Україна Online: Новини | Політика
Телеграмна служба новин - Україна
Резидент
Мир сегодня с "Юрий Подоляка"
Труха⚡️Україна
Николаевский Ванёк
Лачен пише
Реальний Київ | Украина
Реальна Війна
Україна Online: Новини | Політика
Телеграмна служба новин - Україна
Резидент
Мир сегодня с "Юрий Подоляка"
Труха⚡️Україна
Николаевский Ванёк
Лачен пише
Реальний Київ | Украина
Реальна Війна
Україна Online: Новини | Політика
Телеграмна служба новин - Україна
Резидент
Echelon Eyes
Новости ИБ: угрозы, уязвимости, утечки, инциденты, аналитические обзоры, изменения в нормативной базе от экспертов группы компаний «Эшелон».
Наш e-mail: echelon.eyes@npo-echelon.ru
Наш e-mail: echelon.eyes@npo-echelon.ru
TGlist rating
0
0
TypePublic
Verification
Not verifiedTrust
Not trustedLocationРосія
LanguageOther
Channel creation dateMar 22, 2025
Added to TGlist
Dec 17, 2024Records
22.03.202523:59
5.2KSubscribers31.12.202423:59
100Citation index25.02.202523:59
1.3KAverage views per post06.03.202510:49
1.3KAverage views per ad post01.03.202523:59
7.38%ER25.02.202523:59
25.65%ERR
21.03.202513:15
22.03.202510:34
Интересный кейс по применению Сканер-ВС 6 от коллег из Selectel: https://habr.com/ru/companies/selectel/articles/892802/
21.03.202510:49
Одна команда PUT — и ваш Tomcat взломан: уязвимость CVE-2025-24813 активно эксплуатируется
Критическая уязвимость CVE-2025-24813 (BDU:2025-02511 в БДУ ФСТЭК) в Apache Tomcat позволяет злоумышленникам получить полный контроль над сервером с помощью всего одного PUT-запроса. Недостаток получил оценку CVSS 9,8. Эксплойт для этой уязвимости использует механизм сессионной persistence и частичные PUT-запросы. Атакующий загружает вредоносный сериализованный Java-файл через PUT, а затем выполняет код, отправив GET с JSESSIONID, указывающим на этот файл. Уязвимость опасна из-за простоты эксплуатации и отсутствия необходимости в аутентификации. Base64-кодирование позволяет обходить традиционные WAF, что затрудняет обнаружение.
Традиционные методы защиты, такие как настройка правил в межсетевых экранах для приложений (Web Application Firewalls), уже неэффективны. Решение — использование современных платформ API-безопасности, которые автоматически декодируют и анализируют запросы, блокируя угрозы в реальном времени.
Стоит отметить, что CVE-2025-24813 детектируются системой управления уязвимостями «Сканер-ВС 6», разрабатываемой ГК «Эшелон». Пакет, содержащий данную уязвимость, появился в базе «Сканера-ВС» 20 марта 2025 года. Пользователям рекомендуется поддерживать базу в актуальном состоянии, загружая обновления по мере их появления.
Источник: https://lab.wallarm.com/one-put-request-to-own-tomcat-cve-2025-24813-rce-is-in-the-wild/
#уязвимость #Tomcat #Эшелон
Критическая уязвимость CVE-2025-24813 (BDU:2025-02511 в БДУ ФСТЭК) в Apache Tomcat позволяет злоумышленникам получить полный контроль над сервером с помощью всего одного PUT-запроса. Недостаток получил оценку CVSS 9,8. Эксплойт для этой уязвимости использует механизм сессионной persistence и частичные PUT-запросы. Атакующий загружает вредоносный сериализованный Java-файл через PUT, а затем выполняет код, отправив GET с JSESSIONID, указывающим на этот файл. Уязвимость опасна из-за простоты эксплуатации и отсутствия необходимости в аутентификации. Base64-кодирование позволяет обходить традиционные WAF, что затрудняет обнаружение.
Традиционные методы защиты, такие как настройка правил в межсетевых экранах для приложений (Web Application Firewalls), уже неэффективны. Решение — использование современных платформ API-безопасности, которые автоматически декодируют и анализируют запросы, блокируя угрозы в реальном времени.
Стоит отметить, что CVE-2025-24813 детектируются системой управления уязвимостями «Сканер-ВС 6», разрабатываемой ГК «Эшелон». Пакет, содержащий данную уязвимость, появился в базе «Сканера-ВС» 20 марта 2025 года. Пользователям рекомендуется поддерживать базу в актуальном состоянии, загружая обновления по мере их появления.
Источник: https://lab.wallarm.com/one-put-request-to-own-tomcat-cve-2025-24813-rce-is-in-the-wild/
#уязвимость #Tomcat #Эшелон
20.03.202508:30
Северная Корея вышла на третье место по запасу биткойнов благодаря беспрецедентному киберворовству
В распоряжении Северной Кореи есть 13 562 биткойна (или 1,16 млрд долларов), и она занимает третье место в мире среди государственных держателей этой криптовалюты, пишет газета The Times.
