Security News

攻撃者は、ハッカーのフォーラムとダークネットで500000プラスズームユーザーのデータを提供します

IntSightsの専門家は、500000を超えるズームアカウントがダークネットおよびハッカーのフォーラムで販売されていることを発見しました。アカウントに含まれるデータには、ユーザーの資格情報(メール、パスワード)、会議ID、ホスト名、キーが含まれます。これは、約2300レコードしか含まれていない比較的小さなデータベースでした。 IntSightsの研究者は、次のように述べています。「ダークネットで見つかったデータベースには、部分的な情報が含まれている場合がありますが、開いているすべてのセッションのPINコードを含む完全なデータセットが含まれている場合もあります。攻撃者は、URL、識別子、PINコードにアクセスできるため、ビデオ会議に参加して制御する(そして、たとえば、楽しみのために参加者を削除し始める)両方の機会を得ます。 現在、CybleのサイバーセキュリティもInSightsの見解に同意しており、50万件のレコードが利用可能であると報告されています。彼らが言ったのは、彼らが見つけたクレデンシャルは、クレデンシャルスタッフィングタイプの攻撃の結果であるとのことです。 クレデンシャルスタッフィングとは、一部のサイトからユーザ名とパスワードが盗まれ、他のユーザに対して使用される一般的な状況を指します。つまり、攻撃者は資格情報のデータベース(ダークネットで購入した、個別に収集されたなど)を持ち、このデータを使用してサイトやサービスにログインしようとします。 Zoomの取引口座は2020年4月1日に報告されました。専門家によると、バーモント大学、コロラド大学、ダートマス大学、フロリダ大学などの一部の攻撃者は、ハッキングされた口座を無料で提供し、ハッカーコミュニティ。 提供されたメールアドレスを使用してリストから数人の犠牲者に連絡したところ、そのようなアカウントが存在することが確認されました。そのような被害者の1人は、言及されたパスワードは古いものであるため、一部の資格情報はおそらく古い資格情報の詰め込み攻撃の結果であると語りました。 この取引に気づいたサイブルのスペシャリストは彼に連絡し、問題が発生したことをユーザーに警告するために多数のアカウントを購入することに同意しました。アカウントあたり約0.0020ドルのコストで、約530,000のZoomアカウントに関する情報を取得します。同社の顧客が所有するアカウントを確認することで、データ認証についても確認できました。 情報セキュリティの専門家は、「同じパスワードを再利用することは悪い考えです。これを実践するユーザーは、できるだけ早くパスワードを変更することをお勧めします」 攻撃者は偽のズームドメインを使用して拡散できます。 Google、SpaceX、NASAの従業員は現在、このアプリをすでに拒否しています。このアプリケーションの使用は避けてください。

マイクロソフトは最新のWindow 10インストーラービルドに新しい隠し機能を追加します

マイクロソフトは、最新の10インサイダービルドで新機能を追加しました。これらの機能により、待望のメディアコントロールがボリュームフライアウトに追加され、新しい設定ページに「最新情報」が表示されます。 メディアコントロールは、GrooveやSpootifyなどのWindows 10音楽ストリーミングアプリケーションをサポートし、ユーザーがフライアウトから直接プログラムを制御できるようにします。 この機能は、次のコマンドを使用してmach2で有効にできます。 mach2は23403403を有効にします mach2は23674478を有効にします 警告:前に述べたように、これは運用コンピュータでは有効にせず、仮想マシンでのみテストすることを強くお勧めします。 「新機能」機能には、Microsoftに追加されたすべての新機能とその使用方法の詳細な手順がリストされます。 この機能は、次のコマンドを使用してmach2で有効にできます。 mach2は20446796を有効にします 警告:前に述べたように、これは運用コンピュータでは有効にせず、仮想マシンでのみテストすることを強くお勧めします。 ご覧のとおり、これらの機能を有効にするには、まだ開発段階にあるMach2やViVeなどのツールを使用する必要があります。また、これらのツールはウィンドウのパフォーマンスの問題を引き起こす可能性があります。これが理由です。スナップショットが保存されている仮想マシンでのみそれらを有効にするか、何か問題が発生した場合に復元できることをお勧めします。 マイクロソフトの開発者は現在これらの機能に取り組んでいるため、これらはユーザーから使用されないように隠されており、開発者が必要とする場合にのみ、テストのために有効になります。

