Конец Ragnar Locker, серьезные проблемы у Cisco и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

Разработчика вымогателя Ragnar Locker арестовали во Франции

Европол арестовал разработчика вредоносного ПО, связанного с бандой вымогателей Ragnar Locker, и захватил даркнет-сайты группы в рамках международной операции.

Подозреваемого задержали 16 октября в Париже, в его доме в Чехии проведен обыск. Кроме того, в Испании и Латвии допрошены пять предполагаемых подельников фигуранта. 

По данным следствия, с конца 2019 года банда вымогателей Ragnar Locker осуществила атаки на 168 международных компаний по всему миру, включая производителя компьютерных чипов ADATA, авиационного гиганта Dassault Falcon и японского разработчика игр Capcom.

В ходе операции правоохранители конфисковали криптовалюты, а также отключили девять серверов и заблокировали сайты хакеров для переговоров и публикации утечек в сети Tor. 

Дело в отношении Ragnar Locker завели в мае 2021 года по запросу французских властей. С того момента были также задержаны двое подозреваемых в Украине, и еще один — в Канаде. 

Более 40 000 устройств Cisco IOS XE взломаны с помощью 0-day уязвимости

Cisco предупредила о критической уязвимости нулевого дня, затрагивающей корпоративное сетевое оборудование под управлением IOS XE. Она позволяет удаленному неаутентифицированному лицу создать на затронутых хостах учетную запись с высоким уровнем привилегий и получить полный контроль над устройством. 

🚨🚨🚨 Whatever you were thinking about CVE-2023-20198 (#Cisco IOS EX) it's 100x worst.

We used @TalosSecurity IOC check and found ~30k implants.

That's 30k devices infected (routers, switches, VPNs), under the control of threat actors.

That's excluding rebooted devices. pic.twitter.com/xzsnrmTdmY

— LeakIX (@leak_ix) October 17, 2023

Баг представляет опасность как для физических, так и для виртуальных продуктов компании, подключенных к интернету. Пока Cisco не выпустила исправлений, единственной рекомендацией для них остается отключение функции HTTP-сервера.

Сетевое оборудование, работающее под управлением Cisco IOS XE, включает корпоративные коммутаторы, промышленные и агрегационные маршрутизаторы, точки доступа и беспроводные контроллеры.

Первые признаки потенциально вредоносной деятельности компания заметила 28 сентября. К 18 октября, по подсчетам платформы Censys, количество скомпрометированных устройств составило 41 983.

По данным Shodan, в общей сложности под угрозой находится чуть более 145 000 хостов, большинство — в США. Многие из них принадлежат поставщикам услуг связи, университетам, больницам и госучреждениям.

CERT Orange опубликовал скрипт для сканирования оборудования на наличие вредоносного импланта.

В Cisco продолжают расследование и готовят исправление для уязвимых систем. 

Гражданину Молдовы грозит 20 лет за управление даркнет-маркетплейсом

31-летний гражданин Молдовы Санду Диакону экстрадирован в США, где его обвиняют в компьютерном мошенничестве и отмывании денег посредством даркнет-маркетплейса E-Root.

Домены этой площадки власти конфисковали в конце 2020 года. Диакону арестовали в Великобритании в 2021 году при попытке бегства из страны.

Маркетплейс E-Root продавал доступы более чем к 350 000 взломанным компьютерам по всему миру за криптовалюту. Минюст США собрал доказательства того, что приобретаемые на сайте данные в дальнейшем использовались для проведения атак вымогателей.

Диакону вину не признал. Ему грозит 20 лет тюрьмы, также власти намерены добиться конфискации преступных доходов.

В Нью-Йорке шестерых человек обвинили в создании нелегального биткоин-обменника

Шесть человек предстанут перед судом Южного округа Нью-Йорка по обвинению в организации нелицензированного бизнеса по переводу криптовалют на сумму $30 млн. Об этом сообщает CoinDesk.

По данным ФБР, с июля 2021 по сентябрь 2023 года фигуранты создали в даркнете обменник для конвертации цифровых активов в наличные. Их услугами пользовались в том числе продавцы наркотиков и хакеры. 

В поимке предполагаемых владельцев бизнеса правоохранителям помогал конфиденциальный источник, участвовавший в 80 контролируемых изъятиях наличных на общую сумму около $15 млн.

Украинские белые хакеры уничтожили серверы вымогателя Trigona

18 октября хактивисты Украинского киберальянса в результате атаки уничтожили сайт российской группировки вымогателей Trigona. 

Белые хакеры рассказали dev.ua, что обнаружили уязвимость в пространстве для командной работы Confluence. Кроме того, часть инфраструктуры Trigona работала через открытый интернет, а не через Tor.

Операция по поиску всех серверов заняла несколько дней, а на непосредственное удаление информации понадобилось 15 минут. 

В качестве заглушки на главной странице сайта киберальянс разместил сообщение: «Trigona больше нет. Добро пожаловать в мир, который вы создали для других». 

Trigone. The servers of the Trigona ransomware gang has been exfiltrated and wiped out by @UCA_ruhate_ Welcome to the world you created for others! pic.twitter.com/ALiud4sPQv

— herm1t (@vx_herm1t) October 17, 2023

Аренда новых серверов обойдется операторам вымогателя примерно в $2000. Однако возможность восстановления также зависит от актуальности их бэкапов.

В Альфа-банке опровергли слив клиентских данных 

Пресс-служба Альфа-банка назвала фейком и вбросом сообщение о публикации в открытом доступе личной информации своих клиентов. 

Ранее о потенциальном сливе писали некоторые Telegram-каналы. По их сведениям, текстовый файл на 1 млн строк якобы содержал 43 931 запись с уникальными наборами данных отдельных людей.

Тем не менее представители банка заявили, что приведенная в посте таблица скомпилирована из нескольких случайных номеров.

«Данные клиентов находятся под защитой», — подчеркнули в пресс-службе.

Также на ForkLog:

• Регуляторы ЕС предложили улучшить приватность цифрового евро.
• В США предложили приравнять биткоин-миксеры к «центрам по отмыванию денег», а эксперты дали прогноз на случай, если это произойдет.
• Россиянина обвинили в создании нелегального биткоин-обменника в Казахстане.
• Регулятор Украины расширил список ненадежных криптовалютных проектов.
• Учительница из Китая отдала мошеннику $546 000 «на покупку биткоина».
• Основателю «Финико» продлили арест до 2024 года.
• Platypus Finance вернул 90% потерянных при взломе активов.
• Fantom Foundation сообщила о взломе на «сотни тысяч долларов».
• В Garantex прокомментировали обвинения «в финансировании ХАМАС», а Binance, по сообщению СМИ, закрыла свыше сотни связанных с группировкой аккаунтов.
• Tether заморозил связанные с конфликтами в Израиле и Украине адреса.
• Клиентов TrueUSD уведомили о потенциальной компрометации данных.
• Эксперты подсчитали процент высокорисковых операций с USDT в сети Tron на OTC-рынке.
• В РФ участились случаи фишинговых атак на владельцев криптовалют.
• Хакеры задействовали для атак блокчейн BNB Chain.

Что почитать на выходных?

Немного футорологии от основателя ForkLog Анатолия Каплана.