Такие запасы – это результат киберпреступной деятельности хакерской группировки Lazarus, занимающейся кражей криптовалюты и предположительно поддерживаемой правительством страны. В частности, недавняя атака под названием Bybit внесла значительную долю в обогащение Северной Кореи. Группа конвертировала большое количество украденных Ethereum (ETH) в Bitcoin (BTC), и таким образом Северная Корея обогнала по запасу этой криптовалюты Бутан (с его 10 635 BTC) и Сальвадор (6 117 BTC). Сейчас Северная Корея уступает по количеству государственных биткойнов только США (у которых 198 109 BTC) и Великобритании (61 245 BTC).
Как отмечают многие эксперты, для правительства Ким Чен Ына криптовалюта стала инструментом для уклонения от международных санкций и финансирования ядерной программы. В то время как в таких странах, как Сальвадор, практикуется открытое хождение криптовалюты, Северная Корея в основном добывает ее посредством кибератак и незаконной деятельности.
Источник: https://www.thetimes.com/world/asia/article/north-korea-bitcoin-third-largest-reserve-world-75qtbgjk6
#криптовалюта #Lazarus
В распоряжении Северной Кореи есть 13 562 биткойна (или 1,16 млрд долларов), и она занимает третье место в мире среди государственных держателей этой криптовалюты, пишет газета The Times.
Такие запасы – это результат киберпреступной деятельности хакерской группировки Lazarus, занимающейся кражей криптовалюты и предположительно поддерживаемой правительством страны. В частности, недавняя атака под названием Bybit внесла значительную долю в обогащение Северной Кореи. Группа конвертировала большое количество украденных Ethereum (ETH) в Bitcoin (BTC), и таким образом Северная Корея обогнала по запасу этой криптовалюты Бутан (с его 10 635 BTC) и Сальвадор (6 117 BTC). Сейчас Северная Корея уступает по количеству государственных биткойнов только США (у которых 198 109 BTC) и Великобритании (61 245 BTC).
Как отмечают многие эксперты, для правительства Ким Чен Ына криптовалюта стала инструментом для уклонения от международных санкций и финансирования ядерной программы. В то время как в таких странах, как Сальвадор, практикуется открытое хождение криптовалюты, Северная Корея в основном добывает ее посредством кибератак и незаконной деятельности.
Источник: https://www.thetimes.com/world/asia/article/north-korea-bitcoin-third-largest-reserve-world-75qtbgjk6
#криптовалюта #Lazarus
20.03.202506:04
Треть объектов КИИ не переведена на отечественное ПО, заявил глава Минцифры
Около трети объектов критической информационной инфраструктуры (КИИ) в России не были переведены на российское программное обеспечение в установленные сроки, заявил глава Минцифры Максуд Шадаев. Согласно указу президента РФ Владимира Путина, сделать это надо было с 1 января 2025 года, после чего значимым критическим объектам, госорганам и госкомпаниям запрещено пользоваться иностранными операционными системами и ПО. Для систем управления базами данных предельным сроком установлено 1 января 2026-го.
Министр объяснил, что не во всех случаях неисполнение требования указа связано с нежеланием собственника объекта КИИ перевести его на отечественный софт.
«Иногда у нас не готово, нет достаточно зрелых российских решений, которые без ущерба для производственной деятельности организации позволяют перевести эти объекты на российские технологии», - уточнил министр.
Многие организации при попытке миграции на ПО российского производства также столкнулись с регуляторными барьерами и ограничениями. По словам собедсеников Tadviser, одна из проблем импортозамещения состоит в том, что не весь российский софт совместим с определенными операционными системами.
Источник: Tadviser
#импортозамещение #КИИ
Около трети объектов критической информационной инфраструктуры (КИИ) в России не были переведены на российское программное обеспечение в установленные сроки, заявил глава Минцифры Максуд Шадаев. Согласно указу президента РФ Владимира Путина, сделать это надо было с 1 января 2025 года, после чего значимым критическим объектам, госорганам и госкомпаниям запрещено пользоваться иностранными операционными системами и ПО. Для систем управления базами данных предельным сроком установлено 1 января 2026-го.
Министр объяснил, что не во всех случаях неисполнение требования указа связано с нежеланием собственника объекта КИИ перевести его на отечественный софт.
«Иногда у нас не готово, нет достаточно зрелых российских решений, которые без ущерба для производственной деятельности организации позволяют перевести эти объекты на российские технологии», - уточнил министр.
Многие организации при попытке миграции на ПО российского производства также столкнулись с регуляторными барьерами и ограничениями. По словам собедсеников Tadviser, одна из проблем импортозамещения состоит в том, что не весь российский софт совместим с определенными операционными системами.
Источник: Tadviser
#импортозамещение #КИИ
19.03.202510:47
В настоящее время разработка безопасного ПО становится всё более актуальной задачей. Это связано с тем, что всё больше разработчиков обращают внимание не только на оптимизацию и функциональные возможности продуктов, но и на их безопасность.
В статье «Построение контура разработки безопасного ПО» представлен подход к созданию контура разработки безопасного программного обеспечения, который применяется для создания инфраструктуры по разработке программного обеспечения, предусматривающей предотвращение появления проблем безопасности информации, а также их эффективное обнаружение и устранение.
В статье «Построение контура разработки безопасного ПО» представлен подход к созданию контура разработки безопасного программного обеспечения, который применяется для создания инфраструктуры по разработке программного обеспечения, предусматривающей предотвращение появления проблем безопасности информации, а также их эффективное обнаружение и устранение.
