Среди многочисленных анонсов на конференции Google I/O 2016 фигурировали сразу два новых мессенджера, одним из которых стал Google Allo, со встроенным end-to-end шифрованием. Хотя ИБ-эксперты, в теории, должны были порадоваться появлению еще одного защищенного приложения, на деле все оказалось не так просто, и Allo уже подвергся критике. Проблема, в частности, заключается в еще одной инновации Google: умном голосовом ассистенте Google Assistant, который встроен в мессенджер.
Исследователи компании ESET сообщили, что операторы криптовымогателя TeslaCrypt свернули все свои операции, опубликовали в даркнете ключ для расшифровки данных и извинились перед своими жертвами.
Для подписчиковВ сегодняшнем обзоре мы проанализируем уязвимость в популярном Apache Struts, опасность которой, возможно, недооценили, а затем разберем ошибки в популярном сканере Acunetix, уже появлявшемся как в наших обзорах, так и в других статьях ][.
На прошедшем 17−18 мая 2016 года форуме по практической информационной безопасности Positive Hack Days, в рамках конкурса Critical Infrastructure Attack: Blackout, хакеры должны были атаковать модель системы электроснабжения небольшого района. В ходе соревнования удалось нарушить работу входящей в комплекс гидроэлектростанции, что привело к затоплению города.
Исследователь компании Invincea сообщает, что злоумышленники, похоже, догадались использовать зараженные шифровальщиками устройства для осуществления DDoS-атак. Так, новая версия вредоноса из семейства Cerber демонстрирует подозрительную активность, похожую на UDP флуд.
Бельгиец Арне Свиннен обнаружил сразу две опасные уязвимости в Instagram. Обе проблемы позволяли осуществить брутфорс-атаку на подбор пароля. Один баг был найден в приложении Instagram для Android, а второй скрывался на странице регистрации instagram.com.
Так называемая тактика «scareware» используется мошенниками очень давно. Жертве демонстрируют пугающие сообщения о том, что на устройство проник вирус, или уверяют, что возникла проблема с аппаратной частью (аккумулятором, жестким диском и так далее). Пользователя вынуждают связаться с фальшивым экспертом из не менее фальшивой технической поддержки, чтобы «решить проблему». Но теперь злоумышленники перешли от запугивания к действию и подкрепляют свои угрозы делом, переняв тактику у вымогательского ПО.
Аналитики израильской компании Check Point представили подробнейший отчет о работе набора эксплоитов Nuclear, детально изучив инфраструктуру всего сервиса, а также вредоносные кампании, использующие Nuclear в ходе своих атак. По данным специалистов, создатель Nuclear, это россиянин, проживающий в Краснодаре и зарабатывающий на своем детище порядка 100 000 долларов в месяц.
На андеграундной торговой площадке TheRealDeal хакер под ником Peace_of_mind (или просто Peace) выставил на продажу базу учетных данных пользователей LinkedIn, которая насчитывает 117 млн паролей. За весь архив злоумышленник просит 5 биткоинов (около 2200 долларов).