Стефанія А., автор у Блог Грідінсофт

Інструмент для розшифровки програм-вимагачів Diavol

Увага всім! Прийшли хороші новини. Кожен користувач, який став жертвою програм-вимагачів Diavol, тепер може відновити свої файли за допомогою безкоштовного інструменту дешифрування.

Як користуватися безкоштовним інструментом розшифровки?

Перед використанням засобу розглянемо наступне. Це важливо для успішного використання рішення для дешифрування. Обов’язково помістіть зловмисне програмне забезпечення в карантин, щоб воно не поверталося, коли ви закінчите відновлення своїх файлів.

Експерти з кібербезпеки також радять, якщо вашу систему було зламано через функцію віддаленого робочого столу Windows, вам слід негайно змінити паролі всіх користувачів, які мають доступ, і перевірити облікові записи локальних користувачів, до яких зловмисники могли додати додаткові облікові записи.

Інструмент для розшифровки програм-вимагачів Diavol — Коли користувач стає жертвою цієї програми-вимагача

Порада також була б не змінювати назви файлів оригінальних і зашифрованих файлів. Дешифратор виконає порівняння імен файлів, щоб вибрати правильне розширення файлу, яке використовувалося для шифрування.

Інструмент дешифрування попросить вас надати доступ до пари файлів, яка має складатися з одного зашифрованого файлу та оригінального, незашифрованої версії зашифрованого файлу. Це потрібно для відновлення ключів шифрування, щоб розшифрувати решту ваших даних. Розмір файлу має бути близько 20 Кб або більше.

Щоб прочитати інструкцію щодо використання інструменту дешифрування, перейдіть за посиланням.

Що таке програмне забезпечення-вимагач Diavol?

Вперше виявленене фахівцями з кібербезпеки в липні 2021 року, це сімейство програм-вимагачів показало, що воно має функцію подвійного вимагання. Це означає, що це зловмисне програмне забезпечення не тільки шифрує файли, але й, як стверджують його творці, може вилучати дані.

Wizard Spider, група кіберзлочинів, яка стоїть за сім’єю програм-вимагачів Конті та Рюка, а також керує ботнетом Trickbot, також керує програмним забезпеченням-вимагачем Diavol.

Це сімейство програм-вимагачів використовує шифрування RSA і спеціально зосереджено на типах файлів, перерахованих операторами. Зловмисне програмне забезпечення позначає кожен файл із розширенням «.lock64», згодом скидаючи записку про викуп з інструкціями.

Програма-вимагач генерує для кожного комп’ютера жертви унікальний ідентифікатор, а потім намагається підключитися до жорстко закодованого сервера командування та керування (C&C).

Згідно з розслідуванням ФБР, вимоги викупу Diavol сягають 500 000 доларів, найнижча сума – 10 000 доларів.

Група TrickBot керує програмним забезпеченням-вимагачем Diavol

Слово «Діавол» походить з румунської і означає диявол. Дослідники кібербезпеки побачили, що на початку червня 2021 року програмне забезпечення Conti разом з Diavol було розгорнуто в мережі під час однієї і тієї ж атаки.

Дослідники проаналізували два зразки програм-вимагачів. Знайдені подібності між усіма включали майже ідентичні параметри командного рядка для однакової функціональності та використання асинхронних операцій введення-виводу для черги шифрування файлів. Але не було достатньо доказів, щоб формально зв’язати дві операції.

Через кілька місяців дослідники з IBM X-Force також виявили зв’язок між TrickBot, Anchor та програмним забезпеченням-вимагачем Diavol. Всі вони є продуктами, розробленими TrickBot Gang, відомим як Wizard Spider.

У січні 2022 року ФБР офіційно оголосило, що програма-вимагач Diavol має прямий зв’язок із бандою TrickBot, яка поширює нові консультативні індикатори компромісу, які спостерігалися під час попередніх атак. Крім того, ФБР не підтвердили заяви кіберзлочинців щодо витоку даних про жертви, незважаючи на повідомлення про вимагання, які погрожують це зробити.

Аналіз програм-вимагачів Diavol

Під час виконання на зламаній машині програма-вимагач вилучає код із розділу ресурсу PE зображень. Потім він завантажує код з буфера з дозволами на виконання.
Витягнутий код складається з 14 різних процедур, які виконуються в такому порядку:

Створює ідентифікатор жертви;

Ініціалізує конфігурацію;

Змінює шпалери робочого столу;

Проводить шифрування;

Запобігає відновленню шляхом видалення тіньових копій;

Знаходить файли для шифрування;

Знаходить усі диски для шифрування;

Ініціалізує ключ шифрування;

Зупиняє послуги та процеси;

Реєструється на сервері C&C та оновлює конфігурацію.

Коли все буде акуратно зроблено, програма-вимагач Diavol змінює фон кожного зашифрованого пристрою Windows на чорні шпалери з наступним повідомленням: «Усі ваші файли зашифровано! Додаткову інформацію див. у README-FOR-DECRYPT.txt».

У програмі-вимагачі Diavol немає жодних обфускацій, оскільки вона не використовує жодних трюків проти розбирання чи упаковки. Хоча це ускладнює аналіз, коли програма зберігає основні підпрограми в растрових зображеннях.

Говорячи про процедуру шифрування, програма-вимагач використовує асинхронні виклики процедур (APC) в режимі користувача з асиметричним алгоритмом шифрування.

Це те, що відрізняє це сімейство програм-вимагачів від інших, оскільки інші сімейства програм-вимагачів використовують симетричні алгоритми, що значно прискорює процес шифрування.

Вітайте на сцені LokiLocker!

Дослідники з BlackBerry повідомляють про нове виявлене сімейство програм-вимагачів. LokiLocker RaaS нещодавно з’явився на сцені, і, як кажуть експерти з кібербезпеки, він не даремно носить ім’я скандинавського бога. У розгорнутій статті дослідники детально розглянули код LokiLocker, пояснили, як працює програма-вимагач, а також додали короткий абзац з порадами про те, як користувачі можуть уникнути зловмисного програмного забезпечення.

То хто такий Локі?

Якщо говорити про скандинавську міфологію, то з усіх богів, Локі, бог-трикстер, може бути найцікавішим. Згідно з Brittanica, це божество могло змінювати форму та стать, маючи на меті лише хаос. У скандинавській міфології Локі зображується таким, що завжди має якусь хитрість задуману. Те ж саме можна сказати і про сімейство одноіменних програм-вимагачів.

Вітайте LokiLocker на сцені! — Скандинавський бог-трікстер Локі

Вперше дослідники виявили зловмисне програмне забезпечення в середині серпня 2021 року. Команда попереджає користувачів, не плутати це сімейство програм-вимагачів з LokiBot (викрадачем інформації) і зі старшим сімейством програм-вимагачів Locky, яке було в основному відоме в 2016 році. Хоча дослідники додають, що LokiLocker має певну схожість з програмою-вимагачем LockBit (наприклад, ім’я файлу нотатки про викуп, значення реєстру), але все одно не можна точно сказати, що перший є прямим нащадком останнього.

Що там сховано у рукавах трюкарів-вимагачів?

Нове сімейство програм-вимагачів націлено на англомовних користувачів, які працюють на ОС Windows. Зловмисники написали зловмисне програмне забезпечення в .NET і захистили його за допомогою NETGuard (модифікованого ConfuserEX), додатково користуючись допомогою плагіна віртуалізації під назвою KoiVM. Колись плагін був ліцензованим комерційним захисником для додатків написаних в .NET, але в 2018 році його код став відкритим (в спільноті говорять, що його було злито), і тепер він доступний на GitHub. Koi, здається, є досить популярним застосуванням серед інструментів злому, але дослідники визнають, що вони не бачили, щоб багато шкідливого програмного забезпечення використовувало його.

У найперших спостережуваних зразках троянізовані інструменти для злому, такі як PayPal BruteChecker, FPSN Checker від Angeal (Cracked by MR_Liosion), використовувалися як розповсюджувачі програм-вимагачів. Для тих, хто не знає, брут-чекери — це інструменти, якими користуються хакери, коли їм потрібно “перевірити” викрадені облікові записи та отримати доступ до інших облікових записів. Такий прийом називається перебивання облікових даних. Дослідники припускають, що причиною того, що спочатку ці хакерські інструменти розповсюджували шкідливе програмне забезпечення, можливо полягає в тому, що хакери проводили своєрідне бета-тестування перед тим, як вийти на широкий ринок.

