Новий PowerShortShell скрипт

24 листопада 2021 року дослідники з SafeBreach Labs опублікували дослідження щодо нової виявленої кібер загрози можливо іранського походження, в якій задіяно експлойт Microsoft MSHTML Remote Code Execution (RCE). Зловмисники атакуюють жертв за допомогою розширюваної оболонки від Майкрософт PowerShell. ShadowChasing вперше повідомила про загрозу нового PowerShortShell на своїй сторінці в Twitter. Однак спеціалістам не вдалося одразу отримати хеш/код PowerShell Stealer, оскільки він тривалий час був недоступний у загальнодоступних репозитаріях шкідливих програм.

Дослідники кажуть, що з новим PowerShortShell могли оперувати іранські хакери

У своєму дослідженні SafeBreach Labs зробила аналіз повного ланцюга атаки, деталізувала виконання фішингових атак, які вперше почалися в липні цього року. Але найважливіше, зі слів самих дослідників, їм вдалося отримати код PowerShell Stealer, який отримав назву PowerShortShell. Скрипт був названий ними саме так через свою структуру, він містив трохи більше 150 рядків. Проте незважаючи на це, скрипт PowerShell дозволяв зловмиснику отримати доступ до широкого спектру інформації: файлів облікових записів в Телеграм, знімків екрана та оточення жертви.

«Майже половина жертв зафіксована у Сполучених Штатах. Виходячи з вмісту документа Microsoft Word, який звинувачує лідера Ірану у «короновірусній різанині» та характеру зібраних даних, ми припускаємо, що жертвами можуть бути іранці, які живуть за кордоном і можуть розглядатися як загроза ісламському режиму в Ірані», SafeBreach Labs пише у своєму дослідженні.

У своїх атаках зловмисник за допомогою PowerShortShell користався CVE-2021-40444. Це вразливість віддаленого виконання коду Microsoft Office MSHTML, яка дозволяє жодних макросів і вимагає лиш одноразового схвалення «відображення вмісту». Дослідники вважають, що атаки можуть бути пов’язані з ісламським режимом Ірану, судячи з використання методу нелегального доступу до облікового запису Telegram. Rampant Kitten, Infy і Ferocious Kitten, іранські хакерські угрупування, також використовували його. Цікаво, що в даному випадку застосовувалось досить виняткове використання експлойту, тому що більшістю все ж застосовуються трюки соціальної інженерії.

Атака пройшла у двоє етапів

Сама атака з використанням PowerShortShell складалася з двох етапів: спочатку проведення фішингу, а потім розсилання електронних листів зі шкідливими вкладеннями. Дві хвилі фішингових атак мали місце в липні 2021 року, коли хакери “виловлювали” у жертв дані для входу у їхні аккаунти Instagram та Gmail. Для цього використовували той самий сервер C2 Deltaban[.]dedyn[.]io. Зловмисники змаскували фішингову HTML-сторінку під справжнє туристичне агентство deltaban.com. Клік на який перенаправляв натомість на коротку іранську URL-адресу: https://yun[.]ir/jcccj. Ця URL-адреса виводила вікно з рядками для введення даних для входу у Гугл аккаунт [.]dedyn[.]io/Social/Google_Finish. Домен було зареєстровано у липні 2021 року.

Новий PowerShortShell скрипт і вразливість Microsoft MSHTML
Хакери замаскувалися під справжнє туристичне агенство

Зловмисники скидали таким чином викрадені облікові дані у файл out.txt, який будь-хто міг запросто переглянути у відкритому доступі. Друга фішингова кампанія зачепила Instagram. Тут облікові дані також відправлялися до того самого файлу out.txt. Усі фішингові, C2 та сервери зараження виходили з 95.217.50.126.