20.03.202509:17
В России наблюдается сбой в работе операторов связи и сервисов
В Рунете произошел сбой в работе интернет-сервисов, сообщают РИА Новости со ссылкой на Роскомнадзор. Согласно сайту Downdetector, проблемы наблюдаются у ряда российских операторов связи, включая Ростелеком, а также в интернет-сервисов WhatsApp (принадлежит Meta, признанной экстремистской и запрещенной в РФ) и VK.
Также сообщается о сбоях при использовании сервисов МТС, «Билайн», Epic Games, Figma, Genshin Impact, Discord, Twitch, DeepSeek.
В Роскомнадзоре сбой связывают с использованием компаниями иностранных серверов.
«Неработоспособность некоторых российских сервисов связана с использованием иностранной серверной инфраструктуры, на которой и фиксируются сбои», - приводят РИА Новости цитату регулятора.
Роскомнадзор порекомендовал отечественным организациям пользоваться мощностями российских хостинг-провайдеров.
Источник: https://ria.ru/20250320/sboi-2006137525.html
В Рунете произошел сбой в работе интернет-сервисов, сообщают РИА Новости со ссылкой на Роскомнадзор. Согласно сайту Downdetector, проблемы наблюдаются у ряда российских операторов связи, включая Ростелеком, а также в интернет-сервисов WhatsApp (принадлежит Meta, признанной экстремистской и запрещенной в РФ) и VK.
Также сообщается о сбоях при использовании сервисов МТС, «Билайн», Epic Games, Figma, Genshin Impact, Discord, Twitch, DeepSeek.
В Роскомнадзоре сбой связывают с использованием компаниями иностранных серверов.
«Неработоспособность некоторых российских сервисов связана с использованием иностранной серверной инфраструктуры, на которой и фиксируются сбои», - приводят РИА Новости цитату регулятора.
Роскомнадзор порекомендовал отечественным организациям пользоваться мощностями российских хостинг-провайдеров.
Источник: https://ria.ru/20250320/sboi-2006137525.html
20.03.202514:02
Миллионы компьютеров Linux может взломать любой разработчик через атаки на дистрибутивы
Исследователь безопасности Максим Ринаудо в своем блоге рассуждает о особенностях кибератак на дистрибутивы Linux. Подобные кампании по сути являются атаками на цепочки поставок и представляют особый интерес для злоумышленников. Вместо того, чтобы нацеливаться на конкретную жертву, гораздо проще проникнуть в менее защищенные активы, такие как программные зависимости, встроенное ПО или поставщики услуг. В свою очередь, эти компоненты также имеют свои собственные уровни зависимостей, в итоге для защитников это превращается в невероятно сложную проблему.
Свежих примеров таких атак предостаточно. Чего только стоит компрометация важной зависимости XZ Utils, когда злоумышленник в течение трех лет завоевывал доверие сообщества и вносил вклады, пока его не включили в команду поддержки проекта и он не внедрил в XZ Utils бэкдор.
Как отмечает Ринаудо, атаку такой сложности и длительности могли осуществить только хакеры, финансируемые каким-либо государством, или крупные преступные группы. В то же время злоумышленник был нацелен на определенную библиотеку в дереве зависимостей OpenSSH. Но что нужно, чтобы скомпрометировать весь дистрибутив Linux напрямую через их публичную инфраструктуру?
Ринаудо считает, что для этого киберпреступникам придется скомпрометировать программную инфраструктуру дистрибутивов Linux для бэкдор-пакетов перед процессом подписания. В противном случае сообщество не будет считать пакет с бэкдором легитимным. Так, злоумышленник будет атаковать одно из трех звеньев: непосредственно зависимые проекты (UPSTREAM), систему управления исходным кодом (PACKAGING) или цепочку инструментов сборки пакета (BUILD).
Компрометация XZ Utils показала, что ресурсы, необходимые для внедрения в upstream, существенны, а риски обнаружения высоки. Однако документация к дистрибутивам позволяет выявить самое слабое звено, на которое можно начать атаку. Исследователь приходит к выводу, что для Linux Fedora таким звеном может стать служба Apps Directory.
Подобные службы, как правило, имеют открытый исходный код, поэтому их легко развернуть в тестовой лаборатории. Кроме того, поскольку они доступны для всех желающих, это увеличивает поверхность атаки.
Следом команда Ринаудо выявила уязвимости в Pagure – бесплатном сервисе для хостинга git-репозиториев (Git forge), используемом Fedora для хранения определений пакетов, а также скомпрометировала инструментарий Open Build Service, используемый и разработанный проектом openSUSE для компиляции и упаковки. Вкупе эксплуатация этих проблем позволила бы злоумышленникам скомпрометировать все пакеты дистрибутивов Fedora и openSUSE, а также их нижестоящих дистрибутивов, что повлияло бы на миллионы серверов и настольных компьютеров Linux.
По сравнению с XZ Utils, эти атаки доступны большинству разработчиков и специалистов по безопасности. Обе основаны на одном и том же общем классе ошибок (инъекции аргументов) и потребовали всего несколько дней работы.
Ринаудо также опубликовал два технических отчета об атаках Open Build Service и Pagure.