Тепер зловмисне програмне забезпечення працює як схема з обмеженим доступом, яка залучає досить невелику кількість ретельно перевірених афіліятів. Для кожного партнера призначається ім’я користувача та унікальний номер чату. Наразі команда Blackberry нарахувала близько 30 різних афіліятів LokiLocker.

LokiLocker працює в звичайний як для програм-вимагачів спосіб. Він шифрує файли жертви на локальних дисках і мережевих ресурсах, а потім просить жертву сплатити викуп. У разі отримання відмови від виплати вимаганих грошей зловмисне програмне забезпечення знищує зашифровані файли і переводить систему в повністю непридатний стан.

Зловмисники використовують стандартну комбінацію AES для шифрування файлів і RSA для захисту ключа. Спілкування відбувається за допомогою електронної пошти, де злочинці дають інструкції щодо сплати викупу. Якщо викуп не проходить, програма-вимагач видаляє всі несистемні файли та перезаписує MBR.

Хто стоїть за LokiLocker?

Здається, що LokiLocker не націлений на певну географію, але дослідники відзначають, що найбільша кількість жертв була зі Східної Європи та Азії. При аналізі коду з’ясувалося, що з усіх країн Іран був виключений з цілей. Але заковика в тому, що ця частина коду не працює.

Коли хакери створюють такий нецільовий список в коді, то це зазвичай країни, які вони особисто не хочуть включати, або ті, які лояльні до їхньої незаконної діяльності.

Дослідники вважають, що Іран міг потрапити в такий нефункціональний нецільовий список кодів в якості намагання хакерами приховати справжнє походження програми-вимагача. Але чим далі в ліс, тим більше дрів.

Дослідники нарахували щонайменше три унікальних імен користувачів, які використовувалися афіліятами LokiLocker, і це ті, які можна знайти на іранських хакерських каналах. Хоча можливість також говорить, що це, можливо, було зроблено лише для того, щоб перекласти провину на іранських хакерів, а не на реальних виконавців.

Проте може бути, що це справді іранські хакери, що стоять за програмним забезпеченням-вимагачем, оскільки деякі з інструментів для злому, які використовувалися для розповсюдження перших зразків , дослідники припускають, були розроблені іранською командою хакерів під назвою AccountCrack.

Не можна з певністю сказати, хто грає в карти чи китайські чи російські хакери, але також було помічено, що всі вбудовані рядки налагодження написані англійською мовою і в основному без мовних та орфографічних помилок. Дослідницька група каже, що це не звичайна норма для програм із згаданих країн.

Які будуть висновки?

Новоз’явленні програми вимагачі пройшли досить розгорнутий аналіз, і команда зробила певні висновки.

Перш за все, дослідники Blackberrie роблять припущення, що використання KoiVM як захисника віртуалізації для додатків .NET може стати тенденцією до створення шкідливих програм. Хоча це досить незвичайний метод для ускладнення аналізу.

По-друге, бути впевненим у походженні програми-вимагача не можна. Деякі деталі натякають на іранське авторство LokiLocker, але все ж у нас є нецільовий список з Іраном, хоча ця частина коду і не працює.

І по-третє, з новою кіберзагрозою на сцені, краще записати кілька порад від людей, які знають. Дослідники Blackberry люб’язно надали їх нам. Хоча в наші дні люди повинні знати ці поради, як-от «Коли холодно, потрібно тримати своє тіло в теплі». Очевидна річ, резервне копіювання і ще раз резервне копіювання. Створіть резервну копію вашої будь-якої важливої інформації. Більше того, тримайте пристрій відключеним (бажано) і в автономному режимі.

І не забувайте про загальні правила кібергігієни. Часто ми отримуємо проблеми зі здоров’ям від просто немитих рук перед обідом.

Немає безкоштовного інструменту для розшифровки файлів, зашифрованих LokiLocker. Якщо ваші файли було зашифровано програмним забезпеченням-вимагачем, повідомте про це місцеві органи поліції.

Не платіть викуп. Ви не тільки таким чином підтримуєте злочинну екосистему, і крім того немає гарантій, що ви отримаєте свої файли назад, або програмне забезпечення-вимагач не повернеться знову, оскільки ймовірно, що зловмисники встановили бекдор у вашому пристрої для легкого доступу в майбутньому.

Було знайдено Electron Bot в офіційному магазині Microsoft

Дослідники з Check Point Research (CPR) повідомляють про новий виявлений тип зловмисного програмного забезпечення, що поширюється через офіційний магазин Microsoft. Нова загроза здатна брати під контроль облікові записи соціальних мереж у SoundCloud, Google і Facebook.

Дослідники повідомляють, що шкідливе програмне забезпечення вже заразило понад 5000 активних пристроїв у всьому світі. Воно виявляє здатність реєструвати нові облікові записи, входити в акаунти, коментувати і навіть лайкати інші публікації. Зловмисники маскувалися під такі популярні ігри, як «Subway Surfer» і «Temple Run», для розповсюдження шкідливого програмного забезпечення.

Згодом зловмисники зможуть використовувати його як бекдор, щоб потім отримати повний контроль над пристроєм жертви. Більшість жертв шкідливого програмного забезпечення Electron Bot були зі Швеції, Бермудських островів, Іспанії, Болгарії та Росії.

Що таке Electron Bot?

CPR вже повідомив компанію Microsoft про знайдене зловмисне програмне забезпечення та всіх виявлених видавців ігор, які стоять за кампанією. Своє ім’я шкідливе програмне забезпечення отримало від останньої зафіксованої дослідниками його активності C&CdomainElectron-Bot[.]s3[.]eu-central-1[.]amazonaws.com. Шкідливе програмне забезпечення, яке є модульним SEO, використовувалося для шахрайства з кліками та просуванням в соціальних мережах.

Було знайдено Electron Bot в офіційному магазині Microsoft — Ланцюжок зараження шкідливим ПЗ

Зловмисники розпочали свою зловмисну діяльність як кампанію кліків реклами наприкінці 2018 року. У той час зловмисне програмне забезпечення ховалося за програмою під назвою «Альбом від Google Photos» в Microsoft Store, яка видавала себе за легальний продукт Google LLC. Протягом багатьох років зловмисне програмне забезпечення отримувало значні оновлення, зокрема нові функції та методи. Сьогодні хакери в основному поширюють його через платформу Microsoft Store, створюючи десятки заражених додатків (які в більшості випадків є іграми). Зловмисники також не забувають регулярно оновлювати шкідливе програмне забезпечення.

Electron Bot використовує фреймворк Electron, який імітує поведінку користувача під час перегляду веб-сайтів і має функцію оминання захисту веб-сайтів. Electron — це фреймворк, розроблений для створення кросплатформних настільних додатків, які використовують веб-скрипти. Він поєднує час виконання Node.js і механізм візуалізації Chromium, що уможливлює функціонал браузера, який керується сценаріями, наприклад JavaScript.

Можливості Electron Bot

Щоб уникнути виявлення, зловмисники динамічно завантажують шкідливе програмне забезпечення під час виконання зі своїх серверів. Такі дії дозволяють їм у будь-який момент змінити поведінку ботів і змінити зловмисне навантаження програмного забезпечення. Дослідники описали наступний “функціонал” Electron Bot:

Він просуває онлайн-продукти, приносячи прибутки за допомогою кліків по рекламі або збільшенням рейтингу магазину, в свою чергу збільшуючи його продажі;

Він просуває облікові записи в соціальних мережах, наприклад SoundCloud і YouTube, спрямовуючи трафік на певний контент і таким чином збільшуючи перегляди та кількість кліків по оголошеннях для отримання прибутку;

Це також рекламний клікер, комп’ютерний вірус, який працює у фоновому режимі, постійно підключаючись до віддалених веб-сайтів і таким чином створюючи кліки для реклами. Зловмисники отримають прибуток залежно від того, скільки разів було натиснуто оголошення;

Чорне SEO, зловмисницький метод, коли хакери, використовуючи тактику пошукової оптимізації, створюють шкідливі веб-сайти, які потім відображатимуться першими в результатах пошуку. Зловмисники також використовують цей метод як сервіс для просування рейтингу інших веб-сайтів.

Як Electron Bot заражає своїх жертв?

Дослідники описують ланцюжок зараження зловмисним ПЗ як звичайний для такого типу шкідливого ПЗ. Він починається з встановлення зараженої програми, яку користувач завантажує з Microsoft Store.

