Інтерв'ю з власником vx-underground, найбільшої колекції семплів, вихідних кодів та статей з дослідження малварі. З понад 35 000 000 семплів малварі, vx-underground є раєм для хакерів. Найціннішими знахідками бібліотеки малварі є зразки APT груп, включаючи Lazarus, FIN7, Ferocious Kitten, Nobelium і не тільки.
therecord.media
How vx-underground is building a hacker\'s dream library
When malware repository vx-underground launched in 2019, it hardly made a splash in the hacking world. \"I had no success really,\" said its founder, who goes by the online moniker smelly_vx.
Приємні новини на кібергоризонті. Російські системи активно почав атакувати шифрувальник під назвою RuRansom.
Як розповіли спеціалісти VMware, які підготували аналіз шифрувальника, малварь написана на .NET і може поширюватись на інші знімні або мережеві диски створюючи свою копію у вигляді файлу з назвою “Россия-Украина_Война-Обновление.doc.exe”.
При виконанні малварь виконує цікаву функцію під назвою IsRussia(), яка перевіряє публічний IP-адрес зараженої системи за допомогою сервіса https://api[.]ipify[.]org. І визначає геолокацію IP-адресу на сервісі https://ip-api[.]com. Якщо в геолокації машини жертви немає слова "Russia", тоді малварь виводить вікно з повідомленням “Программу могут запускать только российские пользователи”.
Для шифрування файлів малварь використовує AES алгоритм та змінює розширення зашифрованих файлів на “.fs_invade”. Коли файл зашифровано, у тій самій папці створюється ransom note файл з назвою “Полномасштабное_кибервторжение.txt”, у якому автор передає палке вітання Путіну і повідомляє, що ніякого способу розшифрувати файли немає..
Як розповіли спеціалісти VMware, які підготували аналіз шифрувальника, малварь написана на .NET і може поширюватись на інші знімні або мережеві диски створюючи свою копію у вигляді файлу з назвою “Россия-Украина_Война-Обновление.doc.exe”.
При виконанні малварь виконує цікаву функцію під назвою IsRussia(), яка перевіряє публічний IP-адрес зараженої системи за допомогою сервіса https://api[.]ipify[.]org. І визначає геолокацію IP-адресу на сервісі https://ip-api[.]com. Якщо в геолокації машини жертви немає слова "Russia", тоді малварь виводить вікно з повідомленням “Программу могут запускать только российские пользователи”.
Для шифрування файлів малварь використовує AES алгоритм та змінює розширення зашифрованих файлів на “.fs_invade”. Коли файл зашифровано, у тій самій папці створюється ransom note файл з назвою “Полномасштабное_кибервторжение.txt”, у якому автор передає палке вітання Путіну і повідомляє, що ніякого способу розшифрувати файли немає..
VMware Security Blog
Understanding the RuRansom Malware – A Retaliatory Wiper
Take a deep dive with the Threat Analysis Unit into the RuRansom malware. A new ransomware shaping the Russian/Ukraine conflict.
Після зливу внутрішніх переписок та ресурсів українським учасником групи, Conti змогла оговтатись і схоже перебуває на тій стадії, коли угруповання є занадто великим, щоб провалитись через такий злив даних. Менше ніж через неділю після зливу переписок, нові жертви угруповання були виставлені на сайті ContiNews. Російський уряд чітко усвідомлює діяльність Conti та дозволяє їм діяти безкарно.
Блог-пост BushidoToken з найцікавішими моментами аналізу переписок та ресурсів Conti, про функціонування угруповання кіберзлочинців.
Блог-пост BushidoToken з найцікавішими моментами аналізу переписок та ресурсів Conti, про функціонування угруповання кіберзлочинців.
blog.bushidotoken.net
Lessons from the Conti Leaks
CTI, threat intelligence, OSINT, malware, APT, threat hunting, threat analysis, CTF, cybersecurity, security
Експерти Citizen Lab у співпраці з каталонськими групами громадянського суспільства розкрили атаки шпигунського програмного забезпечення Pegasus і Candiru проти щонайменше 65 каталонських політиків та активістів.
Атаки включали використання iOS zero-click exploit під назвою HOMAGE, який раніше не був описаний та дозволяв проникати на пристрої з версіями iOS 13.2 та нижче.
Хоча атаки не були пов’язані з певним урядом або організацією, Citizen Lab припускали зв’язок з іспанською владою на основі «цілого ряду непрямих доказів», посилаючись на постійну напруженість між країною та Каталонією на тлі закликів до каталонської незалежності.
Атаки включали використання iOS zero-click exploit під назвою HOMAGE, який раніше не був описаний та дозволяв проникати на пристрої з версіями iOS 13.2 та нижче.
Хоча атаки не були пов’язані з певним урядом або організацією, Citizen Lab припускали зв’язок з іспанською владою на основі «цілого ряду непрямих доказів», посилаючись на постійну напруженість між країною та Каталонією на тлі закликів до каталонської незалежності.
The Citizen Lab
CatalanGate: Extensive Mercenary Spyware Operation against Catalans Using Pegasus and Candiru - The Citizen Lab
The Citizen Lab, in collaboration with Catalan civil society groups, has identified at least 65 individuals targeted or infected with mercenary spyware, including members of the European Parliament, Catalan Presidents, legislators, jurists, and members of…
Google Project Zero назвав 2021 рік «рекордним роком для in-the-wild 0-days», оскільки протягом року було виявлено та розкрито 58 вразливостей. З 58 0-days лише 5 мають зразок експлоїту у публічному доступі. Для порівняння, лише 25 0-days було виявлено у 2020 році.
Blogspot
The More You Know, The More You Know You Don’t Know
A Year in Review of 0-days Used In-the-Wild in 2021 Posted by Maddie Stone, Google Project Zero This is our third annual year in rev...