Новий PowerShortShell скрипт і вразливість Microsoft MSHTML
Те, що отримували жертви в одному з електронних листів

У свою чергу, експлойт-атака почалася 15 вересня 2021 року. Жертва отримувала електронний лист із документом Winword написаний фарсі. Перший документ під назвою Mozdor.docx. містив декілька зображень іранських солдатів. У другому із заголовком جنایات خامنه ای.docx (Злочини Хаменеї.docx) йшлося: «Один тиждень з Хаменеї; Скаржіться на винуватців короновірусної різанини, за яку винен і лідер». У ньому також були прикріпленні посилання на іранський новинний сайт та обліковий запис журналістки IranWire у Twitter. Файли Word підключалися до хакерського сервера, запускали шкідливий html, а потім перекидали dll (динамічно-з’єднувальна бібліотека) до каталогу %temp%. Файл Mozdor.docx містив експлойт у файлі document.xml.rels. Він виконував mshtml:http://hr[.]dedyn[.]io/image.html, а другий документ виконував mshtml:http://hr.dedyn.io/word.html. Ексфільтрація файлів Telegram здійснювалася до”https://hr.dedyn.io/upload2.aspx”. Дослідникам не вдалося знайти конкретних жертв атак, але вони оформили карту їх найбільшої кількості на основі отриманих даних. Найбільше було зареєстровано в США, Російській Федерації та Нідерландах.

Завантажувач JavaScript поширює RAT

Нещодавно в блозі HP Threat Research Blog був опублікований звіт про відкриття нового активного RATDispenser. Цей завантажувач JavaScript розповсюджує троянські програми віддаленого доступу (RAT). Він успішно уникає контролю безпеки під час вивантаження шкідливого програмного забезпечення.

Факт різноманітності сімейств шкідливих програм, які поширює цей RATs Dispenser, приводить до думки, що тут застосована бізнес-модель зловмисного програмного забезпечення як послуги. Багато з поширюваних сімейств шкідливих програм потенційні зловмисники можуть придбати або завантажити безкоштовно з підпільних ринків. І всі ці програми були RAT, які дозволяють зловмисникам отримувати контроль над пристроями жертв і викрадати інформацію. Загалом дослідники виявили вісім сімейств шкідливих програм, які розповсюджуються цим RATs Dispenser.

JavaScript і його робота

Зазвичай зловмисники використовують шкідливе програмне забезпечення JavaScript, щоб закріпитися в системі, перш ніж запустити другий склад зловмисного програмного забезпечення, яке встановлює контроль над зламаним пристроєм. У своїй доповіді дослідники в незначних деталях згадали шкідливі програми, які розповсюджує цей конкретний RATs Dispenser. Вони проаналізували ланцюжок зараження RATs Dispenser і запропонували варіант виявлення та блокування його роботи. Крім того, дослідники поділилися правилом YARA та скриптом вилучення Python для спеціалістів з захисту мережей, які мають дати можливість виявити та ззаналізувати це шкідливе програмне забезпечення.

З усіх 155 зразків шкідливого програмного забезпечення за допомогогою скрипту YARA вони знайшли наступне:

  • Серед поширюваних шкідливих програм були ідентифіковані трояни віддаленого доступу (RAT), крадії інформації та кілоггери;
  • Щодо методу зараження то 145 із 155 зразків (94%) виявилися дроперами. Лише 10 зразків були завантажувачами, які встановлюють подальший зв’язок через мережу для завантаження другого складу шкідливого програмного забезпечення;
  • Загалом було класифіковано 8 сімейств шкідливих програм.

Як уникнути зараження завантажувачем?

Ланцюжок зараження починається з електронного листа, який містить шкідливе вкладення. Наприклад, хтось отримує лист нібито з інформацією про замовлення, і щоб просто перевірити, що саме за замовлення, користувач натискає на нього. І саме тоді починається виконання файлу. Тут дослідницька група радить спеціалістам з захисту виконувати блокування вкладених файлів електронної пошти, які містять VBScript або JavaScript. Переривання виконання зловмисного програмного забезпечення можна зробити, вимкнувши Windows Script Host (WSH) або змінивши функцію розпізнавання файлів за замовчуванням для файлів JavaScript і встановити виконання криптів з цифровим підписом.

Щоб визначити, які типи шкідливого програмного забезпечення розповсюджує цей RATs Dispenser, дослідники написали спеціальну сигнатуру для його відстеження. Серед різноманітних шкідливих програм він поширює Formbook, викрадач інформації та кілоггер. Інші типи включають Remcos, STRRAT, WSHRAT, Panda Stealer, AdWind, GuLoader і Ratty. З них найчастіше спостерігалися STRRAT і WSHRAT, які були знайдені у 81% проаналізованих зразків. Найрідше спостерігалися Ratty і GuLoader.