Коли користувач запускає гру, дроппер JavaScript динамічно завантажується у фоновому режимі із сервера зловмисників. Після цього виконується кілька дій, серед яких завантаження та встановлення зловмисного програмного забезпечення та його збереження в папці запуску.

Коли справа доходить до безпосередньої роботи шкідливого програмного забезпечення, при наступному запуску системи воно запускається. Шкідливе програмне забезпечення також встановлює з’єднання з C&C і згодом отримує динамічне шкідливе навантаження JavaScript з набором функцій можливостей. У самому кінці налаштування шкідливого процесу C&C надсилає файл конфігурації, що містить команди для виконання.

Як уникнути зараження шкідливим ПЗ?

Дослідники відзначають, що наразі зловмисне програмне забезпечення не бере участі у високоризикованій діяльності на заражених машинах, але було б не зайве знати, як взагалі уникнути зараження. Electron Bot також може використовуватися хакерами в якості дропера для RAT або навіть програми-вимагача. Крім того, він виконує експлуатацію всіх ресурсів комп’ютера, включаючи обчислення GPU.

Користувачі зазвичай вірять у безпечність програм, що мають принаймні хоча б деяку кількість відгуків. Але користувачам все ж треба з серйозністю підходити до цього питання. Ми повторюємо це ще раз: недостатньо, щоб додаток вважався офіційним лише тому, що він має певну кількість відгуків.

Потрібно уважніше придивлятися до цих відгуків. Вони мають читаться так, як такі, що були написані реальними людьми. Це може бути нескладним завданням, щоб перевірити, якщо поставити себе на місце реального користувача.

Просто поміркуйте про власний відгук про програму, з якою ви працювали вже протягом тривалого часу. Те, що вам спадає на думку, якраз і може бути прикладом реального відгуку реальної людини.

Наприкінці своєї статті з оглядом нової загрози дослідники з CPR додали кілька порад з безпеки щодо того, як уникнути зараження таким та подібним видом шкідливої програми. І поради будуть наступними:

Перш ніж прийняти рішення про завантаження будь-якої програми, уважно придивіться до її назви. Чи звучить вона так само, як, як ви знаєте звучить оригінальна назва цієї програми?

Краще не завантажувати програму з відносно невеликою кількістю відгуків. Щось 100 відгуків або менше для програми, як-от якийсь месенджер, повинно вас насторожити;

Загальне правило полягає в тому, що відгуки повинні бути з різними часовими проміжками, позитивними та реалістичними.

На додаток до цих порад ви також можете перевірити видавця програми та знайти інформацію про нього в Інтернеті. Якщо це щось темне, ви, швидше за все, отримаєте очікуваний результат.

Скажіть «ні» пікселізації

А тепер, якщо ви вважаєте, що деякі з ваших піксельних фотографій в Instagram, де ви представляєте на розгляд в Інтернеті свої нещодавно отримані водійські права, не несуть вам небезпеки, ми маємо попередити вас: деякі хакери можуть «депікселізувативати» ваше «ви думали». так» ретельно захищені пікселями інформацію на водійських правах.

Ден Петро, провідний дослідник Bishop Fox, довів нам, чому найкращим інструментом для захисту конфіденційної інформації є лише чорні смуги. Він написав інструмент під назвою Unredacter, щоб пояснити чому. Також дослідники безпеки з Jumpsec Labs, які працюють над цією ж самою темою, кинули челендж усім, який прийняв також і Петро, вирішивши спробувати розгадати їхнє завдання «депікселізації».

У пості, опублікованому на Bishop Fox, він детально пояснив весь трюк і спробував вирішити поставлене завдання.

Завдання з Jumpsec Labs

Насправді в Інтернеті можна знайти цілу купу інструментів для редагування конфіденційної інформації та успішно позбутися від розмиття, закрученості та пікселізації. Але ми, звісно, не будемо називати тут жодних імен, а натомість розповімо, як працює «депікселяція» згідно з дослідженням згаданого Дена Петро з Bishop Fox.

На GitHub є інструмент під назвою Depix, який намагається знайти, які перестановки пікселів можуть призвести до певних піксельних блоків, враховуючи послідовність Де Брюйна правильного шрифту. Петро зізнався, що йому особисто дуже подобається теорія, але один колега з Jumpsec стверджував, що, можливо, на практиці вона не спрацює так, як хотілося б. Він зазначає, що в реальному житті ви, ймовірно, зустрінете такі перешкоди, як шум і незначні відхилення. Ці речі можуть істотно вплинути на роботу інструменту. Потім вони оголосили виклик для всіх, хто може відредагувати їхнє спеціально створене піксельне зображення.

Як працює пікселізація?

Принцип пікселізації дослідник пояснив наступним чином:
Розбивається зображення на сітку заданого розміру блоку. Для кожного блоку встановлюється колір відредагованого зображення рівним середньому кольору оригіналу для цієї ж області. Таким чином інформація зображення по кожному блоці «розмазується».

Скажіть «ні» пікселізації — Так виглядає пікселізація тексту

Але хоча частина інформації може бути втрачена в процесі, частина її все одно залишиться. Через простоту описаного методу він широко стандартизований у багатьох спеціалізованих програмах, таких як Photoshop або GiMP.

Як розгадати запіксельований текст завдання з Jumpsec?

Тож, написавши інструмент, дослідник Ден Петро вирішив з його допомогою спробувати вирішити поставлене завдання. Перш ніж описувати фактичний процес, він пояснив труднощі, з якими потенційний хакер може «зіткнутися» під час її вирішення.

Спочатку він каже, що процес редагування по суті локальний. Якщо говорити криптографічними термінами, це означає, що дифузії немає. Простіше кажучи, потрібно вгадувати в піксельному тексті символ за символом. Далі він пояснив, що оскільки зміна одного пікселя десь у зображенні впливає лише на відредагований блок, до якого воно належить, один із способів депікселізації тексту — це вгадувати символ за символом.

Рекурсивний пошук у глибину буде виконано для кожного символу, який намагається вгадати відповідність частині відредагованого тексту. В основному ми вгадуємо, наприклад, букву «b», потім піксельуємо цю літеру і дивимося, наскільки вона відповідає частині відредагованого тексту. Потім ми знову намагаємося вгадати, наприклад, букву «d» і так далі. Дослідник додає, що на перший погляд це може здатися не таким складним, але, як уже зазначалося, потенційний суб’єкт загрози може «зіткнутися» з певними труднощами.

Блідовер та вайтспейс

Перша складність — це злиття пікселів. Символи піксельного тексту, виявляється, можуть не збігатися у відношенні 1:1 з редагованими блоками. А це, за словами дослідника, означає, що в такому випадку можливе припущення символа може бути хибним через наявність неправильних блоків на крайньому правому краю. Свої слова він проілюстрував добре описаним прикладом, але якщо сказати це простими і короткими словами через згаданий блідовер, один символ можна прийняти за інший.

Ще одна проблема, яка виникає безпосередньо з першої, – це вайтспейс. Це коли після одного символу йде абсолютно порожній пробіл. Якщо таке стається, піксельний блок буде повністю обігнаний наступним символом, що ускладнює припущення.

“Труднощі” зі шрифтами

Наступні проблеми можна в цілому згрупувати в шрифтові «труднощі». Хакери можуть «зустрітися» з такими труднощами, як шрифт змінної ширини, невідповідність шрифту та зміщення пікселізації. Якщо якийсь хакер може витратити значний час на спроби вгадати символ через пропуски та пробіли, він може витратити додаткові кілька годин через згадані вище «перешкоди».

Шрифт змінної ширини означає кількість горизонтального простору, який займає кожна літера залежно від самої літери. Наприклад, «m» займає більше місця, ніж «i». Для хакерів це означає спробу вгадати кожний символ в каскадному ефекті від того, що буде праворуч від нього. Не розглядати кожен символ окремо, але міркувати і над іншими.

Через невідповідність шрифту можуть бути дещо різні зображення для того самого шрифту. У порівнянні між FireFox і GiMP, один і той самий шрифт виглядає інакше. Для хакерів було б полегшенням, якщо ви використаєте якусь стандартну програму візуалізації, але якщо це якась з фокусами програма, то їхні здогади можуть зазнати поразки.

Щоб говорити про зміщення, розглянемо статичну сітку, де є 64 різних місця для розміщення тексту на цій сітці. Фахівці називають їх x і y “зміщеннями”. І залежно від обраного зміщення це суттєво впливає на різні зображення піксельного тексту.