Источник: https://fenrisk.com/supply-chain-attacks
#Linux #цепочкапоставок #opensource
Исследователь безопасности Максим Ринаудо в своем блоге рассуждает о особенностях кибератак на дистрибутивы Linux. Подобные кампании по сути являются атаками на цепочки поставок и представляют особый интерес для злоумышленников. Вместо того, чтобы нацеливаться на конкретную жертву, гораздо проще проникнуть в менее защищенные активы, такие как программные зависимости, встроенное ПО или поставщики услуг. В свою очередь, эти компоненты также имеют свои собственные уровни зависимостей, в итоге для защитников это превращается в невероятно сложную проблему.
Свежих примеров таких атак предостаточно. Чего только стоит компрометация важной зависимости XZ Utils, когда злоумышленник в течение трех лет завоевывал доверие сообщества и вносил вклады, пока его не включили в команду поддержки проекта и он не внедрил в XZ Utils бэкдор.
Как отмечает Ринаудо, атаку такой сложности и длительности могли осуществить только хакеры, финансируемые каким-либо государством, или крупные преступные группы. В то же время злоумышленник был нацелен на определенную библиотеку в дереве зависимостей OpenSSH. Но что нужно, чтобы скомпрометировать весь дистрибутив Linux напрямую через их публичную инфраструктуру?
Ринаудо считает, что для этого киберпреступникам придется скомпрометировать программную инфраструктуру дистрибутивов Linux для бэкдор-пакетов перед процессом подписания. В противном случае сообщество не будет считать пакет с бэкдором легитимным. Так, злоумышленник будет атаковать одно из трех звеньев: непосредственно зависимые проекты (UPSTREAM), систему управления исходным кодом (PACKAGING) или цепочку инструментов сборки пакета (BUILD).
Компрометация XZ Utils показала, что ресурсы, необходимые для внедрения в upstream, существенны, а риски обнаружения высоки. Однако документация к дистрибутивам позволяет выявить самое слабое звено, на которое можно начать атаку. Исследователь приходит к выводу, что для Linux Fedora таким звеном может стать служба Apps Directory.
Подобные службы, как правило, имеют открытый исходный код, поэтому их легко развернуть в тестовой лаборатории. Кроме того, поскольку они доступны для всех желающих, это увеличивает поверхность атаки.
Следом команда Ринаудо выявила уязвимости в Pagure – бесплатном сервисе для хостинга git-репозиториев (Git forge), используемом Fedora для хранения определений пакетов, а также скомпрометировала инструментарий Open Build Service, используемый и разработанный проектом openSUSE для компиляции и упаковки. Вкупе эксплуатация этих проблем позволила бы злоумышленникам скомпрометировать все пакеты дистрибутивов Fedora и openSUSE, а также их нижестоящих дистрибутивов, что повлияло бы на миллионы серверов и настольных компьютеров Linux.
По сравнению с XZ Utils, эти атаки доступны большинству разработчиков и специалистов по безопасности. Обе основаны на одном и том же общем классе ошибок (инъекции аргументов) и потребовали всего несколько дней работы.
Ринаудо также опубликовал два технических отчета об атаках Open Build Service и Pagure.
Источник: https://fenrisk.com/supply-chain-attacks
#Linux #цепочкапоставок #opensource
21.03.202512:37
Google приобретает не просто Wiz, но и ее сотрудников – бывших израильских кибершпионов из Подразделения 8200
Одной из главных сделок этой недели стало приобретение техгигантом Google израильской компании по кибербезопасности Wiz за 32 млрд долларов. Wiz управляется и укомплектована десятками бывших членов Подразделения 8200, специализированного подразделения по кибершпионажу Армии обороны Израиля. Получается, что после покупки компании они фактически будут работать на США.
Как отмечает блогер и исследователь безопасности Нэйт Бэр, именно подразделение 8200 разработало алгоритмы, которые выполняли поиск целей в Газе с помощью искусственного интеллекта (ИИ), а также отвечало за атаку пейджеров в Ливане. Теперь же сотрудники подразделения, имена которых Бэр перечисляет в своей статье, поглощаются американским техгигантом.
Отмечается, что сделка Wiz принесет Израилю около 5 миллиардов долларов дохода, что составляет 0,6% от всего ВВП страны. По подсчетам Бэра, цена за Wiz превышает стоимость крупной авиа- или нефтяной компании. Кроме того, автор статьи отмечает, что Google и ранее вкладывала значительные средства в Израиль, в том числе купила несколько израильских стартапов в сфере технологий. Впрочем, в данном случае продажа Wiz, по мнению Бэра, больше выглядит как вынужденная сделка, чтобы обеспечить приток живых денег в Израиль, который потратил солидные средства на спецоперацию в Газе.
Источник: https://www.donotpanic.news/p/google-imports-ex-israeli-spies-the
#кибербезопасность
Одной из главных сделок этой недели стало приобретение техгигантом Google израильской компании по кибербезопасности Wiz за 32 млрд долларов. Wiz управляется и укомплектована десятками бывших членов Подразделения 8200, специализированного подразделения по кибершпионажу Армии обороны Израиля. Получается, что после покупки компании они фактически будут работать на США.
Как отмечает блогер и исследователь безопасности Нэйт Бэр, именно подразделение 8200 разработало алгоритмы, которые выполняли поиск целей в Газе с помощью искусственного интеллекта (ИИ), а также отвечало за атаку пейджеров в Ливане. Теперь же сотрудники подразделения, имена которых Бэр перечисляет в своей статье, поглощаются американским техгигантом.
