Security Week 12: игры в карты, зловред с ручным приводом и здоровый подход к утечкам

в 21:36, , рубрики: bruteforce, sha-1, Блог компании «Лаборатория Касперского», информационная безопасность, кража данных, утечка данных, черви

Новость
Security Week 12: игры в карты, зловред с ручным приводом и здоровый подход к утечкам - 1Банкам и правоохранительным органам придется поднапрячься: известные торговцы крадеными данными кредиток JokerStash выставили на продажу реквизиты богатеньких клиентов элитных магазинов Saks Fifth Avenue и Lord & Taylor Stores — то есть американцев и гостей Штатов, для которых норма тратиться по-крупному. И снимать деньги за рубежом, конечно. Не так-то просто вычленить среди всех этих операций темные делишки мошенников.

К тому же дельцы из JokerStash, как это у них заведено, выкладывают товар небольшими порциями, чтобы не заблочили все разом. А значит, хайп по утечке утихнет, а они еще и половины не продадут. Для сравнения: в декабре они увели данные 7 млн карт, и до сих пор выложили только четверть. Из новой партии пока продается 125 тыс. кредиток, а всего украли 5 млн.

Ручная работа

Новость

Исследователи безопасности обнаружили новый зловред для Linux-систем. Название GoScanSSH, судя по всему, придумывал акын, по принципу «что вижу — о том пою»: вредонос написан на языке Go, сканирует сеть, заражает устройства через порт SSH. Если бы он что-то делал, то там дальше было бы написано «spy» или «wiper», но дело в том, что он… пока ничего больше не делает. Для каких целей злоумышленники намерены использовать собранную с его помощью сеть, еще неясно, но одно можно сказать точно: дотошности и трудолюбия им не занимать.

Начать с того, что при сканировании сети зловред тщательно проверяет, не наткнулся ли он на серверы, принадлежащие военной или правительственной организации. Если есть хоть малейшие сомнения, атака немедленно прекращается. Затем он проводит брутфорс, перебирая более 7000 часто используемых комбинаций логинов и паролей. Если подобрать удается, он проникает в систему и отправляет на командный сервер сведения о ее параметрах.

После этого стоящие за атакой хакеры вручную конфигурируют новую версию своего детища, каждый раз исходя из особенностей найденного сервера или устройства, и вручную же ее загружают. Пока эксперты нашли 70 вариаций, и это явно не предел.

Зачем нужна такая тщательная подготовка, пока не понятно. Вряд ли для майнинга: специфика брутфорса дает понять, что новый зловред рассчитан не только на серверы, но и на IoT-устройства, с которых добывать криптовалюту несподручно. Может быть, для DDoS-атак? В общем, интрига нарастает. Очевидно, узнавать это придется на своей шкуре.

MyFitnessPal — теряются не только калории

Новость

Другие умельцы атаковали приверженцев ЗОЖ. Из бесплатного счетчика калорий MyFitnessPal утекли данные 150 млн аккаунтов. Правда, по заверениям владельца приложения — компании Under Armour, как раз кредитки злоумышленники не трогали, украли только логины и пароли.

К утечке привел бардак с шифрованием учетных данных. Наряду с более надежным алгоритмом Bcrypt, компания все еще использовала для некоторых записей старенький слабенький SHA-1.

К чести Under Armour, они оперативно отреагировали на утечку: через четыре дня после ее обнаружения клиентов уже оповестили, причем для надежности и через приложение, и через имейл. Так что чего бы ни хотели злоумышленники, они уже не заставят чужие калории работать на себя.

Древности

Devil-941
Security Week 12: игры в карты, зловред с ручным приводом и здоровый подход к утечкам - 2
Резидентный очень опасный вирус. Стандартно поражает.СОМ-файлы: в текущем каталоге (при активизации) и при их запуске (из своей TSR-копии). Периодически изменяет цвет некоторых знаков на экране. В зависимости от своих счетчиков расшифровывает и выводит на экран текст: «Have you ever danced with the devil under the weak light of the moon? Pray for your disk!». Содержит строки: «Drk», «*.com». Перехватывает int 9, 21h.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

Автор: Kaspersky_Lab

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js