Беручи до уваги наведену інформацію, дослідник успішно вирішив завдання, поставлене Jumpsec. Наприкінці він ще раз порадив користувачам, щоб приховати деяку конфіденційну інформацію, потрібно використовувати лише чорні смуги, які покриватимуть весь текст. Але будьте уважні і не використовуйте лише зміну вашого документа у Word, щоб він мав чорний фон з чорним текстом. Хакери можуть легко подивитися, що стоїть за такою чорною смугою, просто виділивши її. Відредагуйте текст як зображення.

Google випустив лютневі патчі для Android

Незабаром після Microsoft Google також випустив лютневі патчі, але для пристроїв Android. Дві з виправлених уразливостей фахівці оцінюють як критичні. Одна з яких дозволяє підвищити права на систему віддалено без будь-якої взаємодії з користувачем. Ще одна вразливість, яка отримала статус критичної, була виявлена в одному з компонентів із закритим кодом Qualcomm.

Що означають ці лютневі виправлення для Android?

CVE-2021-39675 — це ідентифікатор уразливості, яка отримала статус критичної. Хоча вона стосується лише поточної версії мобільної операційної системи Android 12. Фахівці з кібербезпеки відзначають, що цей вид уразливості активно використовується в добре організованих кампаніях кібершпигунства; Google не знайшов жодних доказів її використання в реальних атаках.

CVE-2021-30317 в Qualcomm стосується лише тих пристроїв, які використовують цей апаратний компонент.

Окрім двох критичних уразливостей, спеціалісти також виправили п’ять уразливостей високого рівня у Framework, чотири у Media Framework та сім у System. Крім того, серйозні проблеми торкнулися компонентів MediaTek, Amlogic і Unisoc.

Компанія поки не розкриває технічні деталі уразливостей з міркувань безпеки: виправлення повинні спочатку досягти мобільних пристроїв користувачів.

Прев’ю розробницької версії Android 13

Якщо вже говорити за Android і Google, ви певно чули, що 10 лютого Google випустив розроницьку версію Android 13 для своїх телефонів Pixel? Можливо і ні, але інсайдери в індустрії вже почали активно обговорювати , що ми можемо очікувати від користувацької версії Android 13. Хоча деякі експерти сумніваються в майбутньому «технопрориві» версії, деякі сперечаються, посилаючись на Android 12L, що вона, проте, може принести досить багатообіцяючі зміни. Дуже невелика кількість нових введень у змінах, що стосуються користувачів, привела до розпалу згаданих обговорень.

«Android 13 виконує ітерацію на Android 12, яка повторюється на Android 11, яка повторюється на Android 10, і так далі. Розробка для Android ніколи не припиняється, тому кожна нова функція, яка вчасно не готова до офіційного релізу переноситься на майбутній випуск”, – каже Мішаал Рахман, старший технічний редактор Esper і колишній головний редактор XDA Developers.

Чи буде нова версія Android простою ітерацією попередньої, переважно Android 12L, чи вона дійсно може бути чимось абсолютно новим? Єдине можна сказати напевно, що Android 13, швидше за все, отримає той самий дизайн, що й Android 12, оскільки Google не змінює мову матеріального дизайну щороку. Той же Мішаал Рахман стверджує, що цього не достатньо, щоб назвати нову версію ітеративною. Він додає, що в такому випадку кожне оновлення Android можна вважати ітеративним. За його власними словами, «сам по собі термін не має сенсу».

Як каже Рахман, Google зазвичай планує, які функції вони хочуть мати для кожної версії в кожному випуску. Наприклад, у Android 12 Google планував дебютувати Material You разом із більшістю змін в інтерфейсі та пов’язаними з ним функціями, такими як динамічний колір.

Google випустив лютневі патчі для Android — Схематичне зображення архітектури ОС Андроїд

Джитеш Убрані, менеджер з досліджень всесвітнього трекера пристроїв IDC, погоджується, що це може бути надто рано говорити щось про нову версію та її ітерацію від попередніх, «оскільки Google ще не показав ОС в деталях». Не можна робити остаточних суджень, говорячи лише про незначні оновлення. Навіть якщо оновлення дуже незначні, це, безумовно, не означає нічого поганого, і, до речі, Android 12 все ж приніс серйозні зміни. Фахівець пояснює, що Android 13, у свою чергу, запропонує подальше доопрацювання та, сподіваючись, подальше впровадження.

Нова версія Android 13 буде зосереджена насамперед на продуктивності, безпеці та конфіденційності. Попередній Android 12 мав дизайн, який, за словами багатьох спеціалістів, не сподобався багатьом користувачам, як про це писав у Адам Конвей із XDA Developers. Вони припускають, що з огляду на те, що ми бачили досі, «доволі незначне ітераційне покращення», нова версія Android, безумовно, буде ітерацією дизайну попередніх версій.

У жовтні 2021 року Google випустила Android 12L, яка мала бути спеціальною версією Android 12, створеною виключно для пристроїв із великим екраном, таких як складані пристрої та планшети. З цього приводу експерти Android кажуть, що 12L можна вважати найстабільнішою версією 12, яка включає в себе гілку інтерфейсу для складних і планшетів.

У будь-якому випадку майбутня Android 13, схоже, здебільшого буде побудована на основі Android 12L. І оскільки це проміжний випуск, ми можемо очікувати більшого від користувальницької версії Android 13. За словами Рахмана, це пояснює, чому 12L не мав такої кількості нових функцій.

Аншел Саг, старший аналітик Moor Insights & Strategy, додає, що, незважаючи на те, що версія Android 12L не мала багато функцій, вона все ж є бажаним доповненням для більших форматів. В цьому є сенс, оскільки Android починає глибший захід на Windows і на складні форм-фактори.

Що потрібно Android 13, щоб виділитися?

Фахівці припускають, що в той час як Google робить все правильно зі змінами «режиму концентратора» та заставки, було б дуже цікаво подивитися, що компанія планує, щоб конкурувати з iPadOS.

Для Ubrani єдиною зміною, яка могла б значно підвищити успіх нової версії Android, була б можливість для Pixels передавати додатки на сусідні комп’ютери Chromebook або ПК. Він вважає, що ця функція допоможе Android багато в чому конкурувати з Apple.

Також слід покращити швидкість релізів, оскільки це все ще найбільший недолік Android. Користувачі та постачальники мають якнайскоріше отримувати останню версію. Google вже працює над цим роками, але цей процес займає багато часу. Можливо, подальше розділення ОС, надання попереднього прев’ю для розробників раніше або щось інше, що допоможе компанії прискорити процес оновлень.

Трохи терпіння – інколи те, що вам потрібно

Фахівці не радять користувачам встановлювати версії Android 13 для розробників. Тим, хто хоче побачити все першим, нова ОС може виявитися проблемною та зі збоями. Але це, безумовно, не зашкодить, якщо ви спробуєте нову версію на якомусь запасному телефоні або ПК, на якому можна запустити емулятор Android. Але пробувати цю версію на щоденному пристрої з драйвером користувача певною мірою несе ризик.

Убрані попереджає, що версія Android 13 для розробників все ще недостатньо пророблена, не має зручної установки та не дуже стабільна. Якщо звичайний користувач встановить її, то це принесе більше шкоди, ніж користі.

Ви також повинні знати, що багато програм відмовляються запускатися або обмежують доступні функції в збірках програмного забезпечення, які не відповідають CTS (набір тестів на сумісність). Саме так буде у вашому випадку, якщо ви встановите версію Android для розробників. Крім того, ви не отримуватимете жодних оновлень, оскільки розробники додатків або Google не визначає в пріоритеті надання підтримки користувачам, які використовують збірки Developer Preview.

Gamaredon/ ACTINIUM атакує українські організації

Нещодавно команда Microsoft Threat Intelligence Center (MSTIC) поділилася в блозі Microsoft Security своїм звітом про ACTINIUM, групу хакерів, яка вже майже десятиліття атакує українські організації.

«Як і у випадку з будь-якою спостережуваною діяльністю хакерів на національному рівні, Microsoft безпосередньо сповіщає клієнтів про онлайн-сервіси, які були атаковані або зламані, надаючи їм інформацію, необхідну для захисту їхніх облікових записів», — йдеться у дописі MSTIC.

Група наполегливо намагається отримати доступ до організацій в Україні чи установ, пов’язаних із українськими справами. MSTIC раніше ідентифікував активність ACTINIUM як DEV-0157. На світовій арені група більш відома під назвою Gamaredon.

Що таке Gamaredon/ ACTINIUM?

