неделька выдалась норм. Например, у LockBit, печально известной российской программы-вымогателя, которую, как утверждается, на этой неделе уничтожили США и Великобритания. Национальное агентство по борьбе с преступностью Великобритании захватило сайт и инфраструктуру LockBit в даркнете (похоже, что с помощью старой уязвимости в PHP) и заменило данные жертв внутренними файлами LockBit.
Несколько филиалов LockBit за пределами России были арестованы и подвергнуты санкциям, что значительно усложнило американским компаниям выплату выкупа LockBit (а также выкупов для других группировок, с которыми сотрудничают филиалы).
Но в конце недели админы LockBit (или админ, в единственном числе) опубликовали бессвязное заявление, в тоне "все в порядке", даже с намеком на месть. Сайты LockBit вернулись в сеть, очевидно, на основе резервных копий, которые правоохранительные органы пропустили.
А после того, как на этой неделе исследователи связали LockBit с "массовой эксплуатацией"нового набора "нулевых дней" в популярном инструменте удаленного доступа ConnectWise, кажется, что LockBit настроена на взлом и вымогательство еще больше.
ссылки по теме
https://www.justice.gov/opa/pr/us-and-uk-disrupt-lockbit-ransomware-variant
https://home.treasury.gov/news/press-releases/jy2114
заявление https://samples.vx-underground.org/tmp/Lockbit_Statement_2024-02-24.txt
https://www.bankinfosecurity.com/ransomware-operation-lockbit-reestablishes-dark-web-leak-site-a-24442
Несколько филиалов LockBit за пределами России были арестованы и подвергнуты санкциям, что значительно усложнило американским компаниям выплату выкупа LockBit (а также выкупов для других группировок, с которыми сотрудничают филиалы).
Но в конце недели админы LockBit (или админ, в единственном числе) опубликовали бессвязное заявление, в тоне "все в порядке", даже с намеком на месть. Сайты LockBit вернулись в сеть, очевидно, на основе резервных копий, которые правоохранительные органы пропустили.
А после того, как на этой неделе исследователи связали LockBit с "массовой эксплуатацией"нового набора "нулевых дней" в популярном инструменте удаленного доступа ConnectWise, кажется, что LockBit настроена на взлом и вымогательство еще больше.
ссылки по теме
https://www.justice.gov/opa/pr/us-and-uk-disrupt-lockbit-ransomware-variant
https://home.treasury.gov/news/press-releases/jy2114
заявление https://samples.vx-underground.org/tmp/Lockbit_Statement_2024-02-24.txt
https://www.bankinfosecurity.com/ransomware-operation-lockbit-reestablishes-dark-web-leak-site-a-24442
www.justice.gov
U.S. and U.K. Disrupt LockBit Ransomware Variant
The Department of Justice joined the United Kingdom and international law enforcement partners in London today to announce the disruption of the LockBit ransomware group, one of the most active ransomware groups in the world that has targeted over 2,000 victims…
традиционно прекрасные новости от производителей “умных камер”, где опять юзеры получили доступ к камерам других пользователей
https://arstechnica.com/gadgets/2024/02/wyze-cameras-gave-13000-people-unauthorized-views-of-strangers-homes/
https://arstechnica.com/gadgets/2024/02/wyze-cameras-gave-13000-people-unauthorized-views-of-strangers-homes/
Ars Technica
“So violated”: Wyze cameras leak footage to strangers for 2nd time in 5 months
"In some cases an Event Video was able to be viewed."
Ладно 500 млн записей про россиян. Тут 26 млрд записей про всех. Возможно, компиляция предыдущих утечек, возможно, содержит в себе что-то новое, что не всплывало раньше
https://cybernews.com/security/billions-passwords-credentials-leaked-mother-of-all-breaches/
https://cybernews.com/security/billions-passwords-credentials-leaked-mother-of-all-breaches/
Cybernews
Mother of All Breaches: a Historic Data Leak Reveals 26 Billion Records | Cybernews
The supermassive leak contains data from numerous previous breaches, comprising an astounding 12 terabytes of information, spanning over a mind-boggling 26 billion records. The leak is almost certainly the largest ever discovered.