Отмечается, что сделка Wiz принесет Израилю около 5 миллиардов долларов дохода, что составляет 0,6% от всего ВВП страны. По подсчетам Бэра, цена за Wiz превышает стоимость крупной авиа- или нефтяной компании. Кроме того, автор статьи отмечает, что Google и ранее вкладывала значительные средства в Израиль, в том числе купила несколько израильских стартапов в сфере технологий. Впрочем, в данном случае продажа Wiz, по мнению Бэра, больше выглядит как вынужденная сделка, чтобы обеспечить приток живых денег в Израиль, который потратил солидные средства на спецоперацию в Газе.
Источник: https://www.donotpanic.news/p/google-imports-ex-israeli-spies-the
#кибербезопасность
21.03.202509:20
Расширения VSCode загружают программу-вымогатель, находящуюся в разработке
Злоумышленники ищут новые способы атаковать разработчиков – на этот раз через редактор кода Visual Studio Code (VSCode). ReversingLabs обнаружила два вредоносных расширения VSCode Marketplace, которые развертывали программу-вымогатель, находящуюся на стадии разработки. Сам факт этого указывает на критические пробелы в процессе проверки Microsoft, которой принадлежит продукт VSCode.
Расширения под названием «ahban.shiba» и «ahban.cychelloworld» были загружены семь и восемь раз соответственно, прежде чем они были в конечном итоге удалены из магазина. Примечательно, что расширения были загружены 27 октября 2024 года и 17 февраля 2025 года, оставаясь в магазине Microsoft многие месяцы.
VSCode Marketplace – это популярная онлайн-платформа, на которой разработчики могут находить, устанавливать и делиться расширениями для VSCode.
Исследователи ReversingLabs обнаружили, что оба вредоносных расширения содержат команду PowerShell, которая загружает и выполняет другой скрипт PS, действующий как программа-вымогатель с удаленного сервера, размещенного на AWS.
Программа-вымогатель явно находится в стадии разработки или тестирования, поскольку она шифрует только файлы в папке C:\users\%username%\Desktop\testShiba и не затрагивает никакие другие файлы.
После завершения шифрования файлов скрипт отобразит предупреждение Windows со следующим текстом: «Ваши файлы зашифрованы. Заплатите 1 ShibaCoin в ShibaWallet, чтобы восстановить их». Никаких дополнительных инструкций, как при обычных атаках программ-вымогателей, не дается.
По данным ReversingLabs, Microsoft удалила два расширения из VSCode Marketplace, как только исследователи сообщили о них.
Однако исследователь безопасности ExtensionTotal Италия Крук сообщил, что изначально расширение ahban.cychelloworld не было вредоносным. Код программы-вымогателя был добавлен в него лишь во второй версии 0.0.2, которая была принята на VSCode Marketplace 24 ноября 2024 года. Крук оповестил об этом Microsoft уже 25 ноября с помощью автоматического отчета, сгенерированного сканером компании, однако техгигант Microsoft тогда на оповещение не отреагировал. С тех пор расширение ahban.cychelloworld имело еще пять релизов, все из которых содержали вредоносный код и все были приняты в магазине Microsoft.
Источник: https://www.bleepingcomputer.com/news/security/vscode-extensions-found-downloading-early-stage-ransomware/
#ransomware
Злоумышленники ищут новые способы атаковать разработчиков – на этот раз через редактор кода Visual Studio Code (VSCode). ReversingLabs обнаружила два вредоносных расширения VSCode Marketplace, которые развертывали программу-вымогатель, находящуюся на стадии разработки. Сам факт этого указывает на критические пробелы в процессе проверки Microsoft, которой принадлежит продукт VSCode.
Расширения под названием «ahban.shiba» и «ahban.cychelloworld» были загружены семь и восемь раз соответственно, прежде чем они были в конечном итоге удалены из магазина. Примечательно, что расширения были загружены 27 октября 2024 года и 17 февраля 2025 года, оставаясь в магазине Microsoft многие месяцы.
VSCode Marketplace – это популярная онлайн-платформа, на которой разработчики могут находить, устанавливать и делиться расширениями для VSCode.
Исследователи ReversingLabs обнаружили, что оба вредоносных расширения содержат команду PowerShell, которая загружает и выполняет другой скрипт PS, действующий как программа-вымогатель с удаленного сервера, размещенного на AWS.
Программа-вымогатель явно находится в стадии разработки или тестирования, поскольку она шифрует только файлы в папке C:\users\%username%\Desktop\testShiba и не затрагивает никакие другие файлы.
После завершения шифрования файлов скрипт отобразит предупреждение Windows со следующим текстом: «Ваши файлы зашифрованы. Заплатите 1 ShibaCoin в ShibaWallet, чтобы восстановить их». Никаких дополнительных инструкций, как при обычных атаках программ-вымогателей, не дается.
По данным ReversingLabs, Microsoft удалила два расширения из VSCode Marketplace, как только исследователи сообщили о них.
