Браузеры не исправляли баг 18 лет, блокировка Signal в РФ и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

РКН подтвердил блокировку мессенджера Signal в РФ

Доступ к мессенджеру Signal на территории РФ ограничен по решению Роскомнадзора. Об этом сообщает "Интерфакс".

В качестве причины ведомство указало "нарушение требований законодательства по предотвращению использования мессенджера в террористических и экстремистских целях".

Российские пользователи начали жаловаться на сбои в работе сервиса с 8 августа. 

Создатели Signal подтвердили блокировку в ряде стран и пообещали сделать "все возможное" для поддержания и восстановления доступа к мессенджеру.

В США арестовали предполагаемых администраторов даркнет-форума WWH Club

Россиянин Павел Кублицкий и гражданин Казахстана Александр Ходырев арестованы в штате Флорида по обвинениям в ведении киберпреступной деятельности посредством даркнет-маркетплейса WWH Club. Об этом сообщает Court Watch.

По версии следствия, оба фигуранта являлись администраторами платформы по найму хакеров, продаже украденных банковских карт, незаконно полученной информации и обучающих курсов по кибермошенничеству. Количество пользователей форума превышало 170 000 человек.

ФБР получило доступ к панели администратора и базе данных сайта.

Ведомство обнаружило более сотни связанных с фигурантами биткоин-адресов, которые с июля 2015 по июнь 2024 года получили почти 4000 транзакций на общую сумму ~152 BTC (эквивалент $961 000 с учетом продолжительности периода оценки).

В декабре 2022 года Кублицкий и Ходырев запросили убежище в США. Они проживали в Южной Флориде и не были трудоустроены. При этом Кублицкий владел роскошным кондоминиумом в Санни-Айлс-Бич, а Ходырев приобрел автомобиль Chevrolet Corvette 2023 года стоимостью $110 000.

Одна из электронных почт россиянина позволила связать его с омским филиалом финансовой пирамиды МММ-2011, руководителем которого он являлся.

Подельникам вменяют торговлю и хранение несанкционированных устройств доступа. Их уголовные дела имеют гриф «секретно».

Биткоин-вымогатель BlackSuit требовал от жертв более $500 млн

Специалисты CISA и ФБР представили свежие подробности о деятельности операторов вируса-шифровальщика BlackSuit, которые вымогали у жертв в общей сложности свыше $500 млн в биткоинах.

We published an advisory with the @FBI on Royal ransomware actors (rebranded as #BlackSuit) with #IOCs and #TTPs from FBI investigations and third-party reporting. Read the advisory for mitigations: https://t.co/xLhqbONfNp pic.twitter.com/0GsrUrEeVO

— Cybersecurity and Infrastructure Security Agency (@CISAgov) August 7, 2024

Будучи прямой преемницей киберпреступного синдиката Conti группировка начала деятельность в январе 2022 года под названием Quantum, распространяя одноименный шифровальщик. Позднее вирус переименовали в Royal, а затем в BlackSuit. Под таким брендом он существовал с сентября 2022 по июнь 2023 года.

Размер выкупа обычно варьировался от $1 млн до $10 млн. Самый большой индивидуальный запрос составил $60 млн.

Уязвимость 18 лет позволяла обходить защиту Chrome, Firefox и Safari

Исследователи Oligo Security обнаружили в крупнейших браузерах уязвимость, найденную еще 18 лет назад, в 2006 году, и не исправленную до сих пор. Она позволяет вредоносным сайтам обходить защиту в Chrome, Firefox и Safari, взламывая локальные сети.

????NEW 0-DAY VULNERABILITY
Oligo's research team has discovered a new #0day vulnerability in #Chrome, #Firefox, and #Safari.
This flaw exposes internal networks and private services on localhost to external attackers in public domains. @Forbes coverage:https://t.co/PmzwkQ5ehb

— Oligo Security (@OligoSecurity) August 7, 2024

Баг, получивший название 0.0.0.0 day, допускает использование одноименного IP-адреса по умолчанию вместо локального хоста 127.0.0.1. Таким образом хакеры могут отправлять удаленные запросы во внутренние сети. Это чревато выполнением произвольного кода и доступом к конфиденциальной информации.

Уязвимость затрагивает только устройства под управлением Linux и MacOS. Компьютеры с Windows в безопасности, поскольку Microsoft блокирует входящие сторонние подключения на уровне операционной системы.

Разработчики браузеров признали наличие проблемы и работают над ее устранением.

На DEF CON рассказали историю идентификации администратора LockBit

В идентификации администратора программы-вымогателя LockBit, известного под никами LockBitSupp и putinkrab, участвовал исследователь ИБ-фирмы Analyst1 Джон ДиМаджио. В рамках конференции DEF CON он поделился историей внедрения в банду и рассказал о наводке, которая помогла в установлении личности хакера — 31-летнего уроженца Воронежа Дмитрия Хорошева. Сжатую версию истории опубликовал Techcrunсh.

Для знакомства с LockBitSupp ДиМаджио притворился начинающим киберпреступником, желающим присоединиться к банде. С помощью подставных аккаунтов он общался с ближайшим окружением хакера, создавая персону, имеющую бэкграунд и связи в даркнете.

Месяцами он завоевывал доверие Хорошева и стал его другом, по пути выведывая детали проводимых кибератак. Они обсуждали, как вести переговоры с жертвами и как установить правильный размер выкупа.

Узнать реальное имя LockBitSupp помогла анонимная наводка — ДиМаджио получил адрес его Яндекс-почты.

«Это был мой первый опыт доксинга. [После того, как ФБР объявило] его имя, я опубликовал все остальное: место жительства, текущие и предыдущие номера телефонов», — рассказал специалист. 

В качестве прощания ДиМаджио написал Хорошеву сообщение с объяснением, что он должен раскрыть его личность прежде, чем это сделают другие:

«LockBitSupp, ты умный парень. Ты сказал, что деньги больше не главное, и ты хочешь иметь миллион жертв, прежде чем остановишься, но иногда нужно знать, когда уйти. Настало то самое время, мой старый друг».

После этого Хорошев больше ему не писал.

Подробный рассказ со всей документацией доступен в блоге ДиМаджио.

Также на ForkLog:

• В OKX опровергли целенаправленную блокировку клиентов из СНГ. При этом эксперты считают, что РФ является для биржи зоной повышенного риска.
• Взломщик протокола Nomad перевел 14 500 ETH на Tornado Cash.
• В Казахстане пресекли нелегальный оборот криптовалют на $75,4 млн.
• Неизвестные вывели из сайдчена Ronin свыше $11 млн. Позднее средства вернули.

Что почитать на выходных?

В специальном материале рассказываем личные истории клиентов рухнувшей биржи Mt.Gox и об их проблемах с возвратом средств. 

https://forklog.com/exclusive/chto-proishodit-so-sredstvami-mt-gox-rasskazyvayut-polzovateli-reddit