в инторнете сбой, не работают фб и инстаграм. тем, кому они были запрещены ранее, конечно, все равно, но во всем мире производительность бьет рекорды
https://www.bleepingcomputer.com/news/technology/facebook-and-instagram-outage-logs-out-users-passwords-not-working/
https://www.bleepingcomputer.com/news/technology/facebook-and-instagram-outage-logs-out-users-passwords-not-working/
BleepingComputer
Facebook and Instagram outage logs out users, passwords not working
Facebook and Instagram users worldwide have been logged out of the sites and are having trouble logging in, receiving errors that their passwords are incorrect.
там вышли новые апдейты для iOS/iPadOS, и их лучше поставить
Apple is aware of a report that this issue may have been exploited.
https://support.apple.com/en-us/HT214081
Apple is aware of a report that this issue may have been exploited.
https://support.apple.com/en-us/HT214081
Apple Support
About the security content of iOS 17.4 and iPadOS 17.4
This document describes the security content of iOS 17.4 and iPadOS 17.4.
Объем утекших персональных данных в 2023 году составил 1,12 млрд записей, что почти на 60% выше уровня 2022-го (тогда было скомпрометировано 702 млн записей), говорится в исследовании экспертно-аналитического центра ГК InfoWatch (есть в распоряжении РБК).
«Если говорить о количестве инцидентов, то в 2023 году оно сократилось на 15% и составило 656 эпизодов. Однако это незначительное снижение с лихвой компенсировалось растущим ущербом, который организации получают от результативных утечек», — отметил руководитель направления аналитики и спецпроектов экспертно-аналитического центра ГК InfoWatch Андрей Арсентьев. По его словам, среднее количество персональных данных, слитых за один инцидент, в 2023 году увеличилось почти вдвое, с 0,9 млн до 1,7 млн записей.
https://www.rbc.ru/society/11/03/2024/65ec41e89a7947dc41bd43f9
«Если говорить о количестве инцидентов, то в 2023 году оно сократилось на 15% и составило 656 эпизодов. Однако это незначительное снижение с лихвой компенсировалось растущим ущербом, который организации получают от результативных утечек», — отметил руководитель направления аналитики и спецпроектов экспертно-аналитического центра ГК InfoWatch Андрей Арсентьев. По его словам, среднее количество персональных данных, слитых за один инцидент, в 2023 году увеличилось почти вдвое, с 0,9 млн до 1,7 млн записей.
https://www.rbc.ru/society/11/03/2024/65ec41e89a7947dc41bd43f9
РБК
Аналитики оценили рост утечек персональных данных в России
В 2023 году в Сеть было слито 1,12 млрд персональных данных, что почти на 60% выше показателя 2022-го, говорится в исследовании InfoWatch. Всего из российских компаний утекло 95 крупных баз данных
Никогда такого не было, и вот опять: уязвимость в чипах М у Apple, с возможностью получить криптографические ключи из системы.
https://gofetch.fail/
https://www.zetter-zeroday.com/apple-chips/
https://arstechnica.com/security/2024/03/hackers-can-extract-secret-encryption-keys-from-apples-mac-chips/
Инструкции Apple разработчикам приложений по снижению этих рисков
https://developer.apple.com/documentation/xcode/writing-arm64-code-for-apple-platforms?ref=zetter-zeroday.com#Enable-DIT-for-constant-time-cryptographic-operations
https://gofetch.fail/
https://www.zetter-zeroday.com/apple-chips/
https://arstechnica.com/security/2024/03/hackers-can-extract-secret-encryption-keys-from-apples-mac-chips/
Инструкции Apple разработчикам приложений по снижению этих рисков
https://developer.apple.com/documentation/xcode/writing-arm64-code-for-apple-platforms?ref=zetter-zeroday.com#Enable-DIT-for-constant-time-cryptographic-operations
gofetch.fail
GoFetch: Breaking Constant-Time Cryptographic Implementations Using Data Memory-Dependent Prefetchers
A new microarchitectural side-channel attack exploiting data memory-dependent prefetchers in Apple silicons.
Компания Fujitsu подтвердила информацию о кибератаке и взломе, заявив, что хакеры, возможно, получили доступ к персональной информации клиентов компании
https://pr.fujitsu.com/jp/news/2024/03/15-1.html?=1710777600&=7194ef805fa2d04b0f7e8c9521f97343
пресс-релиз на японском, но, я думаю, у всех современные браузеры справятся с переводом
https://pr.fujitsu.com/jp/news/2024/03/15-1.html?=1710777600&=7194ef805fa2d04b0f7e8c9521f97343
пресс-релиз на японском, но, я думаю, у всех современные браузеры справятся с переводом
富士通
個人情報を含む情報漏洩のおそれについて : 富士通
Парочка ссылок, которые прислали читатели, а я по бестолковости и занятости пропустил.