Однако исследователь безопасности ExtensionTotal Италия Крук сообщил, что изначально расширение ahban.cychelloworld не было вредоносным. Код программы-вымогателя был добавлен в него лишь во второй версии 0.0.2, которая была принята на VSCode Marketplace 24 ноября 2024 года. Крук оповестил об этом Microsoft уже 25 ноября с помощью автоматического отчета, сгенерированного сканером компании, однако техгигант Microsoft тогда на оповещение не отреагировал. С тех пор расширение ahban.cychelloworld имело еще пять релизов, все из которых содержали вредоносный код и все были приняты в магазине Microsoft.
Источник: https://www.bleepingcomputer.com/news/security/vscode-extensions-found-downloading-early-stage-ransomware/
#ransomware
19.03.202510:46
В условиях стремительного роста технологий и всеобъемлющей зависимости от программного обеспечения с открытым исходным кодом безопасность становится приоритетом для разработчиков и организаций.
В статье «Поиск уязвимостей по открытым источникам в рамках цикла разработки безопасного ПО» рассматриваются методы и инструменты анализа уязвимостей по открытым источникам, их применение для повышения уровня безопасности ПО и лучшие практики их интеграции в процесс разработки. Отдельное внимание отведено композиционному анализу, который представляет собой мощный инструмент для выявления уязвимостей в программном обеспечении, включая библиотеки и компоненты, используемые в разработке.
В статье «Поиск уязвимостей по открытым источникам в рамках цикла разработки безопасного ПО» рассматриваются методы и инструменты анализа уязвимостей по открытым источникам, их применение для повышения уровня безопасности ПО и лучшие практики их интеграции в процесс разработки. Отдельное внимание отведено композиционному анализу, который представляет собой мощный инструмент для выявления уязвимостей в программном обеспечении, включая библиотеки и компоненты, используемые в разработке.
19.03.202508:44
Cloudflare: хакеры знают половину паролей, введенных в интернете
Исследователи Cloudflare проанализировали трафик с сентября по ноябрь 2024 года и обнаружили, что в 41% случаев пользователи используют уже скомпрометированные пароли при входе в электронную почту, социальные сети или любые другие онлайн-сервисы.
Ситуацию усугубляет тот факт, что многие используют одни и те же пароли (или их легко угадываемые вариации) в разных сервисах, «создавая волновой эффект риска, когда их учетные данные утекают».
Реальный процент утекших и до сих пор используемых паролей может быть еще выше, поскольку Cloudflare проанализировала лишь 20% сети. Исследователи проверили собственную базу данных из более чем 15 миллиардов утекших паролей, включая набор данных из сервиса Have I Been Pwned.
Ситуация становится еще хуже, если учесть все запросы на аутентификацию, включая неудачные попытки входа. В этом случае 52% всех обнаруженных запросов на аутентификацию содержат украденные пароли.
Отмечается, что 95% попыток входа с использованием украденных паролей исходят от ботов, которые могут проверять тысячи комбинаций ввода за считанные секунды. После того, как боты успешно подбирают пароль для одной учетной записи, злоумышленники используют эти же учетные данные в других сервисах жертвы.
Чаще всего киберпреступники нацеливаются на популярные системы управления контентом (CMS), используемые для создания веб-сайтов, такие как WordPress, Joomla, Drupal и другие платформы.
Исследователи обнаружили, что 76% попыток входа с использованием украденных паролей успешны на сайтах WordPress, и половина из эимх попыток управляется ботами. Cloudflare назвал эту цифру шокирующей.
Лишь 5% попыток входа с использованием известных паролей отклоняются в системах WordPress, что, по мнению исследователей, свидетельствует об отсутствии мер безопасности, таких как ограничение скорости ввода паролей или многофакторная аутентификация.
Источник: https://blog.cloudflare.com/password-reuse-rampant-half-user-logins-compromised/
#пароли #аутентификация
Исследователи Cloudflare проанализировали трафик с сентября по ноябрь 2024 года и обнаружили, что в 41% случаев пользователи используют уже скомпрометированные пароли при входе в электронную почту, социальные сети или любые другие онлайн-сервисы.
Ситуацию усугубляет тот факт, что многие используют одни и те же пароли (или их легко угадываемые вариации) в разных сервисах, «создавая волновой эффект риска, когда их учетные данные утекают».
Реальный процент утекших и до сих пор используемых паролей может быть еще выше, поскольку Cloudflare проанализировала лишь 20% сети. Исследователи проверили собственную базу данных из более чем 15 миллиардов утекших паролей, включая набор данных из сервиса Have I Been Pwned.
Ситуация становится еще хуже, если учесть все запросы на аутентификацию, включая неудачные попытки входа. В этом случае 52% всех обнаруженных запросов на аутентификацию содержат украденные пароли.
Отмечается, что 95% попыток входа с использованием украденных паролей исходят от ботов, которые могут проверять тысячи комбинаций ввода за считанные секунды. После того, как боты успешно подбирают пароль для одной учетной записи, злоумышленники используют эти же учетные данные в других сервисах жертвы.
Чаще всего киберпреступники нацеливаются на популярные системы управления контентом (CMS), используемые для создания веб-сайтов, такие как WordPress, Joomla, Drupal и другие платформы.
Исследователи обнаружили, что 76% попыток входа с использованием украденных паролей успешны на сайтах WordPress, и половина из эимх попыток управляется ботами. Cloudflare назвал эту цифру шокирующей.
