ФБР предупреждает компании об атаках вымогателей LockerGoga и MegaCortex
Главная » Новости

ФБР предупреждает компании об атаках вымогателей LockerGoga и MegaCortex

Екатерина Быстрова 24 Декабря 2019 - 09:36
...
ФБР предупреждает компании об атаках вымогателей LockerGoga и MegaCortex

ФБР предупреждает частный сектор об атаках двух программ-вымогателей — LockerGoga и MegaCortex. При попадании в сеть предприятия эти вредоносы пытаются зашифровать все подключённые к ней устройства.

В спецслужбе отметили, что LockerGoga активен с января 2019 года — именно тогда вымогатель начал заражать корпорации в США, Великобритании, Франции, Норвегии и Голландии.

MegaCortex появился на ландшафте чуть позже — в мае 2019 года. Его целями были организации такого же масштаба, как и у LockerGoga.

Согласно опубликованному ФБР сообщению, операторы LockerGoga и MegaCortex проникают в корпоративные сети с помощью эксплойтов, фишинговых атак, SQL-инъекций и украденных учётных данных.

Сразу после проникновения в сеть киберпреступники устанавливают знаменитый инструмент для пентеста — Cobalt Strike. Благодаря этому у атакующих открывается целый спектр возможностей: выполнять PowerShell-скрипты, повышать права в системе и тому подобное.

Злоумышленники находятся в скомпрометированной сети несколько месяцев, после чего начинают устанавливать LockerGoga или MegaCortex. Скорее всего, до развёртывания вымогателей преступники просто собирают данные.

В процессе установки шифровальщиков атакующие выполняют файл kill.bat или stop.bat, предназначенный для остановки процессов и служб антивирусных программ. Например, преступники могут отключить функции сканирования Windows Defender.

LockerGoga и MegaCortex используют качественный алгоритм шифрования, поэтому вернуть файлы бесплатно, к сожалению, не получится.

Следующая главная новость »
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В ноябре Microsoft закрыла 91 уязвимость, две уже используются в атаках
Екатерина Быстрова 13 Ноября 2024 - 08:45
Windows ЭксплойтыУязвимости программУязвимость нулевого дня Общее Microsoft
В ноябре Microsoft закрыла 91 уязвимость, две уже используются в атаках

Ноябрьский набор обновлений от Microsoft включает патчи для 91 уязвимости, из которых четыре получили статус 0-day, а две — уже используются в реальных кибератаках.

Четырём дырам из набора присвоили статус критических: две позволяют удалённо выполнить код, ещё две — повысить права в системе. По классам уязвимости распределились так:

  • 26 проблем, приводящих к повышению привилегий;
  • 2 возможности обхода защитных систем;
  • 52 бреши, способные привести к удалённому выполнению кода;
  • одна возможность раскрытия информации;
  • 4 — DoS;
  • 3 — спуфинг.

Что касается четырёх уязвимостей нулевого дня, они полчили следующие идентификаторы и описания:

  • CVE-2024-43451 — спуфинг и раскрытие хеша NTLM. С помощью вредоносного файла и минимального взаимодействия с целевым пользователем атакующий может раскрыть NTLM-хеши и воспользоваться ими для аутентификации.
  • CVE-2024-49039 — проблема повышения привилегий, затрагивающая Планировщик заданий в Windows. Для эксплуатации может использоваться специально подготовленная программа.
  • CVE-2024-49040 — возможность спуфинга, присутствующая в Microsoft Exchange Server. Атакующий может подделать адрес отправителя в электронных письмах.
  • CVE-2024-49019 — позволяет злоумышленникам получить права администратора домена с помощью встроенной дефолтной версии шаблона сертификата.