Например, восстановление отпечатка пальца по звуку касания пальцем. все, надо удалять отпечатки на пальцах
https://www.tomshardware.com/tech-industry/cyber-security/your-fingerprints-can-be-recreated-from-the-sounds-made-when-you-swipe-on-a-touchscreen-researchers-new-side-channel-attack-can-reproduce-partial-fingerprints-to-enable-attacks
Или вот китайские хакеры контролировали критические объекты IT инфраструктуры Казахстана
https://cert.kz/news/chinese-hacker-group-controlled-critical-it-infrastructure-facilities-in-kazakhstan/
Например, восстановление отпечатка пальца по звуку касания пальцем. все, надо удалять отпечатки на пальцах
https://www.tomshardware.com/tech-industry/cyber-security/your-fingerprints-can-be-recreated-from-the-sounds-made-when-you-swipe-on-a-touchscreen-researchers-new-side-channel-attack-can-reproduce-partial-fingerprints-to-enable-attacks
Или вот китайские хакеры контролировали критические объекты IT инфраструктуры Казахстана
https://cert.kz/news/chinese-hacker-group-controlled-critical-it-infrastructure-facilities-in-kazakhstan/
Tom's Hardware
Your fingerprints can be recreated from the sounds made when you swipe on a touchscreen — Chinese and US researchers show new side…
Researchers claim they can successfully attack up to 27.9% of partial fingerprints.
ну и напоследок — В недавнем исследовании, авторы создали первый вредоносный ИИ-червь, способный самостоятельно плодиться в среде с AI-агентами. Добро пожаловать в AGI world и вот вам новый вид кибератак 😵
Forwarded from Dealer.AI
Червячок Джимм Morris II 🪱 - твой личный AI-вирус. И дело даже не в показе Dune II.
Создан первый GenAI вирус 👾.
В недавнем исследовании, авторы создали первый вредоносный ИИ-червь, способный самостоятельно плодиться в среде с AI-агентами. Добро пожаловать в AGI world и вот вам новый вид кибератак😵
Чтобы продемонстрировать возможности червя, исследователи создали почтовую RAG (!!!) систему, которая может отправлять и получать сообщения подключаясь к апи ChatGPT, Gemini и LLaVA. Специалисты обнаружили два способа эксплуатации системы: с использованием текстового самовоспроизводящегося запроса и встраивая самовоспроизводящийся запрос в изображение.
При этом, дядя не шарит в безе, поэтому опишет, как он понимает механизмы атак и нафига тут RAG в системе 🕵♂.
RAG тут ИМХО необходим для того, чтобы использовать некую стартовую базу атак на представленный контекст, а также, чтобы хранить инфо о сообщениях с уже атакованных хостов в локальной (глобальной?) памяти системы. Те RAG тут про память в системе агентов и поиск по БД зловреда. Плюс, ходя вот так по хостам юзеров системы, можно подобные уже увиденные форматы личных/корп. данных прихранивать в памяти червя и юзать их для более эффективного поиска подобных записей/сообщений на основе RAG запросов. Мол вот найди LLM-агент из того, что ты сейчас "видишь" подобные форматы из подсказки (базы атак/уже атакованных сабжей) RAGа. Нашел? Прихрани в памяти агента, передай на сервак зловреда, сделай в сабж опасную инъекцию и пусти дальше по сети сабж к другим юзерам 🤯
Исследователи подчеркивают, что Gen.AI черви станут новым вызовом перед службами безопасности технологических компаний и разработчиков стартапов.
Поэтому крепитесь 🦾 И будьте готовы.
Создан первый GenAI вирус 👾.
В недавнем исследовании, авторы создали первый вредоносный ИИ-червь, способный самостоятельно плодиться в среде с AI-агентами. Добро пожаловать в AGI world и вот вам новый вид кибератак
Чтобы продемонстрировать возможности червя, исследователи создали почтовую RAG (!!!) систему, которая может отправлять и получать сообщения подключаясь к апи ChatGPT, Gemini и LLaVA. Специалисты обнаружили два способа эксплуатации системы: с использованием текстового самовоспроизводящегося запроса и встраивая самовоспроизводящийся запрос в изображение.