Дослідження зосереджується на останніх півроку діяльності групи, надаючи детальну інформацію про те, які інструменти використовують хакери та як вони їх використовують. За даними MSTIC, група, схоже, діє з окупованого Росією півострова Крим. Український уряд публічно заявив, що за діяльністю цієї групи стоїть Федеральна служба безпеки Росії (ФСБ).

ACTINIUM націлений безпосередньо на організації в Україні, включаючи військові, урядові, неурядові організації (НУО), правоохоронні, судові та багато неприбуткових організацій. Основні наміри групи – вилучення конфіденційної інформації, а також збереження доступу до пов’язаних організацій. Microsoft поділилася інформацією у звіті з українською владою.

З жовтня 2021 року ACTINIUM атакував або зламував численні акаунти в організаціях, які мають вирішальне значення в реагуванні на надзвичайні ситуації та забезпеченні безпеки території України. Хакери також ставлять своєю метою атак організації, які будуть надавати гуманітарну та міжнародну допомогу Україні в умовах кризи.

Фахівці MSTIC кажуть, що діяльність цієї групи хакерів значно відрізняється від тієї, яка була виявлена раніше, мова йде про DEV-0586. Команда помітила, що діяльність групи стосується лише організацій в Україні та не використовує жодних невиправлених уразливостей у продуктах та послугах Microsoft.

MSTIC також зазначає, що тактика Gamaredon/ACTINIUM постійно розвивається, і описані в блозі методи роботи не охоплюють повного обсягу атак цієї групи хакерів. Ті, які спостерігала команда MSTIC, є лише одними з найбільш помітних активностей.

Опис активності хакерської групи Gamaredon/ACTINIUM

Одним із методів, які група використовує для отримання початкового доступу, є фішинг цільових жертв. Листи, надіслані групою, містять шкідливі вкладення макросу, які згодом запускають віддалені шаблони.

Віддаленний запуск шаблону – це спосіб завантажити документ віддаленого шаблону документа, який містить шкідливий код, у даному випадку макроси. Цей метод гарантує, що жертва завантажує шкідливий вміст лише тоді, коли це необхідно для хакерів. Наприклад, коли користувач відкриває шкідливий документ.

Розгортання такого методу також дозволяє зловмисникам успішно уникати виявлення системами, які сканують на шкідливий вміст. Крім того, шкідливі макроси дають зловмисникам можливість контролювати, коли і як буде доставлений шкідливий компонент. Це також дозволяє групі ухилятися від виявлення.

Gamaredon/ ACTINIUM атакує українські організації — Фішингові листи, які розсилала група

З того, що MSTIC помітив, ця група хакерів маскує свої шкідливі електронні листи під ті, які надсилаються офіційними організаціями. У деяких прикладах, наданих MSTIC, вони маскували електронні листи так начебто вони надсилалися від Всесвітньої організації охорони здоров’я.

На додаток до макросів хакери також використовують веб-жучки, щоб відстежувати, коли повідомлення було відкрито та змінено. Ці жучки самі по собі не є шкідливими, але вони можуть вказувати на те, що отриманий електронний лист може бути шкідливим. Додатки макросів Gamaredon/ACTINIUM містять завантаження першого етапу, яке завантажує та виконує подальші завантаження.

Але для спеціалістів було незрозуміло, чому в деяких випадках було кілька завантажувальних етапів. MSTIC припускає, що це може бути зроблено для забезпечення можливості того, що повнофункціональні шкідливі завантаження менш імовірно будуть виявлені системами виявлення.

Група хакерів зберігає присутність і збирає дані для розвідки

MSTIC дійшов висновку, що головною метою діяльності групи є моніторинг та збір конфіденційної інформації з мереж, до яких здійснюється доступ. Для виконання наступних кроків група хакерів спочатку запускає інтерактивні засоби доступу; найвідомішим з них і з найбільш розвиненим функціоналом є «Птеродо».

Іншим прикладом буде UltraVNC, офіційна і повнофункціональна програма віддаленого робочого столу з відкритим вихідним кодом. Це дозволяє групі хакерів легко взаємодіяти з цільовим хостом. Той факт, що група хакерів не покладається на спеціальні двійкові файли, гарантує, що програма не буде виявлена або видалена продуктами безпеки.

Після отримання інтерактивного доступу до цільової мережі запускається виконання широкого спектру шкідливих програм. MSTIC проаналізував приклади шкідливих програм і згрупував їх у такі сімейства шкідливих програм: Pterodo, PowerPunch, ObfuMerry, ObfuBery, DilongTrash, DesertDown, DinoTrain, QuietSieve.

Які ознаки діяльності хакерської групи Gamaredon/ACTINIUM?

Для клієнтів Microsoft команда підготувала поради щодо виявлення активності цієї групи загроз.
Далі будуть ті, що стосуються електронних листів:

Зловмисне програмне забезпечення не було заблоковано, оскільки ZAP вимкнено;

Виявлена та заблокована кампанія зловмисного програмного забезпечення;

Виявлена кампанія зловмисного програмного забезпечення після доставки електронного листа;

Електронний лист повідомляється користувачем як зловмисне програмне забезпечення або фішинг;

Електронний лист видалено після доставки;

Видалено повідомлення електронної пошти після доставки, яке містило зловмисне програмне забезпечення;

Видалено електронний лист після доставки, яке містило шкідливий файл.

Вищезгадані попередження безпеки повинні вказувати на зловмисницьку діяльність, пов’язану з цією групою хакерів. Однак попередження не обов’язково можуть бути пов’язані з Gamaredon/ACTINIUM. Команда надала їх на випадок атаки групою, коли користувачі повинні негайно розслідувати причину, враховуючи серйозність наслідків діяльності хакерів.

Попередження в центрі безпеки, які також можуть вказувати на активність цієї групи, включатимуть:

Підозрілий на вигляд процес, який передає дані до якоїсь зовнішньої мережі;

Постановка конфіденційних даних;

Сумнівна активність захоплення екрана;

Незвичайний файл, створений і доданий до ключа виконання;

Створено ненормально заплановане завдання;

Завантажена дивна бібліотека динамічних посилань;

Ненормальний процес, що виконує закодовану команду.

Список також включає різні дії щодо підозрілого виконання файлу.

Що нового в Google Chrome 98?

Google нещодавно оголосив про випуск нової версії браузера Chrome 98, доступної для стабільного каналу для Windows, Mac і Linux. Версія також буде випущена на новому розширеному каналі компанії для Windows і Mac. Випуск з’явиться в найближчі дні/тижні.

Chrome 98.0.4758.80/81/82 для Windows і 98.0.4758.80 для mac і linux були випущені з низкою виправлень і покращень. Список змін користувачі можуть переглянути в журналі на сайті. Загалом нинішнє оновлення містить 27 виправлень безпеки. 19 з яких стали відомі і виправлені завдяки зусиллям сторонніх дослідників.

Вісім уразливостей безпеки отримали високий ступінь небезпеки, 10 – середній і один – низький. Найнебезпечніша з виправлених уразливостей дозволяла виконувати довільний код з тими ж правами, що й сам Chrome. Більше половини вразливостей, про які повідомляють сторонні дослідники, здебільшого пов’язані з неправильним використанням динамічної пам’яті під час роботи програми (Use-After-Free).

Що нового в Chrome 98?

Окрім виправлених уразливостей, користувачі також отримають нові функції браузера. У новій версії популярного браузера у користувачів з’явиться новий інструмент для створення скріншотів, більш чіткі в кольорі емодзі та інші нові важливі налаштування.

Використовуйте новий інструмент для знімків екрана в Chrome 98. Не скажеш, що зробити знімки екрана в Windows або Mac важко, але вам додатково ще доводиться вирізати непотрібні частини. Тепер за допомогою вбудованого інструмента для знімків екрана ви можете зробити все в один крок. Також користувачі можуть завантажувати, редагувати, видаляти, ділитися та навіть додавати смайли у версії браузера для Android, хоча останній варіант тестується.

Що нового в Google Chrome 98? — Новий інструмент для простішого створення скріншотів

Нове оновлення ви можете знайти в опції спільного доступу у браузері. У деяких випадках оновлення ще буде нестабільним, тому вам можливо знадобиться скористатися наступними прапорці, щоб увімкнути його: chrome://flags/#sharing-desktop-screenshots
chrome://flags/#sharing-desktop-screenshots-edit
Щоб увімкнути функцію смайлів у версії Chrome для Android, використовуйте цей прапорець: chrome://flags/#lightweight-reactions-android . Він повинен додати кнопку емодзі в меню спільного доступу.