Первые две уязвимости уже используются в атаках, так что патчи рекомендуется установить как можно быстрее. Общий список всех устранённых дыр выглядит так:

Наименование CVE-идентификатор CVE-название Степень опасности
.NET and Visual Studio CVE-2024-43499 .NET and Visual Studio Denial of Service Vulnerability Важная
.NET and Visual Studio CVE-2024-43498 .NET and Visual Studio Remote Code Execution Vulnerability Критическая
Airlift.microsoft.com CVE-2024-49056 Airlift.microsoft.com Elevation of Privilege Vulnerability Критическая
Azure CycleCloud CVE-2024-43602 Azure CycleCloud Remote Code Execution Vulnerability Важная
LightGBM CVE-2024-43598 LightGBM Remote Code Execution Vulnerability Важная
Microsoft Defender for Endpoint CVE-2024-5535 OpenSSL: CVE-2024-5535 SSL_select_next_proto buffer overread Важная
Microsoft Edge (Chromium-based) CVE-2024-10826 Chromium: CVE-2024-10826 Use after free in Family Experiences Неизвестно
Microsoft Edge (Chromium-based) CVE-2024-10827 Chromium: CVE-2024-10827 Use after free in Serial Неизвестно
Microsoft Exchange Server CVE-2024-49040 Microsoft Exchange Server Spoofing Vulnerability Важная
Microsoft Graphics Component CVE-2024-49031 Microsoft Office Graphics Remote Code Execution Vulnerability Важная
Microsoft Graphics Component CVE-2024-49032 Microsoft Office Graphics Remote Code Execution Vulnerability Важная
Microsoft Office Excel CVE-2024-49029 Microsoft Excel Remote Code Execution Vulnerability Важная
Microsoft Office Excel CVE-2024-49026 Microsoft Excel Remote Code Execution Vulnerability Важная
Microsoft Office Excel CVE-2024-49027 Microsoft Excel Remote Code Execution Vulnerability Важная
Microsoft Office Excel CVE-2024-49028 Microsoft Excel Remote Code Execution Vulnerability Важная
Microsoft Office Excel CVE-2024-49030 Microsoft Excel Remote Code Execution Vulnerability Важная
Microsoft Office SharePoint ADV240001 Microsoft SharePoint Server Defense in Depth Update Отсутствует
Microsoft Office Word CVE-2024-49033 Microsoft Word Security Feature Bypass Vulnerability Важная
Microsoft PC Manager CVE-2024-49051 Microsoft PC Manager Elevation of Privilege Vulnerability Важная
Microsoft Virtual Hard Drive CVE-2024-38264 Microsoft Virtual Hard Disk (VHDX) Denial of Service Vulnerability Важная
Microsoft Windows DNS CVE-2024-43450 Windows DNS Spoofing Vulnerability Важная
Role: Windows Active Directory Certificate Services CVE-2024-49019 Active Directory Certificate Services Elevation of Privilege Vulnerability Важная
Role: Windows Hyper-V CVE-2024-43633 Windows Hyper-V Denial of Service Vulnerability Важная
Role: Windows Hyper-V CVE-2024-43624 Windows Hyper-V Shared Virtual Disk Elevation of Privilege Vulnerability Важная
SQL Server CVE-2024-48998 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-48997 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-48993 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-49001 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-49000 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-48999 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-49043 Microsoft.SqlServer.XEvent.Configuration.dll Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-43462 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-48995 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-48994 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-38255 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-48996 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-43459 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-49002 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-49013 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-49014 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-49011 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-49012 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-49015 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-49018 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-49021 Microsoft SQL Server Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-49016 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-49017 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-49010 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-49005 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-49007 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-49003 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-49004 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-49006 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-49009 SQL Server Native Client Remote Code Execution Vulnerability Важная