Лишь 5% попыток входа с использованием известных паролей отклоняются в системах WordPress, что, по мнению исследователей, свидетельствует об отсутствии мер безопасности, таких как ограничение скорости ввода паролей или многофакторная аутентификация.
Источник: https://blog.cloudflare.com/password-reuse-rampant-half-user-logins-compromised/
#пароли #аутентификация
19.03.202514:22
Лишь 20% россиян ответят на звонок с незнакомого номера, показывает исследование T2
Компания T2 исследовала, как клиенты реагируют на звонки с незнакомых номеров, сообщения в мессенджерах от незнакомцев. Результаты опроса позволили сделать вывод, насколько пользователи подвержены различным мошенническим сценариям.
- Только 20,6% респондентов примут входящий звонок с незнакомого номера, при этом 36% отвечают на такие вызовы от случая к случаю, а 43% в принципе не берут трубку, если не знают звонящего.
- 46% опрошенных ищут потом в интернете историю конкретного номера, а 37,5% не ищут; тем временем 40% клиентов подтвердили, что пользуются определителем номеров.
- В случае если пользователи понимают, что ответили на звонок мошенника, две трети незамедлительно прервут разговор, 5,5% отругают звонящего, а 28% попробуют разыграть злоумышленника. T2 рекомендует в этих случаях положить трубку и заблокировать номер.
- 20% респондентов полностью отключают возможность позвонить себе в мессенджере, 67,5% разрешают приложению допускать вызовы от людей из списка контактов. И только 12,8% опрошенных не ограничивают эту функцию.
- Если абонент получит сообщение с предложением забрать подарок от одного из брендов, то свыше половины абонентов засомневаются и не воспользуются «щедрым» предложением, но 21% все же будут склонны получить приз. Т2 предупреждает, что в этом случае пользователю могут предложить перейти по сомнительным ссылкам, и активация «подарка» может привести к потере доступа в аккаунт мессенджера.
- Если к клиенту обращается друг и отправляет ссылку на конкурс, с просьбой поддержать, только 10,2% перейдут к голосованию и поделятся этой информацией с друзьями. Треть – проигнорирует сообщение, еще чуть более половины уточнять лично у своего знакомого, его ли это просьба.
- На просьбу незнакомого коллеги скачать файл в мессенджере откликнутся только 7,9%.
Т2 дает ряд рекомендаций абонентам, чтобы защититься от телефонного мошенничества, - например, запретить звонки и сообщения в мессенджерах от езнакомцев, включить определитель номер, самостоятельно уточнять у своих знакомых, поступали ли от них какие-либо просьбы (о переводе денег или голосовании за ребенка), а также придумать кодовые фразы для общения с близкими. Наконец, не стоит делиться избыточной информацией о себе в интернете и переходить по подозрительным ссылкам.
Источник: https://content-review.com/articles/68167/
#мошенничество
Компания T2 исследовала, как клиенты реагируют на звонки с незнакомых номеров, сообщения в мессенджерах от незнакомцев. Результаты опроса позволили сделать вывод, насколько пользователи подвержены различным мошенническим сценариям.
- Только 20,6% респондентов примут входящий звонок с незнакомого номера, при этом 36% отвечают на такие вызовы от случая к случаю, а 43% в принципе не берут трубку, если не знают звонящего.
- 46% опрошенных ищут потом в интернете историю конкретного номера, а 37,5% не ищут; тем временем 40% клиентов подтвердили, что пользуются определителем номеров.
- В случае если пользователи понимают, что ответили на звонок мошенника, две трети незамедлительно прервут разговор, 5,5% отругают звонящего, а 28% попробуют разыграть злоумышленника. T2 рекомендует в этих случаях положить трубку и заблокировать номер.
- 20% респондентов полностью отключают возможность позвонить себе в мессенджере, 67,5% разрешают приложению допускать вызовы от людей из списка контактов. И только 12,8% опрошенных не ограничивают эту функцию.
- Если абонент получит сообщение с предложением забрать подарок от одного из брендов, то свыше половины абонентов засомневаются и не воспользуются «щедрым» предложением, но 21% все же будут склонны получить приз. Т2 предупреждает, что в этом случае пользователю могут предложить перейти по сомнительным ссылкам, и активация «подарка» может привести к потере доступа в аккаунт мессенджера.
- Если к клиенту обращается друг и отправляет ссылку на конкурс, с просьбой поддержать, только 10,2% перейдут к голосованию и поделятся этой информацией с друзьями. Треть – проигнорирует сообщение, еще чуть более половины уточнять лично у своего знакомого, его ли это просьба.
- На просьбу незнакомого коллеги скачать файл в мессенджере откликнутся только 7,9%.
Т2 дает ряд рекомендаций абонентам, чтобы защититься от телефонного мошенничества, - например, запретить звонки и сообщения в мессенджерах от езнакомцев, включить определитель номер, самостоятельно уточнять у своих знакомых, поступали ли от них какие-либо просьбы (о переводе денег или голосовании за ребенка), а также придумать кодовые фразы для общения с близкими. Наконец, не стоит делиться избыточной информацией о себе в интернете и переходить по подозрительным ссылкам.