Більш яскраві кольори в емодзі. З випуском нового оновлення Chrome Google також впровадив новий набір векторних шрифтів COLRv1 Color Gradient Vector. Завдяки переходу на векторні формати з PNG, смайли тепер мають кращий масштаб і мають менші розміри файлів. Звичайно, це не те, щоб ви могли помітити на маленьких емодзі, але якщо збільшити масштаб, ви побачите різницю.

Нова верхня панель. У порівнянні зі старою, ця виглядає набагато компактніше. Вона займає набагато менше місця і в цілому виглядає акуратніше.

Інструмент «Посібник із конфіденційності». Ця функція повинна допомогти вам ефективніше керувати конфіденційністю та безпекою у вашому браузері. Він доступний для настільних і мобільних пристроїв із прапорцем chrome://flags/#privacy-review . Його можна знайти в налаштуваннях «Безпека та конфіденційність». Вам більше не потрібно шукати дані функції самостійно.

Покращення HDR для CSS. Спочатку як експеримент у Chrome 94, але вже повноцінно представлено в Chrome 98. Тепер веб-розробники можуть використовувати CSS, щоб проводити опитування щодо того, чи підтримує екран їхнього веб-сайту HDR-вміст. Фахівці кажуть, що так як ці панелі швидко стають нормою, це є бажана зміна.

Що ще нового в Chrome 98?

Тепер, коли Google випускає оновлення кожні чотири тижні, це означає, що надто великі зміни відбуватимуться не так часто. Щоб бути в курсі всіх оновлень, ви можете відвідати сайт розробників Google або блог Chromium.
Крім перерахованих вище змін, є також деякі додаткові:

Панель Lighthouse запускає Lighthouse 9;

Кеш-пам’ять бек/форвард (або bfcache), нова оптимізація браузера, забезпечує миттєву навігацію назад/вперед;

Нова пробна версія Origin для відеоредактора, API для обрізання самозйомки відеодоріжки;

Нове оновлення тепер дозволяє вказати, чи window.open() запускає нове вікно чи нову вкладку.

Як оновити Google Chrome?

У будь-якому випадку ваш веб-переглядач оновиться автоматично, але ви також повинні перевірити це самостійно. Іноді Google автоматично завантажує оновлення, але не перезапускає браузер, щоб застосувати його. Регулярно перевіряйте оновлення, не наражайте свій пристрій на ризики.

У Chrome на Windows, Mac або Linux знайдіть значок меню з трьома крапками у верхньому правому куті, наведіть курсор миші на «Довідка» та виберіть «Про Google Chrome».

Ви також можете зробити це, ввівши chrome://settings/help у поле розташування Chrome і натиснути Enter.

Далі після відкриття браузера ви побачите, що він почне перевіряти наявність доступних оновлень і одразу завантажувати їх.
Може статися, що браузер уже завантажив оновлення і чекає, поки ви їх установите. Якщо це так, ви побачите, що значок меню змінився на стрілку вгору. Залежно від того, скільки часу оновлення висіло, стрілка може отримати один із таких кольорів:

Зелений: оновлення висить протягом двох днів;
Помаранчевий: оновлення висить протягом чотирьох днів;
Червоний: оновлення висить протягом семи днів;

Перш ніж робити будь-які подальші дії, переконайтеся, що ви зберегли все важливе у відкритих вкладках у вашому браузері. Chrome знову відкриє вкладки після перезапуску, але не збереже дані, що містилися в них.
У будь-якому випадку оновлення або було завантажено вами, або висіло кілька днів, натисніть «Перезапустити», щоб завершити процес оновлення.
Але якщо ви хочете завершити роботу, яку ви зараз виконуєте в браузері, закрийте вкладку Про Google Chrome. Chrome здійснить втановлення оновлення, коли ви наступного разу закриєте та знову відкриєте веб-переглядач.

Щоб переконатися, що ваш веб-переглядач отримав останнє оновлення, перейдіть на сторінку chrome://settings/help і переконайтеся, що ви використовуєте останню версію Chrome. Ви повинні побачити «Google Chrome оновлено», якщо у вас уже встановлено останні оновлення.

Шахрайство з Robux в Roblox

Можливо це не така вже і новина, але всім гравцям в Roblox слід знати це. Остерігайтеся шахраїв, які намагатимуться вкрасти ваші облікові дані, ігрові предмети та найбажанішу для них річ Robux. Багато хто, можливо, і знав про найрізноманітніші шахрайські трюки довкола гри , але питання з метою поповнення знаннь має бути, як кажуть, «розглянуте ще раз». Іноді атаки шахраїв в Roblox лише призводять до маркетингового збору інформації, але в інших випадках наслідки можуть бути більш неприємними.

Що таке Roblox?

Roblox — це всесвітньо відома платформа для онлайн-ігор і система створення ігор, розроблена корпорацією Roblox. За допомогою мови програмування Lua користувачі можуть створювати власні ігри. За даними Вікіпедії, гра була створена в 2004 році і випущена в 2006 році. Довгий час вона не користувалася широкою популярністю, аж до 2010 року, а особливо з початком пандемії COVID-19 гра здобула свою нинішню світову славу. На даний момент гру завантажили понад 500 мільйонів разів у Google Play Store, що говорить про великий інтерес серед гравців, і ви вірно здогадалися, серед кіберзлочинців також.

У грі гравці використовують віртуальну валюту під назвою Robux. За цю валюту ви можете купувати аксесуари для аватарів, доступ до ігор та предмети. Щоб придбати її, користувачі можуть відвідати веб-сайт Roblox або будь-який інший роздрібний магазин, наприклад Wal-Mart або Target, де ви можете придбати подарункові картки Roblox. Цікавою особливістю віртуальної валюти цієї гри є те, що її можна обміняти на реальні гроші.

Шахрайство з Robux в Roblox — Офіційний веб сайт гри, де можна придбати віртуальну валюту

Наприклад, ви накопичили, скажімо, 100 000 Robux (ви зробили це, продаючи предмети, використовуючи подарункові картки тощо), і якщо ви також відповідаєте всім вимогам правил Developer Exchange, ви можете отримати реальні гроші за свою віртуальну валюту, обмінявши їх. За кожні 100 000 Robux, які ви продасте назад Roblox Corporation, ви отримаєте приблизно 350 доларів США. Все вірно, там де замішані реальні гроші, інтерес у кіберзлочинців не може бути меншим.

Афера з генератором безкоштовних Robux

Не так давно фахівці з кібербезпеки виявили один цікавий трюк шахраїв, в якому злочинці видурювали у людей певну інформацію. Це був веб-сайт, на якому користувачам обіцяли можливість отримати безкоштовно згенерований Robux. Але перш ніж ви могли б їх отримати, вам потрібно було ввести своє ім’я користувача та кілька інших значень, наприклад бажану кількість монет («Robux»). Досить сказати, що це було не що інше, як простий збір маркетингової інформації.

Крім того, щоб все виглядало по справжньому, шахраї навіть запустили відкритий чат, де “нібито” користувачі генератора безкоштовних Robux ділилися своїм «стовідсотково працює» досвідом. Після того, як користувач вводив необхідну інформацію, починався “магічний” процес “десь там”.

Пам’ятайте, що безкоштовних Robux не існує. Robux – це спосіб заробітку для Roblox Corporation. Чому ви думаєте, що вони зроблять його безкоштовним? Але це дрібниця, коли ви просто “віддаєте” свою інформацію маркетологам. Інші злочинні схеми, які ховаються поруч гри, можуть поставити вас у складніші ситуації.

Які бувають найпоширеніші шахрайства в Roblox?

Збирання cookie. Найсучасніший вид шахрайства, який краде ваші файли cookie. Ви помічали, що іноді вам не потрібно заново вводити інформацію, щоб знову увійти у свій обліковий запис у Roblox? Це тому, що ваш браузер “пам’ятає” цю інформацію. Шахраї створюють шкідливі посилання, які перенаправляють жертву на їхній сайт, збирають необхідну інформацію про файли cookie та знову перенаправляють жертву на інший сайт. У більшості випадків користувачі навіть не підозрюють, що тільки но сталося. Потім зловмисник бере вкрадений файл cookie, розміщує його у своєму браузері та оновлює сторінку. Таким чином, навіть без пароля та імені користувача зловмисники отримують доступ до вашого облікового запису.

