелізі РНБО напад класифікують як атаку на ланцюг постачання (Supply Chain Attack). Чи випливає з цього, що було модифіковано програмне забезпечення системи СЕВ ОВВ? Чи йдеться про первинне проникнення в державну установу – суб’єкта документообігу? Про це РНБО змовчує, залишаючи простір для спекуляцій.

Проте, походження атаки сумнівів не викликає. Адже зафіксовані індикатори компрометації однозначно вказують на російську хакерську групу Gamaredon (aka Primitive Bear), яка вже кілька років кошмарить українську госуху. Та й на тлі політичного та військового загострення, викликаного введенням санкцій проти низки проросійських політиків в Україні, така гібридна відповідь виглядає цілком очікувано.

Не клікайте каку.