ランサムウェア攻撃の後、Travelexはネットワーク操作に230万を支払います

ウォールストリートジャーナルのレポートによると、ロンドンに本社を置く外国為替会社であるTravelexは、ネットワークバックアップと適切な実行のために合計230万人の身代金を支払いました。 「Travelexは、世界中の空港や観光地でユビキタスな外国為替キオスクで知られていますが、今年初めにネットワークに侵入したコンピューターウイルスによって閉鎖されました。取引に詳しい人」と報告書は述べている。 Travelexが2020年1月17日に操業を再開したときに得られたレポートに沿った情報と、Travelexが身代金を支払ったという噂が流布しています。 ソディノキビは、会社から支払いを受け取ったが、正確な金額を明らかにしたり、証拠を提供したりしていないことを確認しました。 一方、トラベレックスは、捜査中に事件について話し合う気分を見せなかった。 「進行中の調査があります。私たちは多くの専門家からのアドバイスを受けており、これについては話し合いません」と同社は語った。 この攻撃は、透明性の重要性を強調し、違反に関する通知を促します。 身代金を支払うことはネットワークの回復に役立ちましたが、データが危険にさらされた人々はまだ不安定な状態で立ち往生しています。

Microsoft Edgeは、NetMarket Share 2020でFirefoxよりも増加を示しています

新しいレポートによると、Microsoft EdgeはGoogleに次いで2番目に多い市場シェアとなっています。以前に配置されていたMozilla Firefoxを上回っています。 現在、Google Chromeは他のどのブラウザよりも優れており、市場シェアは68.5%です。 NetMarketシェアでは、Mozilla Firefoxは今年人気を失っています。昨年3月にこのブラウザで記録されたデータは9.27%でしたが、現在このマーケティングのシェアはゆっくりと低下しており、2020年3月には7.19%に達しています。 一方、Microsoft Edgeは12か月の実行を7.59%で終えることにより、位置をシフトしました。前年のデータと比較して人気が2.39%上昇し、2020年3月のMozilla Firefoxよりも0.40高くなっています。 NetMarket共有のビューを含む、上からボタンまでの最も人気のあるWebブラウザーのトップ10のリストを次に示します。 クロム:68.50% エッジ:7.59% Firefox:7.19% Internet Explorer 11:5.60% Safari:3.62% QQ:2.41% Sogou...

Zoomのユーザーは403を禁止されているため、オンラインでの会議に参加できません

Zoomユーザーは、Zoom Webクライアントの使用中、またはWebセミナーの開始と参加中にエラーに直面しています。エラーは「403 Forbidden」を示しています。 「接続がタイムアウトしたため、会議に参加できません。ネットワーク接続を確認して、もう一度お試しください。」という別のエラーが報告されました。 DownDetectorに関するユーザーのレポートによると、米国東海岸および西ヨーロッパのZoomユーザーがこの継続的な問題の影響を最も受けています。 同社は公式フォーラムのページで、Zoomは「Zoom WebクライアントとZoom Web SDKをオンラインに戻すための作業をしている」と述べた。 Webクライアントの停止からのスポークスパーソンは、メンテナンス中の期間までデスクトップアプリケーションをダウンロードしてインストールするようユーザーにアドバイスしました。 「当社のチームは現在、ZoomのWebクライアントを使用してZoomの会議やウェビナーに参加するユーザーの問題を認識しています。当面は、zoom.us / downloadからZoomをダウンロードしてインストールし、会議に接続することをお勧めします。 status.zoom.usの詳細と更新を間もなくお知らせします。ご不便をおかけして申し訳ありません。お待ちいただき、ありがとうございます。」 ご参考までに、Zoomは、ユーザーがビデオ会議、オンライン会議、モバイル、デスクトップ、電話システムを介したチャットとコラボレーションに使用するクラウドベースの通信プラットフォームです。 Zoomプラットフォームは、2020年の開始以来、ユーザー数が急速に増加していることがわかりました。現在、数百万の学生と従業員が、それぞれ学習と仕事の目的でこのサービスを楽しんでいます。 このプラットフォームの今年の新規ユーザー数は222万人で、2019年の全期間の199万人と比較すると、これは非常に大きいです。