Атаки JavaScript. В Інтернеті можна знайти численні відео та веб-сайти, де вам “радять” вставити спеціальний скрипт в консоль вашого браузера, щоб отримати безкоштовний Robux. Код – це JavaScript, скриптова мова, яка дозволяє користувачам робити все, що можливе зі сторони клієнта браузера. Після того, як ви вставите такий код в консоль свого браузера, найменше, що ви отримаєте, це те, що хтось вкраде ваш Roblox і Robux.

Завантажені програми. У деяких шахрайських схемах вас просять завантажити певну програму, щоб натомість отримати безкоштовний Robux. Як тільки ви це зробите, програма може робити майже все на вашому пристрої. Якщо ви на той момент увійшли в обліковий запис, він відкриє новий браузер і вкраде ваш Robux та елементи облікового запису, і ви навіть не знатимете про це. Завжди краще не завантажувати будь-яку незнайому програму на свій пристрій.

Особливо остерігайтеся фейкових стрімів Robux

Безкоштовний Robux в обмін на додатки. Тут подібне. Ви завантажуєте програму в обмін на отримання безкоштовного Robux, але замість цього просто заробляєте гроші для розробників, переглядаючи рекламу.

Підроблені, безкоштовні стріми Robux. Ніхто не стрімить 17 годин поспіль. На YouTube, Twitch або інших сервісах для прямої трансляції відеоігор ви можете натрапити на стримерів, які обіцяють подарувати безкоштовний Robux і просять вас залишити свої ніки в чаті. Якщо уважно придивиться, то можна помітити, що відео повторюється. Але проте ви можете брати участь у таких заходах, коли стример обіцяє роздати подарункові карти Roblox. Навіть корпорація Roblox схвалює таке.

Месенджери в Roblox. Компанія не дозволяє використовувати URL-адреси в чатах гри з міркувань безпеки. Тим не менш, шахраї завжди знаходять креативні способи все ж таки змусити користувачів натиснути на шкідливе посилання. У Roblox кожен може надіслати вам повідомлення за замовчуванням, але ви можете встановити власні налаштування. Також пам’ятайте, що обліковий запис ваших друзів також може бути зламаний, а повідомлення, яке ви отримаєте, може бути не від них.

Простіше кажучи, сьогодні нічого немає безкоштовного. Тож будьте уважні.

Звіт стану кібер безпеки пристроїв інтернету речей у сфері охорони здоров’я у 2022 році

Cynerio, компанія, яка надає закладам охорони здоров’я послуги платформи іінтернету речей в сфері охорони здоров’я, нещодавно опублікувала звіт про поточний стан кібер безпеки підключених медичних пристроїв у лікарнях усіх типів. У дослідницькому звіті компанії щодо галузі охоплюються широкотематичні питання. Звіт також містить підсумування результатів дослідження та його методологію.

«Протягом десятиліть у медичній сфері догляду за пацієнтами завдяки пристроям інтернету речей та їх викоританню спостерігалися покращення в її роботі.
Проте зі збільшенням кількості цих пристроїв зросла і кількість загроз, вразливостей і точок експулуатації комп’ютерних мереж медичних закладів,» — йдеться у доповіді компанії Cynerio.

Статистика безпечності пристроїв інтернету речей у сфері охорони здоров’я

Інформація в цьому звіті базується на аналізі компанією більш ніж 10 мільйонів пристроїв інтернету речей і медичних пристроїв інтернету речей, зібраних із поточних реалізацій продуктів Cynerio у понад 300 лікарнях та інших медичних установах у США та по всьому світі, дані з яких при аналізі були повністю анонімізовані дослідницькою командою компанії.

У вступі до звіту фахівці надали статистичні дані з різних ресурсів щодо поточного стану кібербезпеки в галузі охорони здоров’я. І згідно зібраних статистичних даних:

У 2021 році було зафіксовано понад 500 порушень кібер безпеки у сфері охорони здоров’я (Департамент охорони здоров’я та соціальних служб США (HHS);

За минулий рік кількість атак програм-вимагачів на лікарні зросла на 123% (Звіт про кіберзагрози компанії SonicWall за 2021 рік);

Минулого року атаки програм-вимагачів коштували лікарням майже 21 мільярд доларів США (Компанія Comparitech);

Середні збитки лікарень становлять 8 мільйонів доларів США за кожну атаку програми-вимагача, і лікарням потрібно 278 днів, щоб повністю відновити свою роботу після неї. (Звіт Emsisoft: The State of Ransomware in the US);

Відсоток порушень кібер безпеки у сфері охорони здоров’я, спричинених підключеними пристроями, прямо пропорційний відсотку таких порушень, спричинених фішинговими атаками (Ponemon Research Report: The Impact of Ransomware on Healthcare during COVID-19 and Beyond);

Сфера охорони здоров’я стала лідером серед найбільш прибуткових жертв програм-вимагачів, обігнавши другі місця на 100–200%. Фахівці з кібербезпеки кажуть, що персональна медична інформація (PHI) може бути в 50 разів більш ціннішою з точки зору прибутку для кіберзлочинців, ніж викрадені банківські картки на чорному ринку.

На що націлені кіберзлочинці в галузі охорони здоров’я?

IoT (Інтернет речей). Фахівці використовують цей термін на позначення будь-яких мережевих пристроїв або інших устаткувань, які не можна вважати традиційними інформаційними технологіями (ІТ). Сюди відносяться дверні смарт замки, VOIP-телефони та камери спостереження. Але комп’ютери чи сервери не належать до цієї категорії.

IoMT (Інтернет медичних речей). Такі апарати використовуються в лікарнях в безпосередніх медичних цілях. Найпоширеніші види включають: глюкометри, кардіомонітори, внутрішньовенні насоси та апарати МРТ. Можливо, десять років тому у них не було так багато різноманітних інтернет-з’єднань, але сьогодні їхня кількість значна.

OT (Операційні технології). OT означає апаратне забезпечення, програмне забезпечення та комунікаційні системи, які допомагають керувати великомасштабним промисловим обладнанням та устаткуванням. У лікарнях це зазвичай такі пристрої, як електричні мережі, ліфти, системи HVAC (опалення, вентиляції та кондиціонування).

Підключені пристрої. Пристрої цієї категорії набагато простіші за згадані вище. Приклади включають кавоварку або вимикач світла.

Які найпоширеніші вразливості пристроїв Інтернету речей у сфері охорони здоров’я?

Якщо ви читали минулорічні заголовки новин з кібербезпеки, вам могло здатися, що найпоширенішими уразливими місцями в таких пристроях є Ripple20 або URGENT/11. Проте все навпаки, найпоширеніші з них набагато очевидніші та пов’язані з поганою елементарною кібергігієною, як-от використання стандартних паролів та налаштувань. Потенційні зловмисники можуть легко знайти в Інтернеті інструкції до пристроїв і, звісно, першою чергою спробувати найочевиднішу річ: паролі та налаштування за замовчуванням. Також у більш ніж половини пристроїв Інтернету речей у сфері охорони здоров’я є одна критична вразливість.

Звіт стану кібер безпеки пристроїв Інтернету речей у сфері охорони здоров’я у 2022 році — Рейтинг найпоширеніших вразливостей в медичних пристроях інтернету речей

Підсумування результатів дослідження

Внутрішньовенні насоси є найпоширенішим пристроєм інтернету речей у сфері охорони здоров’я та мають найвищий ступінь ризику. Насоси для внутрішньовенного введення складають 38% від усіх пристроїв інтернету речей в медичних закладах. І вражаюча кількість в 73% має вразливість, яка може поставити під загрозу доступність послуг, конфіденційність даних або безпеку пацієнтів.

53% пристроїв інтернету речей та медичних пристроїв інтернету речей містять критичні вразливості. Більше половини підключених медичних та інших пристроїв інтернету речей у лікарнях мають одну добре відому критичну вразливість. Факт, що ставить під загрозу конфіденційність даних, доступність послуг та безпеку пацієнтів. Третина приліжкових пристроїв інтернету речей тих, які безпосередньо використовуються у догляді за пацієнтами, і ті, від яких пацієнти найбільше залежать, мають визначений критичний ризик.

Urgent11 та Ripple20 отримали найбільше заголовків, але найпоширеніші ризики для кібер безпеки пристроїв — це проста недбалість до кібергігієни. Найпоширеніші пристрої медичних пристроїв інтернету речей та звичайних пристроїв інтернету речей часто мають паролі та налаштування за замовчуванням, які зловмисники можуть знайти без особливих зусиль. Їм просто потрібно знайти інструкції для конкретних пристроїв онлайн. Також варто додати, що зазначені вразливості Urgent11 і Ripple20 торкнулися лише 10 відсотків пристроїв із векторами атак, експлуатацію яких зазвичай складно проводити.