Источник: https://content-review.com/articles/68167/
#мошенничество
19.03.202511:40
11 проправительственных хакерских групп используют уязвимость zero-day в Windows с 2017 года
Неисправленная уязвимость нулевого дня в Microsoft Windows, известная как ZDI-CAN-25373, активно эксплуатируется 11 проправительственными хакерскими группами из Китая, Ирана и Северной Кореи с 2017 года.
Брешь связана с файлами Windows Shortcut (.LNK) и позволяет злоумышленникам выполнять скрытые вредоносные команды на компьютере жертвы. Атаки используют скрытые аргументы командной строки, маскируя их с помощью пробелов, табуляции и других символов, что затрудняет обнаружение. На сегодня обнаружено почти 1000 образцов .LNK-файлов, связанных с такими группами, как Evil Corp, Kimsuky, Konni, Bitter и ScarCruft.
Основными целями атак стали правительственные организации, финансовые учреждения, телекоммуникационные компании и военные структуры в США, Канаде, России, Южной Корее, Вьетнаме и Бразилии.
.LNK-файлы используются для доставки вредоносных программ, таких как Lumma Stealer, GuLoader и Remcos RAT.
Невзирая на факты масштабной эксплуатации, Microsoft классифицировала уязвимость как низкую по серьёзности и не планирует срочное исправление, полагаясь на защиту Microsoft Defender и Smart App Control. Однако специалисты обращают внимание, что отсутствие исправления делает организации беззащитными перед атаками, которые маскируют важную информацию, не позволяя пользователям оценить реальный уровень угрозы.
#кибербезопасность #уязвимостьнулевогодня
Источник: https://thehackernews.com/2025/03/unpatched-windows-zero-day-flaw.html
Неисправленная уязвимость нулевого дня в Microsoft Windows, известная как ZDI-CAN-25373, активно эксплуатируется 11 проправительственными хакерскими группами из Китая, Ирана и Северной Кореи с 2017 года.
Брешь связана с файлами Windows Shortcut (.LNK) и позволяет злоумышленникам выполнять скрытые вредоносные команды на компьютере жертвы. Атаки используют скрытые аргументы командной строки, маскируя их с помощью пробелов, табуляции и других символов, что затрудняет обнаружение. На сегодня обнаружено почти 1000 образцов .LNK-файлов, связанных с такими группами, как Evil Corp, Kimsuky, Konni, Bitter и ScarCruft.
Основными целями атак стали правительственные организации, финансовые учреждения, телекоммуникационные компании и военные структуры в США, Канаде, России, Южной Корее, Вьетнаме и Бразилии.
.LNK-файлы используются для доставки вредоносных программ, таких как Lumma Stealer, GuLoader и Remcos RAT.
Невзирая на факты масштабной эксплуатации, Microsoft классифицировала уязвимость как низкую по серьёзности и не планирует срочное исправление, полагаясь на защиту Microsoft Defender и Smart App Control. Однако специалисты обращают внимание, что отсутствие исправления делает организации беззащитными перед атаками, которые маскируют важную информацию, не позволяя пользователям оценить реальный уровень угрозы.
#кибербезопасность #уязвимостьнулевогодня
Источник: https://thehackernews.com/2025/03/unpatched-windows-zero-day-flaw.html
21.03.202506:31
Clearview AI хотела купить данные миллионов людей, включая номера соцстрахования и фото
Компания Clearview AI, известная разработками в области распознавания лиц, пыталась приобрести сотни миллионов записей об арестах, включая номера соцстрахования, фото арестованных людей и электронные адреса.
Компания планировала купить 690 млн записей и 390 млн фото из всех 50 штатов США через фирму Investigative Consultant (ICI). Однако сделка сорвалась из-за споров о качестве данных. Арбитражный суд в 2024 году обязал ICI вернуть деньги.
Clearview AI уже сталкивалась с критикой за сбор фото из соцсетей без согласия пользователей и продолжает сталкиваться с судебными исками и штрафами по всему миру.
Компания надеется на рост бизнеса при новой администрации США, но ее будущее остается неопределенным. Между тем, стремление получить доступ к таким масштабным данным вновь ставит под сомнение допустимые границы приватности и этичность применения технологий распознавания лиц.
#распознаваниелиц #конфиденциальность
Источник: https://www.404media.co/facial-recognition-company-clearview-attempted-to-buy-social-security-numbers-and-mugshots-for-its-database/
Компания Clearview AI, известная разработками в области распознавания лиц, пыталась приобрести сотни миллионов записей об арестах, включая номера соцстрахования, фото арестованных людей и электронные адреса.
Компания планировала купить 690 млн записей и 390 млн фото из всех 50 штатов США через фирму Investigative Consultant (ICI). Однако сделка сорвалась из-за споров о качестве данных. Арбитражный суд в 2024 году обязал ICI вернуть деньги.
Clearview AI уже сталкивалась с критикой за сбор фото из соцсетей без согласия пользователей и продолжает сталкиваться с судебными исками и штрафами по всему миру.
Компания надеется на рост бизнеса при новой администрации США, но ее будущее остается неопределенным. Между тем, стремление получить доступ к таким масштабным данным вновь ставит под сомнение допустимые границы приватности и этичность применения технологий распознавания лиц.
#распознаваниелиц #конфиденциальность
Источник: https://www.404media.co/facial-recognition-company-clearview-attempted-to-buy-social-security-numbers-and-mugshots-for-its-database/
Log in to unlock more functionality.