Мы собрали наиболее важные новости из мира кибербезопасности за неделю.
РКН подтвердил блокировку мессенджера Signal в РФ.
Биткоин-вымогатель BlackSuit требовал от жертв более $500 млн.
Уязвимость 18 лет позволяла обходить защиту Chrome, Firefox и Safari.
В США арестовали предполагаемых администраторов даркнет-форума WWH Club.
РКН подтвердил блокировку мессенджера Signal в РФ.
Доступ к мессенджеру Signal на территории РФ ограничен по решению Роскомнадзора. Об этом сообщает «Интерфакс».
В качестве причины ведомство указало «нарушение требований законодательства по предотвращению использования мессенджера в террористических и экстремистских целях».
Российские пользователи начали жаловаться на сбои в работе сервиса с 8 августа.
Создатели Signal подтвердили блокировку в ряде стран и пообещали сделать «все возможное» для поддержания и восстановления доступа к мессенджеру.
В США арестовали предполагаемых администраторов даркнет-форума WWH Club.
Россиянин Павел Кублицкий и гражданин Казахстана Александр Ходырев арестованы в штате Флорида по обвинениям в ведении киберпреступной деятельности посредством даркнет-маркетплейса WWH Club. Об этом сообщает Court Watch.
По версии следствия, оба фигуранта являлись администраторами платформы по найму хакеров, продаже украденных банковских карт, незаконно полученной информации и обучающих курсов по кибермошенничеству. Количество пользователей форума превышало 170 000 человек.
ФБР получило доступ к панели администратора и базе данных сайта.
Ведомство обнаружило более сотни связанных с фигурантами биткоин-адресов, которые с июля 2015 по июнь 2024 года получили почти 4000 транзакций на общую сумму ~152 BTC (эквивалент $961 000 с учетом продолжительности периода оценки).
В декабре 2022 года Кублицкий и Ходырев запросили убежище в США. Они проживали в Южной Флориде и не были трудоустроены. При этом Кублицкий владел роскошным кондоминиумом в Санни-Айлс-Бич, а Ходырев приобрел автомобиль Chevrolet Corvette 2023 года стоимостью $110 000.
Одна из электронных почт россиянина позволила связать его с омским филиалом финансовой пирамиды МММ-2011, руководителем которого он являлся.
Подельникам вменяют торговлю и хранение несанкционированных устройств доступа. Их уголовные дела имеют гриф «секретно».
Биткоин-вымогатель BlackSuit требовал от жертв более $500 млн.
Специалисты CISA и ФБР представили свежие подробности о деятельности операторов вируса-шифровальщика BlackSuit, которые вымогали у жертв в общей сложности свыше $500 млн в биткоинах.
Будучи прямой преемницей киберпреступного синдиката Conti группировка начала деятельность в январе 2022 года под названием Quantum, распространяя одноименный шифровальщик. Позднее вирус переименовали в Royal, а затем в BlackSuit. Под таким брендом он существовал с сентября 2022 по июнь 2023 года.
Размер выкупа обычно варьировался от $1 млн до $10 млн. Самый большой индивидуальный запрос составил $60 млн.
Уязвимость 18 лет позволяла обходить защиту Chrome, Firefox и Safari.
Исследователи Oligo Security обнаружили в крупнейших браузерах уязвимость, найденную еще 18 лет назад, в 2006 году, и не исправленную до сих пор. Она позволяет вредоносным сайтам обходить защиту в Chrome, Firefox и Safari, взламывая локальные сети.
Баг, получивший название 0.0.0.0 day, допускает использование одноименного IP-адреса по умолчанию вместо локального хоста 127.0.0.1. Таким образом хакеры могут отправлять удаленные запросы во внутренние сети. Это чревато выполнением произвольного кода и доступом к конфиденциальной информации.
Уязвимость затрагивает только устройства под управлением Linux и MacOS. Компьютеры с Windows в безопасности, поскольку Microsoft блокирует входящие сторонние подключения на уровне операционной системы.
Разработчики браузеров признали наличие проблемы и работают над ее устранением.
На DEF CON рассказали историю идентификации администратора LockBit.
В идентификации администратора программы-вымогателя LockBit, известного под никами LockBitSupp и putinkrab, участвовал исследователь ИБ-фирмы Analyst1 Джон ДиМаджио. В рамках конференции DEF CON он поделился историей внедрения в банду и рассказал о наводке, которая помогла в установлении личности хакера — 31-летнего уроженца Воронежа Дмитрия Хорошева. Сжатую версию истории опубликовал Techcrunсh.
Для знакомства с LockBitSupp ДиМаджио притворился начинающим киберпреступником, желающим присоединиться к банде. С помощью подставных аккаунтов он общался с ближайшим окружением хакера, создавая персону, имеющую бэкграунд и связи в даркнете.
Месяцами он завоевывал доверие Хорошева и стал его другом, по пути выведывая детали проводимых кибератак. Они обсуждали, как вести переговоры с жертвами и как установить правильный размер выкупа.
Узнать реальное имя LockBitSupp помогла анонимная наводка — ДиМаджио получил адрес его Яндекс-почты.
«Это был мой первый опыт доксинга. [После того, как ФБР объявило] его имя, я опубликовал все остальное: место жительства, текущие и предыдущие номера телефонов», — рассказал специалист.
В качестве прощания ДиМаджио написал Хорошеву сообщение с объяснением, что он должен раскрыть его личность прежде, чем это сделают другие:
«LockBitSupp, ты умный парень. Ты сказал, что деньги больше не главное, и ты хочешь иметь миллион жертв, прежде чем остановишься, но иногда нужно знать, когда уйти. Настало то самое время, мой старый друг».
После этого Хорошев больше ему не писал.