При этом, дядя не шарит в безе, поэтому опишет, как он понимает механизмы атак и нафига тут RAG в системе 🕵♂.
RAG тут ИМХО необходим для того, чтобы использовать некую стартовую базу атак на представленный контекст, а также, чтобы хранить инфо о сообщениях с уже атакованных хостов в локальной (глобальной?) памяти системы. Те RAG тут про память в системе агентов и поиск по БД зловреда. Плюс, ходя вот так по хостам юзеров системы, можно подобные уже увиденные форматы личных/корп. данных прихранивать в памяти червя и юзать их для более эффективного поиска подобных записей/сообщений на основе RAG запросов. Мол вот найди LLM-агент из того, что ты сейчас "видишь" подобные форматы из подсказки (базы атак/уже атакованных сабжей) RAGа. Нашел? Прихрани в памяти агента, передай на сервак зловреда, сделай в сабж опасную инъекцию и пусти дальше по сети сабж к другим юзерам 🤯
Исследователи подчеркивают, что Gen.AI черви станут новым вызовом перед службами безопасности технологических компаний и разработчиков стартапов.
Поэтому крепитесь 🦾 И будьте готовы.
Please open Telegram to view this post
VIEW IN TELEGRAM
arXiv.org
Here Comes The AI Worm: Unleashing Zero-click Worms that Target...
In the past year, numerous companies have incorporated Generative AI (GenAI) capabilities into new and existing applications, forming interconnected Generative AI (GenAI) ecosystems consisting of...
Судебное решение, в рамках которого Google согласилась удалить миллиарды записей, полученных от пользователей Google Chrome в режиме Incognito. Специально для тех, кто думает, что этот режим от чего-то там защищает - а вот и нет, потому что Google прекрасно продолжала собирать инфу со сторонних сайтов, даже когда наивные пользователи думали, что их никто не видит ;)
https://www.documentcloud.org/documents/24527732-brown-v-google-llc-settlement-agreement
https://www.documentcloud.org/documents/24527732-brown-v-google-llc-settlement-agreement
www.documentcloud.org
Brown v. Google LLC Settlement Agreement
Microsoft оставила публично видимым один из внутренних серверов разработки Bing - с кодом, скриптами, ключами, паролями и прочим. Забавно, что после информирования об этой лаже, у Microsoft заняло целый месяц отреагировать и спрятать этот сервер. Кто к нему имел доступ, кроме исследователей, которые его обнаружили - неизвестно.
https://techcrunch.com/2024/04/09/microsoft-employees-exposed-internal-passwords-security-lapse/
https://techcrunch.com/2024/04/09/microsoft-employees-exposed-internal-passwords-security-lapse/
TechCrunch
Microsoft employees exposed internal passwords in security lapse
Microsoft has resolved a security lapse that exposed internal company files and credentials to the open internet.
Компания Apple разослала пользователям iPhone в 92 странах мира уведомление о том, что они могли стать жертвами атак шпионских программ.
“Apple detected that you are being targeted by a mercenary spyware attack that is trying to remotely compromise the iPhone associated with your Apple ID -xxx-. This attack is likely targeting you specifically because of who you are or what you do. Although it’s never possible to achieve absolute certainty when detecting such attacks, Apple has high confidence in this warning — please take it seriously.”
Детали о злоумышленниках не разглашаются. Также нет списка стран, пользователям которых пришли такие сообщения от компании. Еще все отметили, что раньше в документе Apple указывала, что речь идет об атаках хакеров, «спонсируемых государством» (“state-sponsored”).
https://web.archive.org/web/20240101053644/https://support.apple.com/en-in/102174
Теперь же текст поменялся на “mercenary spyware attacks” — то есть некие наемники, которых, видимо, может нанимать кто угодно.
“Mercenary spyware attacks, such as those using Pegasus from the NSO Group, are exceptionally rare and vastly more sophisticated than regular cybercriminal activity or consumer malware.”
https://techcrunch.com/2024/04/10/apple-warning-mercenary-spyware-attacks/
документ Apple об уведомлениях о подобных угрозах
https://support.apple.com/en-in/102174
“Apple detected that you are being targeted by a mercenary spyware attack that is trying to remotely compromise the iPhone associated with your Apple ID -xxx-. This attack is likely targeting you specifically because of who you are or what you do. Although it’s never possible to achieve absolute certainty when detecting such attacks, Apple has high confidence in this warning — please take it seriously.”