Поширювані JavaScript шкідливі програми

Деяких зловмисних програм RATs Dispenser виконував лише завантаження, як-от Formbook і Panda Stealer, тоді як інші здебільшого скидалися. Дослідники також виокремили одні з поширюваних шкідливих програм. STRRAT — це Java RAT, який має функції віддаленого доступу, кілогер та викрадач облікових даних, якого фахівці вперше виявили ще в середині 2020 року. WSHRAT, який також носить назву Houdini, є VBS RAT, вперше виявлений у 2013 році. Обидва мають типовий функціонал RAT. Для них найцікавішим здається Panda Stealer. Це нове сімейство шкідливих програм з’явилося в квітні 2021 року і націлено на криптовалютні гаманці. GuLoader завантажує та запускає різні RAT, а Ratty — це RAT з відкритим вихідним кодом, написаний на Java.

Наприкінці дослідники додали, що, хоча JavaScript є менш поширеним форматом файлів шкідливих програм, ніж архіви та документи Microsoft Office, антивірусне програмне забезпечення погано розпізнає його. Вони проаналізували швидкість виявлення такого формату і отримали результат в 11% детекції.

Як позбутися вірусу Hi Ru?

Hi Ru — це потенційно небажана програма, яка перенаправляє пошукові запити користувача та змінює налаштування браузера. Потрапити до системи Hi Ru може разом з іншими потенційно небажаними програмами, функціонал деяких при цьому включає генерацію переглядів та трафіку на пов’язаних сторінках, комерційних сайтах. На жаль, багато розробників не чітко формулюють положення ліцензії кінцевого користувача і тому просто, без будь-яких намірів можна завантажити Hi Ru. Такий факт в основному стосується безкоштовного програмного забезпечення. Ще одним джерелом зараження можуть стати різноманітні з підозрілим наповненням сайти.

Як позбутися вірусу Hi Ru?

На сьогоднішній день потенційно небажані програми, які впливають на користувацький час онлайн і втручаються в роботу браузера досить поширені. Серед них і Hi Ru, яка існує давно і регулярно отримує оновлення. Hi Ru це також і російський сайт, який з’являється у браузері і якого важко позбутися через саму присутність програми на комп’ютері. Згідно заяв розробників цього пошукового сайту Hi Ru має високі показники трафіку, але стає очевидно, що більшість таких відвідувачів були проти їхнього бажання сюди перенаправленні.

Як тільки Hi Ru потрапляє до користувача, програма одразу починає відслідковування історії браузера, створюючи своєрідний профіль на вас, який потім дозволяє пропонувати персоналізовану рекламу таким чином. Від цього з’являються безкінечні рекламні оголошення, які генеруються масовано, щоб ви на них таки клікнули. Але не рекомендуємо цього робити.

Основні “симптоми” присутності Hi Ru

На присутність цієї програми вказують наступні “симптоми”:

  1. браузер почав перенаправляти вас на підозрілі своїм наповненням сайти;
  2. почали масово вискакувати банери з рекламою;
  3. ви помітили зміну в налаштуваннях браузера, якісь нові закладки, і на домашній сторінці у вас пошуковий сайт Hi Ru.

Якщо ви стали “щасливим” власником Hi Ru, одразу рішуче рекомендуємо припинити користування зараженим браузером. Ця пошукова система тепер не зможе надати необхідний рівень конфіденційності і безпеки. Для початку потрібно звісно ж провести повний скан системи за допомогою антивірусного програмного забезпечення. Експерти з кібербезпеки говорять, що цей вид потенційно небажаної програми часто йде в пакеті з іншими, яких видалити вручну досить таки складно. Проте ви можете спробувати виконати видалення безпосередньо Hi Ru, користуючися інструкціями поданими внизу.

А в майбутньому при завантаженні будь-якого програмного забезпечення обирайте користувацький модуль завантаження, який дає змогу вирішувати, що саме ви погоджуєтеся завантажити. І таким чином ви зможете конкретно переглянути, які програми йдуть в супутньому пакеті, опускаючи всі підозрілі. Далі ви знайдете найпоширеніші варіанти видалення Hi Ru. Уважно читайте і виконуйте все послідовно.

Як видалити Hi Ru з Віндовс?

