ожет ли XDR повысить производительность специалистов по безопасности? Сколько векторов атак охватывает решение XDR? Почему не стоит выбирать решение XDR наугад? Зарегистрируйтесь, чтобы скачать электронную книгу Fortinet об основных критериях для выбора решения XDR.
Электронная книга
Как сделать удаленные подключения безопасными?Многие компании используют VPN для соединения с корпоративной сетью. Но такой сценарий может полностью уничтожить защитные инструменты организации. Даже когда пандемия закончится, руководителям ИБ-отделов понадобится более эффективная стратегия поддержки удаленной работы.
Чем доступ к сети с нулевым доверием (ZTNA) лучше, чем простой VPN? Почему опасно беспечное развертывание приложений в облаке? Стоит ли отказаться от подходов к обеспечению ИБ на основе периметров? Зарегистрируйтесь, чтобы скачать электронную книгу и прочитать, как создать решение для безопасного удаленного подключения.Электронная книга
Как небольшие компании справляются с профессиональными киберпреступникамиРазвитые арсеналы киберпреступников и бесконечный поток ИБ-технологий критическим образом сказываются на небольших компаниях с маленькими отделами информационной безопасности. Разобраться в сложных продуктах разных поставщиков самостоятельно - почти нереально, но хакеры не дают времени на передышку. Консолидировать данные из разных систем помогают решения расширенного обнаружения и реагирования на сложные угрозы (XDR).
Как быстро обнаружить угрозу даже с небольшим ИБ-отделом? Можно ли объединить данные из разных систем на одной платформе? Можно ли доверять автоматизированным решениям XDR? Зарегистрируйтесь, чтобы скачать электронную книгу о том, как получить полный контроль над ИБ-операциями внутри компании. Поделиться Скандально известный хакер опубликовал логины и пароли к 500 тыс. VPN-устройств FortinetАдминистратор форума RAMP и бывший оператор шифровальной группировки Babuk выложил реквизиты доступа к полумиллиону скомпрометированных устройств Fortinet. Уязвимости в них устранены, но администраторы забыли сменить логины и пароли.
Проблема для стройств FortinetРеквизиты доступа примерно к 500 тыс. VPN-устройств производства Fortinet оказались в общем доступе на русскоязычном хакерском форуме. Базу выложила шифровальная кибергруппировка Groove, за которой предположительно стоят операторы распавшейся группы Babuk.
Реквизиты доступа были собраны, по-видимому, в течение последних нескольких месяцев; перед публикацией, как утверждают злоумышленники, все реквизиты были проверены на «валидность» и на то, что точки доступа «пропатчены».
Для получения этих данных злоумышленники использовали уязвимость CVE-2018-13379 в операционной системе FortiOS, на которой работают устройства серии Fortigate.
Эта уязвимость класса Path Traversal (обход пути) позволяла неавторизованным злоумышленникам скачивать системные файлы, используя специально подготовленные HTTP-запросы.
Злоумышленник оставил беззащитными полмиллиона VPN-устройств FortinetРазличные злоумышленники использовали эту и две другие уязвимости в FortiOS (CVE-2019-5591 и CVE-2020-) с весны 2021 г. Эксплуатировали их настолько интенсивно, что ФБР и CISA (Агентство по безопасности цифровой инфраструктуры США) в начале апреля 2021 г. выпустили специальное предупреждение о кампаниях атак против устройств Fortinet.
Таким образом, сама по себе публикация этих данных оказывается весьма серьезным и опасным инцидентом.
В даркнете говорят по-русскиКак отмечается в материале издания Security Affairs, представитель группировки Groove, который опубликовал 7,5-мегабайтный архив скомпрометированных реквизитов, носит тот же псевдоним SongBird, что и бывший оператор группировки Babuk и заодно администратор хакерского форума RAMP, специализирующегося на шифровальщиках. В материале BleepingComputer его называют иначе - Orange, хотя и там он назван экс-участником Babuk и администратором RAMP.
RAMP был создан после того, как другие хакерские форумы, в частности, XSS, RAID и Exploit в мае 2021 г. запретили у себя всякие упоминания шифровальщиков-вымогателей.
Это произошло после успешной атаки со стороны шифрогруппировки Darkside на крупный американский трубопровод Colonial Pipeline. Следствием этого инцидента стали перебои с поставками топлива в некоторых штатах США.
Испугавшись лишнего шума самые популярные хакерские форумы перекрыли у себя все обсуждения шифровальщиков-вымогателей. RAMP же наоборот объявил, что на этом форуме будут рады другим шифрогруппировкам.
Вскоре после этого неизвестные начали бомбардировать форум порнографией, требуя $5 тыс. за прекращение этой деятельности.
Как отмечается в публикации компании Advanced Intel, Song Bird опубликовал на форуме RAMP большое открытое письмо, где заявил, что реквизиты VPN-устройств Fortinet были выложены в ответ на недавнюю утечку предполагаемых исходников (которые осуществил другой бывший участник группировки Babuk).
Среди прочего, автор письма заявил, что связи между группировками DarkSide и BlackMatter на самом деле нет, и что BlackMatter просто использовала исходный код, выкупленный у кого-то из партнеров DarkSide.
Ранее несколько экспертов по информационной безопасности утверждали, что DarkSide просто переименовалась в BlackMatter и продолжает деятельность под новым наименованием.
«По всей видимости, злоумышленники выложили реквизиты к устройствам, на которые были установлены патчи к весенним уязвимостям, но при этом логины и пароли остались прежними, - полагает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Service. - Владельцы этих устройств, очевидно, даже не догадываются, что уже были скомпрометированы и не ожидают атак».