Конец Ragnar Locker, серьезные проблемы у Cisco и другие события кибербезопасности
Мы собрали наиболее важные новости из мира кибербезопасности за неделю.
- Разработчика вымогателя Ragnar Locker арестовали во Франции.
- Более 40 000 устройств Cisco IOS XE взломаны с помощью 0-day уязвимости.
- В Нью-Йорке шестерых человек обвинили в создании нелегального биткоин-обменника.
- Украинские белые хакеры уничтожили серверы Trigona.
Разработчика вымогателя Ragnar Locker арестовали во Франции
Европол арестовал разработчика вредоносного ПО, связанного с бандой вымогателей Ragnar Locker, и захватил даркнет-сайты группы в рамках международной операции.
Подозреваемого задержали 16 октября в Париже, в его доме в Чехии проведен обыск. Кроме того, в Испании и Латвии допрошены пять предполагаемых подельников фигуранта.
По данным следствия, с конца 2019 года банда вымогателей Ragnar Locker осуществила атаки на 168 международных компаний по всему миру, включая производителя компьютерных чипов ADATA, авиационного гиганта Dassault Falcon и японского разработчика игр Capcom.
В ходе операции правоохранители конфисковали криптовалюты, а также отключили девять серверов и заблокировали сайты хакеров для переговоров и публикации утечек в сети Tor.
Дело в отношении Ragnar Locker завели в мае 2021 года по запросу французских властей. С того момента были также задержаны двое подозреваемых в Украине, и еще один — в Канаде.
Более 40 000 устройств Cisco IOS XE взломаны с помощью 0-day уязвимости
Cisco предупредила о критической уязвимости нулевого дня, затрагивающей корпоративное сетевое оборудование под управлением IOS XE. Она позволяет удаленному неаутентифицированному лицу создать на затронутых хостах учетную запись с высоким уровнем привилегий и получить полный контроль над устройством.
🚨🚨🚨 Whatever you were thinking about CVE-2023-20198 (#Cisco IOS EX) it's 100x worst.
— LeakIX (@leak_ix) October 17, 2023
We used @TalosSecurity IOC check and found ~30k implants.
That's 30k devices infected (routers, switches, VPNs), under the control of threat actors.
That's excluding rebooted devices. pic.twitter.com/xzsnrmTdmY
Баг представляет опасность как для физических, так и для виртуальных продуктов компании, подключенных к интернету. Пока Cisco не выпустила исправлений, единственной рекомендацией для них остается отключение функции HTTP-сервера.
Сетевое оборудование, работающее под управлением Cisco IOS XE, включает корпоративные коммутаторы, промышленные и агрегационные маршрутизаторы, точки доступа и беспроводные контроллеры.
Первые признаки потенциально вредоносной деятельности компания заметила 28 сентября. К 18 октября, по подсчетам платформы Censys, количество скомпрометированных устройств составило 41 983.
По данным Shodan, в общей сложности под угрозой находится чуть более 145 000 хостов, большинство — в США. Многие из них принадлежат поставщикам услуг связи, университетам, больницам и госучреждениям.
CERT Orange опубликовал скрипт для сканирования оборудования на наличие вредоносного импланта.
В Cisco продолжают расследование и готовят исправление для уязвимых систем.
Гражданину Молдовы грозит 20 лет за управление даркнет-маркетплейсом
31-летний гражданин Молдовы Санду Диакону экстрадирован в США, где его обвиняют в компьютерном мошенничестве и отмывании денег посредством даркнет-маркетплейса E-Root.
Домены этой площадки власти конфисковали в конце 2020 года. Диакону арестовали в Великобритании в 2021 году при попытке бегства из страны.
Маркетплейс E-Root продавал доступы более чем к 350 000 взломанным компьютерам по всему миру за криптовалюту. Минюст США собрал доказательства того, что приобретаемые на сайте данные в дальнейшем использовались для проведения атак вымогателей.
Диакону вину не признал. Ему грозит 20 лет тюрьмы, также власти намерены добиться конфискации преступных доходов.
В Нью-Йорке шестерых человек обвинили в создании нелегального биткоин-обменника
Шесть человек предстанут перед судом Южного округа Нью-Йорка по обвинению в организации нелицензированного бизнеса по переводу криптовалют на сумму $30 млн. Об этом сообщает CoinDesk.
По данным ФБР, с июля 2021 по сентябрь 2023 года фигуранты создали в даркнете обменник для конвертации цифровых активов в наличные. Их услугами пользовались в том числе продавцы наркотиков и хакеры.
В поимке предполагаемых владельцев бизнеса правоохранителям помогал конфиденциальный источник, участвовавший в 80 контролируемых изъятиях наличных на общую сумму около $15 млн.
Украинские белые хакеры уничтожили серверы вымогателя Trigona
18 октября хактивисты Украинского киберальянса в результате атаки уничтожили сайт российской группировки вымогателей Trigona.
Белые хакеры рассказали dev.ua, что обнаружили уязвимость в пространстве для командной работы Confluence. Кроме того, часть инфраструктуры Trigona работала через открытый интернет, а не через Tor.
Операция по поиску всех серверов заняла несколько дней, а на непосредственное удаление информации понадобилось 15 минут.
В качестве заглушки на главной странице сайта киберальянс разместил сообщение: «Trigona больше нет. Добро пожаловать в мир, который вы создали для других».
Trigone. The servers of the Trigona ransomware gang has been exfiltrated and wiped out by @UCA_ruhate_ Welcome to the world you created for others! pic.twitter.com/ALiud4sPQv
— herm1t (@vx_herm1t) October 17, 2023
Аренда новых серверов обойдется операторам вымогателя примерно в $2000. Однако возможность восстановления также зависит от актуальности их бэкапов.
В Альфа-банке опровергли слив клиентских данных
Пресс-служба Альфа-банка назвала фейком и вбросом сообщение о публикации в открытом доступе личной информации своих клиентов.
Ранее о потенциальном сливе писали некоторые Telegram-каналы. По их сведениям, текстовый файл на 1 млн строк якобы содержал 43 931 запись с уникальными наборами данных отдельных людей.
Тем не менее представители банка заявили, что приведенная в посте таблица скомпилирована из нескольких случайных номеров.
«Данные клиентов находятся под защитой», — подчеркнули в пресс-службе.
Также на ForkLog:
- Регуляторы ЕС предложили улучшить приватность цифрового евро.
- В США предложили приравнять биткоин-миксеры к «центрам по отмыванию денег», а эксперты дали прогноз на случай, если это произойдет.
- Россиянина обвинили в создании нелегального биткоин-обменника в Казахстане.
- Регулятор Украины расширил список ненадежных криптовалютных проектов.
- Учительница из Китая отдала мошеннику $546 000 «на покупку биткоина».
- Основателю «Финико» продлили арест до 2024 года.
- Platypus Finance вернул 90% потерянных при взломе активов.
- Fantom Foundation сообщила о взломе на «сотни тысяч долларов».
- В Garantex прокомментировали обвинения «в финансировании ХАМАС», а Binance, по сообщению СМИ, закрыла свыше сотни связанных с группировкой аккаунтов.
- Tether заморозил связанные с конфликтами в Израиле и Украине адреса.
- Клиентов TrueUSD уведомили о потенциальной компрометации данных.
- Эксперты подсчитали процент высокорисковых операций с USDT в сети Tron на OTC-рынке.
- В РФ участились случаи фишинговых атак на владельцев криптовалют.
- Хакеры задействовали для атак блокчейн BNB Chain.
Что почитать на выходных?
Немного футорологии от основателя ForkLog Анатолия Каплана.
Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!