Введіть Панель керування (Control Panel) у вікні пошуку Windows і натисніть Enter, або натисніть на результат пошуку.

Панель керування

Знайдіть розділ Керування програмами (Programs and Features).

Керування програмами

Клацніть правою кнопкою миші програму та виберіть Видалити (Uninstall).
За необхідності підтвердіть свою дію в службі захисту користувачів (User Account Control).
Дочекайтеся завершення процесу видалення та натисніть OK.

Видалити Hi Ru

Як видалити Hi Ru з браузера Mozilla Firefox (FF)?

Видаліть небезпечні розширення:

Відкрийте браузер Mozilla Firefox і натисніть Меню (три горизонтальні лінії у верхньому правому куті вікна).

Mozilla Firefox - натисніть Меню

Виберіть Додатки (Add-ons and themes). Тут виберіть підозрілий на вигляд плагін і натисніть Видалити (Remove).

виберіть підозрілий на вигляд плагін

Очистіть дані:

Натисніть три горизонтальні лінії у верхньому правому куті, щоб відкрити меню.
Виберіть Параметри (Settings).

Перейдіть до розділу Конфіденційність та безпека (Privacy and Security).

Конфіденційність та безпека

Прокрутіть униз, щоб знайти файли cookie та дані сайту. Натисніть Очистити дані (Clear Data).
Виберіть файли cookie та дані сайту, а також кешований веб-вміст і натисніть Очистити (Clear).

Натисніть Очистити дані

Скиньте налаштування Mozilla Firefox:

Якщо очищення даних браузера, як описано вище, не допомогло, спробуйте скинути налаштування Mozilla Firefox:

Відкрийте браузер Mozilla Firefox і натисніть Меню (Три горизонтальних риски в правому верхньому кутку).

Відкрийте браузер Mozilla Firefox і натисніть Меню

Перейдіть до Довідки (Help), а потім виберіть Усунення несправностей (More troubleshooting information).

Усунення несправностей

Натисніть Оновити Firefox ( Refresh Firefox). Підтвердіть свою дію, натиснувши ще раз у спливаючому вікні Оновити Firefox (Refresh Firefox).

Оновити Firefox

Як видалити Hi Ru з Google Chrome?

Для початку видаліть все в браузері, що ви особисто не встановлювали.

Видаліть шкідливі розширення з Google Chrome:

Відкрийте Google Chrome, натисніть Меню (Три вертикальні точки у верхньому правому куті) і виберіть Інші інструменти (More tools). Натисніть Розширення
(Extensions).

More tools

У відкритій вкладці ви побачите всі встановлені на браузері розширення. Видаліть всі підозрілі плагіни, які можуть бути пов’язані з небажаною програмою, натиснувши Видалити (Remove).

Видаліть всі підозрілі плагіни

Очистіть кеш і веб-дані з Chrome:

Натисніть Меню та виберіть Налаштування (Settings).

Налаштування

У розділі Конфіденційність та безпека (Privacy and Security) виберіть Очистити дані веб-перегляду (Clear browsing data).

Виберіть Історія перегляду, файли cookie та інші дані сайту, а також кешовані зображення та файли.
Натисніть Очистити дані (Clear data).

Натисніть Очистити дані

Скиньте налаштування Google Chrome:

Якщо попередні методи вам не допомогли, скиньте налаштування Google Chrome, щоб усунути всі небажані компоненти:

Натисніть Меню та виберіть Налаштування (Setting).

Налаштування

Прокрутіть вниз і знайдіть розділ Скидання налаштувань та очищення даних (Reset and clean up). Тепер натисніть Відновити налаштування до початкових за замовчуванням (Restore settings to their original defaults).
Підтвердьте Скинути налаштування (Reset setting).

Скинути налаштування

Як видалити McAfee з персонального комп’ютера?

Макафі це антивірусне програмне забезпечення, що часто йде як супутнє в пакеті з іншими програмами, що можуть бути як офіційним програмним забезпеченням, так і піратським. Корисна порада: перед тим, як завантажити будь-яку програму уважно читайте ліцензійну угоду з кінцевим користувачем (End-user license agreement). Так ви можете скасувати завантаження всіх непотрібних, шкідливих програм.

Чи варто видаляти антивірус Макафі?