FBIアラート;ズームユーザーが会議中にズーム爆撃される可能性があります

FBIは、会議のコロナパンデミック中にズームプラットフォームを使用しているユーザーに、ハイジャックされるリスクがあることを警告しました。 セキュリティの専門家であるキャリー・カースキーは言った。 「適切に使用する必要があります。そうしないと、問題が発生する可能性があります。」 アメリカからのこのビデオ通信サービスは、企業、学校、そして今日の誕生日パーティーにも使用されています。 FBIのレポートによると、アプリの潜在的な脆弱性は、会議が「爆撃」される可能性があることです。つまり、招待されていない人や不適切な動画が追加された人が参加する可能性があります。 問題に遭遇した多くの人々は、ソーシャルメディア上でリアルタイムで会議のスクリーンショットを共有し、誰でもズーム会議番号を確認して、招待されていない人々に会議を開くことができました。 Kerskieは、問題が修正されるまで、アプリを安全に使用するためのいくつかのヒントを推奨しました。これらは次のとおりです。 会議をプライベートとして設定する 参加者にパスワードを使用する 参加時にホストに通知されることを確認する ソーシャルメディアに会議ID番号を表示しない

Windows 10 KB4554364アップデートでインターネット接続の問題が修正されました

マイクロソフトは、VPNを含むプロキシを使用するデバイスでインターネット接続の問題を引き起こす問題を修正したアウトオブバンドWindow 10アップデートをリリースしました。 Microsoftは先週、このWindow 10のバグはMicrosoft Teams、Microsoft Office、Office 365などの最も人気のあるアプリで発生すると述べました。 「手動または自動設定のプロキシを使用しているデバイス、特に仮想プライベートネットワーク(VPN)では、通知領域のネットワーク接続ステータスインジケータ(NCSI)にインターネット接続ステータスが制限されているか、表示されない場合があります。これは、接続または切断されたときに発生する可能性がありますVPNへ、または2つの間で状態を変更した後。この問題のあるデバイスは、WinHTTPまたはWinInetを使用するアプリケーションを使用してインターネットに到達する際にも問題が発生する可能性があります。この状態のデバイスに影響を与える可能性があるアプリの例は次のとおりですが、これらに限定されません。 Microsoft Teams、Microsoft Office、Office365、Outlook、Internet Explorer 11、および一部のバージョンのMicrosoft Edge。」 x2020ベースのシステム用の2020-03累積更新プログラムバージョン1909というタイトルのWindows 10更新プログラム-KB4554364で、この問題は解決されました。 「特に仮想プライベートネットワーク(VPN)で、手動または自動構成のプロキシを使用するデバイスの通知領域にインターネット接続ステータスが制限されるかまったく表示されない問題に対処します。さらに、この問題により、一部のデバイスが接続できなくなる場合があります。 WinHTTPまたはWinINetを使用するアプリケーションを使用してインターネットに接続する」 Microsoftの提案に従って、アプリでそのような問題が発生した場合にのみアプリをインストールします。 この更新はOOB更新では提供されないため、ユーザーはMicrosoftカタログから手動で更新をインストールする必要があります。...

Netwalker開発者は、コロナウイルス詐欺キャンペーンを介して人々を標的にします

進行中のパンデミックにより、詐欺師はフィッシングキャンペーンとマルウェアのテーマとして積極的にCORONAの発生を開始しました。受信者のデバイスに危険なNetwalker Ransomwareをインストールするようなキャンペーンの1つが報告されています。 実際のメールは送信されていませんが、MalwareHunterTeamは、最後にNetwalkerのインストールにつながる添付ファイルを見つけました。トールグループとイリノイ州の優勝したアーバナ公衆衛生地区は、この脅威によって攻撃者によって被害を受けたと報告された2人です。 新しいNetwalkerまたはMailtoフィッシングキャンペーンは、ランサムウェアの実行可能で難読化されたコードを含むCORONAVIRUS_COVID-19.vbsという名前の添付ファイルを使用して、デバイス上でランサムウェアを抽出して起動します。 スクリプトが実行されると、実行可能ファイルは%Temp%\ qeSw.exeファイルに自分自身を保存し、デバイスで暗号化プロセスを起動します。 Vitali KremezというSentinelLabsの研究者は、このバージョンのランサムウェアはフォーティネットのエンドポイント保護クライアントを終了させると述べました。ランソメアがなぜそれをするのかと尋ねられたクレメズ氏は、検出を避けるためかもしれないと言った。 「彼らはすでに顧客管理パネルから直接アンチウイルス機能を無効にしているためかもしれないが、彼らはクライアントを終了することによって警報を作動させたくない」とクレメズ氏は語った。 暗号化が完了した後、ユーザーはランサムウェアTor Paymentサイトにアクセスして身代金要求を支払う方法に関する指示が含まれているextension –Readme.txtという名前の身代金ノートを見つけます。 現時点では、ランサムウェアに既知の弱点はありません。つまり、Netwalkerランサムウェアで使用できる公式の復号化ツールはありません。したがって、このマルウェアに感染した場合は、既存のバックアップを使用してファイルを取り戻すか、再作成する必要があります。      