SQL Server CVE-2024-49008 SQL Server Native Client Remote Code Execution Vulnerability Важная
TorchGeo CVE-2024-49048 TorchGeo Remote Code Execution Vulnerability Важная
Visual Studio CVE-2024-49044 Visual Studio Elevation of Privilege Vulnerability Важная
Visual Studio Code CVE-2024-49050 Visual Studio Code Python Extension Remote Code Execution Vulnerability Важная
Visual Studio Code CVE-2024-49049 Visual Studio Code Remote Extension Elevation of Privilege Vulnerability Средняя
Windows CSC Service CVE-2024-43644 Windows Client-Side Caching Elevation of Privilege Vulnerability Важная
Windows Defender Application Control (WDAC) CVE-2024-43645 Windows Defender Application Control (WDAC) Security Feature Bypass Vulnerability Важная
Windows DWM Core Library CVE-2024-43636 Win32k Elevation of Privilege Vulnerability Важная
Windows DWM Core Library CVE-2024-43629 Windows DWM Core Library Elevation of Privilege Vulnerability Важная
Windows Kerberos CVE-2024-43639 Windows Kerberos Remote Code Execution Vulnerability Критическая
Windows Kernel CVE-2024-43630 Windows Kernel Elevation of Privilege Vulnerability Важная
Windows NT OS Kernel CVE-2024-43623 Windows NT OS Kernel Elevation of Privilege Vulnerability Важная
Windows NTLM CVE-2024-43451 NTLM Hash Disclosure Spoofing Vulnerability Важная
Windows Package Library Manager CVE-2024-38203 Windows Package Library Manager Information Disclosure Vulnerability Важная
Windows Registry CVE-2024-43641 Windows Registry Elevation of Privilege Vulnerability Важная
Windows Registry CVE-2024-43452 Windows Registry Elevation of Privilege Vulnerability Важная
Windows Secure Kernel Mode CVE-2024-43631 Windows Secure Kernel Mode Elevation of Privilege Vulnerability Важная
Windows Secure Kernel Mode CVE-2024-43646 Windows Secure Kernel Mode Elevation of Privilege Vulnerability Важная
Windows Secure Kernel Mode CVE-2024-43640 Windows Kernel-Mode Driver Elevation of Privilege Vulnerability Важная
Windows SMB CVE-2024-43642 Windows SMB Denial of Service Vulnerability Важная
Windows SMBv3 Client/Server CVE-2024-43447 Windows SMBv3 Server Remote Code Execution Vulnerability Важная
Windows Task Scheduler CVE-2024-49039 Windows Task Scheduler Elevation of Privilege Vulnerability Важная
Windows Telephony Service CVE-2024-43628 Windows Telephony Service Remote Code Execution Vulnerability Важная
Windows Telephony Service CVE-2024-43621 Windows Telephony Service Remote Code Execution Vulnerability Важная
Windows Telephony Service CVE-2024-43620 Windows Telephony Service Remote Code Execution Vulnerability Важная
Windows Telephony Service CVE-2024-43627 Windows Telephony Service Remote Code Execution Vulnerability Важная
Windows Telephony Service CVE-2024-43635 Windows Telephony Service Remote Code Execution Vulnerability Важная
Windows Telephony Service CVE-2024-43622 Windows Telephony Service Remote Code Execution Vulnerability Важная
Windows Telephony Service CVE-2024-43626 Windows Telephony Service Elevation of Privilege Vulnerability Важная
Windows Update Stack CVE-2024-43530 Windows Update Stack Elevation of Privilege Vulnerability Важная
Windows USB Video Driver CVE-2024-43643 Windows USB Video Class System Driver Elevation of Privilege Vulnerability Важная
Windows USB Video Driver CVE-2024-43449 Windows USB Video Class System Driver Elevation of Privilege Vulnerability Важная
Windows USB Video Driver CVE-2024-43637 Windows USB Video Class System Driver Elevation of Privilege Vulnerability Важная
Windows USB Video Driver CVE-2024-43634 Windows USB Video Class System Driver Elevation of Privilege Vulnerability Важная
Windows USB Video Driver CVE-2024-43638 Windows USB Video Class System Driver Elevation of Privilege Vulnerability Важная
Windows VMSwitch CVE-2024-43625 Microsoft Windows VMSwitch Elevation of Privilege Vulnerability Критическая
Windows Win32 Kernel Subsystem CVE-2024-49046 Windows Win32 Kernel Subsystem Elevation of Privilege Vulnerability Важная
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
ГК Солар обновила платформу киберполигона Solar CyberMir
Новость
ГК Солар обновила платформу киберполигона Solar CyberMir
Американские законодатели хотят расследовать роль TP-Link в атаках на США
Новость
Американские законодатели хотят расследовать роль TP-Link в...
14-летняя уязвимость позволяла создать клон YubiKey через тайминг-атаку
Новость
14-летняя уязвимость позволяла создать клон YubiKey через та...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2024. Все права защищены.