Часом Макафі (але це дуже рідкісні випадки) буває вже встановлений на персональний комп’ютер чи ноутбук самим виробником, в такому випадку видалення звичайним способом неможливе. Програма не буде відображатися ні в диспетчері завдань, ні в списку встановлених програм.

Сам собою Макафі не є небезпечним, проте великої користі не принесе. Як часто буває у випадках з безкоштовним програмним забезпеченням якість роботи в даного антивіруса не на дуже високому рівні. На противагу Макафі Майкрософт Дефендер, який є в кожній Віндовс 10 показує значно вищі показники роботи, згідно програмі сертифікації антивірусного забезпечення (AV-TEST). Макафі вимикає його, якщо ви навіть не погоджували цю дію.

Крім того даний антивірус часто виконує фальшиве розпізнавання. А це може спричинити блокування чи навіть повне видалення деяких можливо важливих для вас файлів. Проте все ж залишати себе зовсім без будь-якого антивірусного забезпечення ідея не з кращих. А ще тим більше зараз в сучасному кібер просторі. Лише дуже досвідчені користувачі зможуть розпізнати, де підстерігає небезпека. Та і не все можна передбачити. Тому після видалення Макафі потурбуйтеся про новий антивірус.

Як видалити Макафі на Віндовс 10?

Для початку спробуйте перший варіант видалення, якщо позбутися Макафі не вдасться спробуєте наведений другий варіант.

Відкрийте меню “Налаштування”(“Settings”), натиснувши кнопку “Пуск” в нижньому лівому кутку екрану знизу. Знайдіть відповідну іконку, або пропишіть в пошуковому рядку Віндовс “Налаштування”.

Відкрийте меню додатків (Apps menu).

Можете використати пошуковий рядок, прописавши McAfee, щоб знайти всі відповідні програми, які можуть бути на комп’ютері.

Оберіть програму, яку ви хочете видалити і натисніть “ Видалити”(“Uninstall”). Система може видати запит на підтвердження, натисніть знову “ Видалити”(“Uninstall”).
Віндовс знову видасть запит на продовження, тому що це адміністративна функція. Після походження дій розпочнеться процес деінсталяції. Далі все просто, адже потрібно тепер лише підтвердити видалення в самій програмі, після чого розпочнеться автоматичний процес видалення.
Перший варіант можна скоротити, просто прописавши “Додати Видалити” в пошуковому рядку, і видалити програму прямо з меню налаштувань.

Як видалити Макафі за допомогою офіційного інструменту?

Виробники цього антивірусу знають про певні проблеми на які потрапляють користувачі, якщо хочуть його видалити. Тому для тих, хто хоче зробити останній привіт Макафі, але не вдається зробити це звичними способами є безкоштовний інструмент видалення цього антивірусу. Цей інструмент офіційний продукт компанії, який потім легко можна видалити.

Розпочніть завантаження файлу, підтвердіть цю дію в службі захисту користувачів (User Account Control). Натисніть “Далі” (“Next”), щоб продовжити встановлення.

Прочитайте ліцензійну угоду з кінцевим користувачем (End-user license agreement), натисніть “Далі” (“Next”). Виконайте перевірку капча, і знову натисніть “Далі” (“Next”).

Процес видалення антивірусу Макафі розпочався. Почекайте хвилини дві до завершення. Після цього ви можете видалити і сам інструмент.

Як вдало обрати антивірусне програмне забезпечення?

Після того, як ви успішно виконаєте видалення, варто одразу подумати про новий антивірус. Серед їхнього теперішнього різноманіття складно сказати, який найкращий. Проте, якщо знати за якими критеріями слід орієнтуватися, пошуки “того самого” не повинні завдати значного клопоту.

Перш за все це якість захисту. Багато шкідливих програм і т.п виробляють все нові методи для уникнення розпізнання антивірусним програмним забезпеченням, не говорячи вже про те, що окрім цього вони набувають все агресивнішого функціоналу. Тому сюди слід додати декілька пунктів, які мають отримати зелену галочку при виборі нового антивірусного забезпечення:

  • Частота оновлень такого програмного забезпечення;
  • Ефективність у виконанні захисту комп’ютера без негативного впливу на його загальну роботу;
  • Ефективність процесів розпізнавання шкідливого програмного забезпечення і т.п.