PwndLockerオペレーターは、欠陥を検出した後、ProLockにブランド変更します。

PwndLockerランサムウェアが今月の初めに発見されました。それは企業ネットワークを対象としており、ネットワークのサイズに応じて175,000ドルから660,000ドルの身代金を要求しました。 検出後すぐに、ID RansomwareのMichael GillespieとEmsisoftのFabrian Wosarがマルウェアのバグを発見し、それを解読するツールを作成できるようにしました。したがって、被害者は身代金を支払うことなくファイルにアクセスできます。 この失敗により、開発者はランサムウェアをProLock Ransomwareという名前に変更しました。ソフォスの研究者であるPeterM氏によると、この新しいランサムウェアは、WinMgr.bmpという名前でC:\ ProgrmDataに保存されているBMPイメージファイルを使用して配布されます。この画像には、ランサムウェアの実行ファイルが埋め込まれています。 BMPファイルの右上隅には、16進エディターで表示するいくつかのドットがあり、これらには埋め込まれたバイナリデータが含まれます。 PowerShellスクリプトは、バイナリデータに似ており、メモリに注入します。 マルウェアがどこからデバイスにアクセスしたかは明確ではありません。ただし、公開されているリモートデスクトップサービスを介してアクセスできる可能性があると考えています。 「彼らは少数のサーバーをターゲットにしました。どのようにして(まだ)入ったかはわかりませんが、ネットワーク上にかなりの数のkeygenとクラッキングツールを見ることができます。つぶやき。 暗号化の方法に変更はないようです。 ProLockは、PwndLockerで使用されるのと同じ方法を使用します。起動すると、デバイスのシャドウコピーをクリアして、ファイルの回復を強化します。 vssadmin.exeシャドウの削除/ all / quiet vssadmin.exeはshadowstorageのサイズを変更します/ for...

ランサムウェアは、パンデミック中に健康組織を攻撃しないことを決定します

私たちのチームは昨夜、ランサムウェアオペレーターに手を差し伸べ、アウトブレイク中もヘルスおよび医療機関を標的にし続けているかどうかを尋ねました。彼らは否定的にノーと述べ、彼らはもはやパンデミックコロナウイルス(COVID-19)の期間中に当該組織を標的にしないだろうと述べた。 DoppelPaymerは、パンデミック中に病院や養護施設をターゲットにしないと答えた最初の人でした(ただし、これらの組織をターゲットにしないのはカジュアルなアプローチです)。 「病院、老人ホーム、地元政府の場合は常に避けようとします-911には常に触れません(ごくまれに可能か、ネットワークの設定ミスが原因です)。これだけではありません。 誤って実行した場合、無料で復号化されます。しかし、いくつかの企業は通常、自分自身を他の何かとして表現しようとします:私たちには小さな不動産にしようとした開発会社があり、犬の避難所にしようとした別の会社がありました)そのようなことは無料です。しかし、製薬会社については、彼らは今日のパニックで多くの余分な収入を得ています。医者が何かをする間、それらの人は稼ぎます。」 また、医療機関が暗号化された場合に、被害者が証拠を提供し、解読者を取得するために、電子メールまたはTor Webページでそれらに連絡できることを伝えました。 迷路オペレーターは、パンデミックの終わりまで、あらゆる種類の医療機関に対するすべての活動を停止するというプレスリリースでこの質問に答えました。 「また、ウイルスによる状況が安定するまで、あらゆる種類の医療機関に対するすべての活動を停止します。」 しかし、DoppelPaymer Ransomwareのオペレーターがそうするように主張したのと同じ方法で、被害者に無料の復号化を提供するかどうかについて、私たちは反応を得ました。 セキュリティ会社も同様に努力をしました。 EmsisoftやCovewareなどの企業は、パンデミックの際に医療機関に無料のサービスを提供するようになりました。組織は、セキュリティ会社から次の利点を得ることができます。 ランサムウェア技術分析 可能であれば、復号化ツールの開発 データ損失の少ない変更でデータをより速く回復するカスタムツールを使用したデータ復号化サービス そのような助けは大歓迎です。