Деякі критичні пристрої інтернету речей у медичній сфері працюють із застарілими версіями Windows. Хоча пристрої, які працюють під управлінням старішої версії Windows, ніж Windows 10, становлять невелику частину інфраструктури інтернету речей типової лікарні, вони використовуються в одних з найбільш критичних відділах. Оскільки самі версії Windows в таких пристроях вже давно віджили своє, цей факт створює значний ризик для пацієнтів, які ними користуються. Але проблема в тому, що заміна машин, на яких працюють ці версії, у більшості випадків займе надто багато років.

Більшість медичних пристроїв інтернету речей використовуються настільки регулярно, що їх складно вчасно оновлювати. Майже 80% пристроїв інтернету речей у сфері охорони здоров’я щомісяця й навіть частіше використовуються для догляду за пацієнтами, що означає, що у них майже немає часу простою і на те, щоб служба кібер безпеки лікарні проаналізувала їх на предмет ризиків і можливих атак, застосувала останні доступні виправлення та здійснила сегментацію для захисту пристроїв у мережі.

На завершення фахівці окреслили майбутні можливі рішення щодо покращення безпеки пристрої інтернету речей в медицині. За їхніми словами, те, що спеціалісти почали визначати та усувати вектори ризику, які вже експлуатуються зловмисниками є першим дієвим кроком до впровадження вкрай необхідних заходів безпеки.

Microsoft за замовчуванням блокує Інтернет-макроси в Office

Корпорація Майкрософт оголосила, що вносить нові зміни до функцій автоматизації, які називаються активним вмістом у Office (найпоширенішими видами є макроси). Якщо раніше користувачі могли ввімкнути їх, натиснувши відповідну кнопку, тепер вони побачать кнопку Докладніше, перейшовши за якою вони можуть дізнатися про можливу небезпеку, яку можуть представляти отримані файли, і які є можливі рішення для уникнення її. Поки користувач перейшов до кнопки Докладніше, інтернет-файли з макросами будуть заблоковані за замовчуванням.

Хакери активно використовують макроси для злочинних операцій

У компанії стверджують, що такі кроки повинні зменшити випадки порушень кібербезпеки в компаніях і на комп’ютерах домашніх користувачів. Вони пояснюють, що хакери протягом останніх років активно використовували цю корисну функцію у своїх злочинних операціях. Просто надіславши вкладення через електрону пошту або якимось іншим способом, кіберзлочинці за дапомогою Інтернет-файлів з макросами могли успішно втілювати перші кроки атаки.
Тепер, щоб відкрити файл, отриманий з Інтернету, користувач повинен перейтим спочатку до кнопки Докладніше, де вони можуть дізнатися, як правильно відкрити файл, не наражаючи себе на небезпеку. Зміна торкнеться п’яти програм Office, які запускають макроси: Word, Visio, PowerPoint, Excel і Access. Зазначена зміна почне впроваджуватися у версії 2203 Current Channel (Попередній перегляд) на початку квітня 2022 року. Після цього вона буде представлена в інших каналах оновлення, як-от Semi-Annual Enterprise Channel, Monthly Enterprise Channel і Current Channel.

Компанія також планує ввести такі ж зміни в Office 2013, Office 2016, Office 2019, Office 2021 і Office LTSC. Точні дати ще не відомі.

«Широкий спектр загроз продовжує загрожувати нашим клієнтам, надсилаючи документи та заманюючи їх, запустити шкідливий макрокод. Зазвичай шкідливий код є частиною документа, який походить з Інтернету (вкладення електронної пошти, посилання, завантаження з Інтернету тощо). ). Після ввімкнення шкідливий код отримує доступ до персонального комп’ютера, документів і мережі користувача, яка його увімкнула».
Том Галлахер, менеджер з розробки партнерської групи, відділ безпеки офісу.

Microsoft вносить зміни до макросів лише в Windows

Макроси є корисною функцією програм Microsoft Office, які дозволяють автоматизувати деякі операції, що виконуються в одній із програм Office. Наприклад, щомісяця ви повинні складати звіт для свого бухгалтера. І кожного разу в цьому звіті потрібно виконувати одне й те саме форматування документа. Але з макросами Office все можна набагато зпростити, якщо просто автоматизувати деякі дії за допомогою макросів. Наврядчи користувачеві вони знадобляться , просто редагуючи або читаючи документ у Word. Але хакери використовують макроси для поширення шкідливих програм, отримання віддаленого доступу та крадіжки конфіденційної інформації.

З новою зміною, внесеною для користувачів, замість того, щоб просто дозволяти запуск Інтернет-макросів, буде представлено інформацію про те, як безпечно ввімкнути макроси, зберегти файл та видалити позначку Інтернету (MOTW). Крім того, користувачі можуть прочитати про ризики безпеки, пов’язані з використанням макросів зловмисниками, а також дізнатися про практику запобігання фішингу та шкідливому програмному забезпеченню.

Рядок повідомлень, що попереджає користувача про ризик безпеки, вказуючи на заблоковані макроси з Інтернету

MOTW — це атрибут, який Windows призначає файлам, які походять із ненадійного джерела (Інтернет чи зона з обмеженим доступом). Атрибут додається лише до файлів, збережених у файловій системі NTFS, але не до файлів, збережених на пристроях із форматуванням FAT32.

Адміністратори в організаціях можуть використовувати політику «Блокувати запуск макросів у файлах Office з Інтернету», щоб запобігти ненавмисному відкриванню працівниками файлів з Інтернету, які містять можливі шкідливі макроси. В оголошенні компанії говориться, що якщо адміністратор увімкне цю політику, зміна за умовчанням не буде увімкнена в організації.

Microsoft за замовчуванням блокує Інтернет-макроси в Office — Механізм ідентифікації шкідливості макроса

Microsoft наголошує на важливості включення цієї політики в роботу організацій. Вони кажуть, що вже давно рекомендували блокувати макроси, отримані з Інтернету, у базових положеннях безпеки опублікованих компанією. Захист клієнтів за допомогою такої політики за замовчуванням — це наступний крок посилення кібербезпеки, так Хані Саліба, технічний директор-партнер Office Calc, висловила свою думку щодо внесення змін до роботи механізму макросів.

Інші способи дізнатися, чи ваші файли походять з безпечного джерела будуть наступними:

Користувач може відкривати файли з цифровим підписом макросів і наданим сертифікатом, який користувач потім встановлює як довіреного видавця на своєму локальному пристрої;

Користувач також може відкривати файли, які походять з надійного джерела.

Перш ніж увімкнути політику для організацій, Microsoft рекомендує ІТ-адміністраторам попередньо обговорити це з бізнес-підрозділами, які використовують макроси у своїх файлах Office, наприклад, з фінансовим відділом, а також з незалежними постачальниками програмного забезпечення (ISV), на яких організація покладається у своїй роботі, і які також використовують макроси в файлах Office.

Як уникнути шкідливих макросів?

Тож якщо ви все ще розмірковуєте, що робити з тим електронним листом, надісланим кілька днів тому, розгляньте наступне:

Спливаюче повідомлення закликає вас увімкнути активний вміст. Ви завантажили файл з Інтернету й побачили спливаючі вікна чи інші повідомлення із проханням увімкнути активний вміст. Більш ніж часто хакери застосовують таку тактику, щоб заманити користувача, який так запустить атаку. Такі речі повинні викликати у вас підозру щодо фактичної безпеки відповідного файлу;

Невідомий адресат просить увімкнути активний вміст. Найпоширеніша тактика зловмисника полягає в тому, щоб створити певну нагальність в електронному листі та прикріпити документ, об’єкт зазначеної поспішності. Жодна компанія не попросить вас скасувати замовлення через документ Excel, і вам не потрібні макроси для того, щоб лише прочитати документ в Word;

Ви не очікували жодного листа навіть від людини, яку ви знаєте. Можливо, ви отримали електронний лист від когось, з ким ви працюєте, або мали попередню переписку, але не пам’ятаєте, щоб насправді чекали на його. В даному випадку краще не відкривати отримані вкладення електронної пошти. Фішери саме і очікують, що ви зробите це, вдаючи когось, з ким потенційна жертва має якісь кореспондентські зв’язки.

Крім того, зміна не вплине на Office в Інтернеті, Office на пристроях Android або iOS і Office на Mac. Це торкнеться лише пристроїв на базі Windows.