Наступне на що варто звернути увагу, це користувацький інтерфейс антивірусного програмного забезпечення. Якщо він буде надто складним є висока ймовірність, що в користуванні будуть виникати помилки. А якщо так, то всі вище перелічені пункти не несуть ніякого сенсу.

Поширення дії захисту. Тут мається на увазі різні типи файлів, всі елементи мережі, і подібне. Тобто захист має включати комп’ютер в цілості його взаємодії з іншими як програмним забезпеченням, так і фізичними елементами.

Також пам’ятайте, що в практиці повинен бути лише один антивірус на комп’ютері, адже наявність більше одного може призвести до конфлікту ( несправність або тимчасова зупинка роботи) між обома програмами, роблячи вас вразливими перед кібер середовищем.

Інтерпол провів спільну операцію проти фінансового онлайн шахрайства

На офіційному сайті Інтерполу було опубліковано подробиці нещодавньої операції за участю понад 20 країн. Вони зкоординували свої сили разом з міжнародною поліцейською організацією Інтерпол в боротьбі з Інтернет шахрайством, сфера злочинності, що невпинно зростає. Міжнародна операція була проведена в рамках пілотного проекту Інтерполу ARRP. Протокол швидкого реагування в боротьбі з фінансовим онлайн шахрайством справді показав себе досить ефективним у минулій операції HAECHI-II.

Було проведено пробну перевірку нового проекту

Операція HAECHI є другою проведеною операцією в трирічному проекті за підтримки Республіки Корея. В результаті операції місцевій національній поліції вдалося заарештувати 1003 особи та закрити 1660 справ. Крім того, об’єднані сили заблокували 2350 банківських рахунків, пов’язаних із незаконними доходами від фінансових злочинів в Інтернеті. Також Інтерпол розіслав понад 50 бюлетенів з інформацією про операцію HAECHI-II та 10 новими виявленими злочинними схемами. Загалом цілі операції включали розслідування випадків відмивання грошей, що пов’язано із незаконними азартними іграми в Інтернеті, шахрайством з інвестиціями та шахрайствами агенств знайомств.

«Результати операції HAECHI-II показують, що сплеск фінансової злочинності в Інтернеті, викликаний пандемією COVID-19, не має ознак ослаблення», «Це ще раз підкреслює важливу та унікальну роль Інтерполу у наданні допомоги країнам-членам у боротьбі зі злочинністю, яка за своєю природою не має кордонів», – сказав генеральний секретар Інтерполу Юрген Шток.

Операція HAECHI-II тривала протягом чотирьох місяців з червня по вересень 2021 року за участю Макао та Гонконгу, і в ході якої було перехоплено 27 мільйонів доларів США незаконних коштів. Інтерпол планує офіційно запустити ARRP наступного року, в той самий час вкорінюючи її в систему існуючих каналів міжнародного зв’язку. Як додав Генеральний секретар Сток у своїй заяві, що сьогодні лише завдяки такій співпраці та координації на глобальному рівні національні правоохоронні органи можуть ефективно боротися з паралельною пандемією кіберзлочинності.

Фінансове онлайн шахрайство набуває небаченого досі розмаху

Незважаючи на те, що багато хто думає про шахрайство в Інтернеті як про відносно низького рівня злочини і низьких заробітків, два найпомітніші випадки з проведеної операції доводять протилежне. В одному з випадків дуже відома колумбійська текстильна компанія була ошукана на суму понад 8 мільйонів доларів США. Шахраї використовували досить просунуту схему шахрайства, використовуючи ділову переписку електронної пошти. Вони прикинулися законними представниками компанії та подали запит на перерахування понад 16 мільйонів доларів США на два китайські банківські рахунки.

Половина грошей вже була перерахована, коли компанія виявила шахрайство і звернулася до колумбійських правоохоронних органів. Вони, у свою чергу, звернулися за допомогою до підрозділу Інтерполу щодо фінансових злочинів через своє Національне центральне бюро (NCB) у Боготі.

Іншу компанію обманули на суму понад 800 000 доларів США. Гроші вже були повністю перераховані на рахунки у Китаї. Але словенська кримінальна поліція за сприяння Інтерполу та НЦБ Інтерполу Китаю в Пекіні успішно перехопила і повернула до Словенії всю суму.