Детали о злоумышленниках не разглашаются. Также нет списка стран, пользователям которых пришли такие сообщения от компании. Еще все отметили, что раньше в документе Apple указывала, что речь идет об атаках хакеров, «спонсируемых государством» (“state-sponsored”).
https://web.archive.org/web/20240101053644/https://support.apple.com/en-in/102174
Теперь же текст поменялся на “mercenary spyware attacks” — то есть некие наемники, которых, видимо, может нанимать кто угодно.
“Mercenary spyware attacks, such as those using Pegasus from the NSO Group, are exceptionally rare and vastly more sophisticated than regular cybercriminal activity or consumer malware.”
https://techcrunch.com/2024/04/10/apple-warning-mercenary-spyware-attacks/
документ Apple об уведомлениях о подобных угрозах
https://support.apple.com/en-in/102174
Apple Support
About Apple threat notifications - Apple Support (IN)
Apple threat notifications are designed to inform and assist users who may have been targeted by state-sponsored attackers.
CISA приняла необычное решение обнародовать новости о нарушении безопасности в компании Sisense, фирме по аналитике данных, чьи продукты позволяют компаниям отслеживать состояние нескольких сторонних сервисов. Это, разумеется, зависит от уникальных учетных данных каждого клиента для поддержания соединений в активном состоянии. CISA также попросила всех клиентов сбросить и изменить любые учетные данные или секреты, хранящиеся у Sisense. Источники сообщают, что злоумышленники могли получить доступ к данным хранения S3 компании для "вывода за пределы" несколько терабайт данных клиентов Sisense, включая токены доступа, пароли и SSL-сертификаты. Sisense используется авиакомпаниями, телекоммуникационными компаниями и другими — поэтому CISA подняла тревогу (и потому что Sisense еще не стала публичной).
https://www.cisa.gov/news-events/alerts/2024/04/11/compromise-sisense-customer-data
https://www.cisa.gov/news-events/alerts/2024/04/11/compromise-sisense-customer-data
Palo Alto Networks на этой неделе опубликовала информацию о новой уязвимости нулевого дня, которая активно эксплуатируется в файрволле, используемом корпорациями по всему миру. Компания Volexity представила основные результаты исследования: уязвимость максимальной степени серьезности 10.0, отслеживаемая как CVE-2024-3400, которая может быть использована без аутентификации, что означает, что для взлома сети жертвы не требуются пароли. Эксплуатация уязвимости началась по меньшей мере с 26 марта, согласно исследователям из Volexity, которые указывают на UTA0218 как на "государственного спонсора угроз," но пока неизвестно, какое именно государство. Ожидается, что исправления будут выпущены 14 апреля — то есть сегодня!
https://security.paloaltonetworks.com/CVE-2024-3400
https://security.paloaltonetworks.com/CVE-2024-3400
Palo Alto Networks Product Security Assurance
CVE-2024-3400 PAN-OS: Arbitrary File Creation Leads to OS Command Injection Vulnerability in GlobalProtect
A command injection as a result of arbitrary file creation vulnerability in the GlobalProtect feature of Palo Alto Networks PAN-OS software for specific PAN-OS versions and distinct feature configurat...
ну и мое любимое про “умные телевизоры”. в этот раз LG с webOS, и уязвимости, которые позволяют получить контроль над телевизорами, если не установить выпущенные апдейты.
https://arstechnica.com/security/2024/04/patches-released-for-as-many-as-91000-hackable-lg-tvs-exposed-to-the-internet/
https://arstechnica.com/security/2024/04/patches-released-for-as-many-as-91000-hackable-lg-tvs-exposed-to-the-internet/
Ars Technica
Thousands of LG TVs are vulnerable to takeover—here’s how to ensure yours isn’t one
LG patches four vulnerabilities that allow malicious hackers to commandeer TVs.
похоже, что в США собрались полностью забанить ПО ЛК. Не ТикТок, конечно, но тоже ничего
https://edition.cnn.com/2024/04/09/politics/biden-administration-americans-russian-software/index.html
https://edition.cnn.com/2024/04/09/politics/biden-administration-americans-russian-software/index.html
CNN
Biden administration preparing to prevent Americans from using Russian-made software over national security concern
The Biden administration is preparing to take the unusual step of issuing an order that would prevent US companies and citizens from using software made by a major Russian cybersecurity firm because of national security concerns, five US officials familiar…