GoDaddy зазнала порушення конфіденційності даних

22 листопада 2021 року GoDaddy, американський публічний реєстратор доменів в Інтернеті та компанія, що займається веб-хостингом, повідомила про виявлення порушення конфіденційності даних, що безпосередньо впливає на керований компанією сервіс WordPress. 17 листопада 2021 року було виявлено несанкціонований доступ третьої сторони до керованого хостинг-середовища WordPress. Наразі проводиться розслідування, але працівники GoDaddy вже встановили, що з початку 6 вересня 2021 року неавторизована третя сторона використовувала вразливість для отримання доступу до різноманітної клієнтської інформації.

“Нам щиро шкода, що так сталося і ми розуміємо занепокоєння наших клієнтів. Ми, керівництво та співробітники GoDaddy, серйозно підходимо до питання захисту даних наших клієнтів і найменше хочемо їх розчарувати в цьому. Ми взяли урок з цього прикрого випадку, і вже вжили заходів для посилення нашої системи додатковими рівнями захисту», — Деметріус Комс, головний спеціаліст із інформаційної безпеки.

Після виявлення порушення компанія негайно заблокувала неавторизовану третю сторону в системі. З усіма клієнтами, до чиїх даних було отримано доступ компанія зв’язалася безпосередньо для надання конкретних деталей. Також було повідомлено відповідні правоохоронні органи та розпочато розслідування. Після виявлення несанкціонованого доступу до даних стали очевидними наступні факти і можливі рішення окремо до кожного:

  • В підгрупі операційних клієнтів був відкритий закритий ключ SSL. GoDaddy зараз ідентифікує таких клієнтів, щоб видати для них нові сертифікати;
  • Було розкрито оригінальні паролі адміністраторів WordPress, який клієнти отримували перший раз при реєстрації. Якщо ці облікові дані все ще використовуються, компанія скидає їх;
  • Було відкрито імена користувачів і паролі sFTP операційних клієнтів та бази даних. Компанія провела процес скидання також і їх;
  • У майже 1,2 мільйонів активних неопераційних клієнтів WordPress було розкрито інформацію про номери клієнтів та адреси електронних скриньок. Такий факт загрожує потенційними фішинговими атаками.

Минулого року GoDaddy стала жертвою спамерів

Минулого року GoDaddy також потрапила під увагу медіа, коли спамери використали 15 000 субдоменів компанії. Користувачі перенаправлялися на сторінки зі спам-повідомленнями, причому деякі з них видавали себе за популярні й з широкою довірою веб-сайти. Спам-кампанія змінилася в поведінці через деякий час, але все ще проводила автоматичну ідентифікацію. Початковий ланцюг реакції розпочинався електронною поштою, URL-адресу було вкорочено. Це було зроблено для того, щоб потенційні жертви не здогадалися про справжнє місце перенаправлення. Один з клієнтів Palo Alto Networks отримав сотні таких спам-листів. Ця спам-кампанія була частиною афілійованого маркетингового бізнесу. В ньому рекламодавці платять посередникам за просування своєї продукції. В основному рекламодавець платить за трафік, який буде переспрямовувати на сторінку товару. З одного боку все цілком законно, проте коли використовуюється подібний метод генерації трафіку, він створює зайвий тягар на маркетингову компанію.

Зловмисники зазвичай не виконують брутфорс довгих паролів

Дані, отримані від мережей Honeypot серверів компанії Майкрософт показали, що дуже мало брутфорс атак було спрямовано на довгі та складні паролі. Натомість зловмисники в першу чергу зосереджуються на коротких паролях. Росс Бевінгтон, дослідник кібербезпеки в Майкрософт, проаналізував дані на основі понад 25 мільйонів атак з використанням брутфорс на SSH. Це приблизно 30 днів даних у сенсорній мережі Microsoft.

« З 77% спроб зловмисники намагалися виконати брутфорс паролів, які містили від 1 до 7 символів. Брутфорс паролів, що містив більше 10 символів, зустрічався лише в 6% випадків», – повідомляє містер Бевінгтон.

Також, за його словами, лише 7% спроб брутфорсу були націлені на паролі зі спеціальним символом.

У 39% випадків паролі мали принаймні одну цифру, і не було зовсім зафіксовано атак, де паролі б містили пропуски. Росс Бевінгтон на додачу також навів статистику атак з виконанням брутфорсу. Вона показує, що на мережу серверів Honeypot (сенсорна мережа) Майкрософт було здійснено понад 14 мільярдів атак брутфорсу, а атаки на сервери Remote Desktop Protocol (RDP) включно до вересня цього року зросли втричі порівняно з 325%. Системи Docker і Kubernetes зазнали 110% атак, а брутфорс мережей друку зріс на 178%.

Стосовно статистики Бевінгтон додав, що показники SSH і VNC так само негативно високі, і не надто змінилися, беручи від минулого року. Очевидно, що довші паролі, які також складаються і зі спеціальних символів, то краще вони захищені проти атак. Проте це умовно, адже можуть бути випадки, коли паролі зливають в Інтернет, або вони вже є в брутфорс словниках хакерів. Менеджер Майкрософт порадив використовувати надійні паролі, керовану ідентифікацію та MFA, якщо ви все ж таки робите себе відкритим в Інтернеті. Тому що зловмисники, так чи інакше продовжуватимуть використовувати брутфорс до будь-якого доступного протоколу віддаленого адміністратора. За замовчуванням така функція, як RDP, вимкнута, але якщо ви вирішите її увімкнути, не робіть себе відкритим.

Що таке брутфорс?

Брутфорс є досить популярним методом зламу паролів, коли зловмисник намагається “вгадати” пароль та ім’я користувача, щоб отримати несанкціонований доступ до системи. Цей конкретний метод атаки має високий рівень успіху і становить п’ять відсотків підтверджених порушень безпеки. Деякі зловмисники все ще виконують брутфорс вручну, але в більшості випадків цю роботу виконують боти. Вони мають список справжніх або ж найбільш використовуваних паролів і виконують почерговий ввід, якщо відбувається успішний вхід в систему, то бот сповіщає зловмисника. Використовується брутфорс, між іншим для зараження сайтів шкідливим програмним забезпеченням, порушення роботи служби або крадіжка інформації. Та проте, які б не були наміри зловмисників, завжди краще перестрахуватися з довгими і складними паролями. Вони забезпечать високу надійність збереження ваших даних.

Як технологія 5G впливає на наше життя

Мережі 5G – поєднання найновіших досягнень, які дають нам можливість використання надшвидкісного з’єднання. Найбільшу мережу 5G у світі розгорнуто у Китаї, де люди отримали можливість відчути ефект 5G ще влітку 2020 року. Але після такого масового тестування знайшлося й чимало проблем. Однією з найбільш невтішних є низький діапазон покриття: стільникові оператори були змушені встановити набагато більше стільникових вишок, щоб покрити заявлений діапазон, тому сьогодні мережа 5-го покоління набагато дорожча, ніж 4G. А для більшості користувачів, яким не потрібне надшвидке з’єднання, така переплата абсолютно непотрібна. Тож, як технологія 5G впливає на наше життя?
Продовжити читання “Як технологія 5G впливає на наше життя”

У чому небезпеки безкоштовних розширень для браузера?

Розширення веб-браузерів є важливими елементами сучасного веб-перегляду. Ми можемо не помічати їх під час використання нашого Chrome або Mozilla, однак важко уявити сучасний веб-перегляд без блокування реклами, контролю файлів cookie, управління конфіденційністю тощо. Інші плагіни мають прямий вплив на інтерфейс браузера, додаючи нові функції, інтерактивні віджети або набори інструментів. Але іноді розробники розширень додають різні потенційно шкідливі елементи до своїх продуктів, що дозволяє їм заробляти гроші. У цій статті детально розглянуто небезпеки безкоштовних розширень браузера та важливість правильного вибору розширень.
Продовжити читання “У чому небезпеки безкоштовних розширень для браузера?”

Як шукати за допомогою Google: підказки та хитрощі

Google – знакова пошукова система. Ви використовуєте його щодня, а також ним користуютьсяще 4,39 мільярда людей, які підключені до Інтернету. В Google є числені функції, які можуть зробити пошук простішим та комфортнішим. Однак більше 20% користувачів не чули про пошукові хитрощі Google. У цій публікації я покажу вам, як шукати за допомогою Google і отримувати дійсно бажані результати.
Продовжити читання “Як шукати за допомогою Google: підказки та хитрощі”