Из-за кибератаки Bittrex убрала со своей платформы Bitcoin Gold

Из-за кибератаки Bittrex убрала со своей платформы Bitcoin Gold

Bittrex, одна из крупнейших криптовалютных бирж, в минувшие выходные убрала Bitcoin Gold (BTG) со своей платформы. Причиной такому решению послужил отказ BTG покрыть половину убытков, которые понесла Bittrex в ходе сложной кибератаки, которая произошла в начале этого года.

Команда BTG заявила, что Bittrex попросил их заплатить 12 372 BTG (приблизительно $256 000) в качестве возмещения.

В BTG отказались заплатить запрошенную сумму, заявив, что их частные активы не могут использоваться для покрытия потерь частной компании, которые случились по ее же вине.

BTG считает, что сделала все необходимое для со своей стороны для предотвращения кибератак, но при этом у нее не было возможности вмешаться в дела частной компании вроде Bittrex.

Причиной для спора послужил инцидент взлома, который имел место с 18 по 22 мая. Команда BTG считает, что эта атака представляла собой гибрид между атакой 51 % и атакой «двойного расходования» (double-spend attack).

Специалисты заявили, что киберпреступники арендовали серверы, используя NiceHash, чтобы получить контроль над сетью Bitcoin Gold и взять на себя управление более чем половиной вычислительного хешрейта сети BTG. Именно это эксперты называют «атакой 51 %».

В течение трех с половиной дней злоумышленники пытались перегрузить сеть Bitcoin Gold. В итоге хакеры депонировали большое количество средств Bitcoin Gold на криптовалютных биржах.

Сразу же после этого киберпреступники конвертировали средства в другую цифровую валюту и перевели их на новые счета в других биржах. Злоумышленники неоднократно повторяли эту операцию в период с 18 по 22 мая.

К счастью, деньги пользователей не пострадали.

Представители BTG не раз предупреждали криптовалютные биржи об опасности атаки 51 %.

 

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

APT-группа Nobelium ставит на ADFS-серверы новый бэкдор — FoggyWeb

Эксперты Microsoft изучили новый инструмент постэксплуатации, который APT-группа Nobelium уже пустила в ход. Бэкдор, получивший кодовое имя FoggyWeb, позволяет взломщикам получить данные о настройках службы федерации Active Directory (ADFS), сертификаты для подписи и расшифровки токенов SAML, а также загрузить на сервер дополнительные компоненты.

Преступная группировка, которую в Microsoft называют Nobelium, известна и под другими именами — APT29, The Dukes, Cozy Bear. Эти хакеры часто обновляют свой арсенал и проводят сложные атаки на госструктуры, НКО, научно-исследовательские учреждения, поставщиков ИТ- и телеком-услуг. Им также приписывают авторство прошлогоднего нападения на SolarWinds, получившего большой резонанс.

Первые атаки с использованием FoggyWeb, по данным Microsoft, были зафиксированы в минувшем апреле. Хакеры устанавливают этого работающего в памяти зловреда на взломанный сервер ADFS, чтобы обеспечить себе плацдарм для развития атаки.

Получив админ-доступ к системе, злоумышленники вносят в нее два файла — зашифрованный Windows.Data.TimeZones.zh-PH.pri (FoggyWeb) и version.dll (загрузчик). Вредоносная библиотека загружается в память процесса ADFS по методу подмены DLL; этот компонент отвечает за расшифровку и запуск основного модуля бэкдора.

Активированный FoggyWeb мониторит входящие HTTP-запросы GET и POST, фиксируя используемые схемы URI — список нужных жестко прописан в его коде. Обнаружив совпадение, зловред перехватывает послание и выполняет содержащуюся в нем команду.

 

Ввиду появления новой угрозы Microsoft разослала оповещения заинтересованным клиентам, призвав их усилить защиту ADFS-серверов. С этой целью пользователям рекомендуется сделать следующее:

  • обновить ADFS до последней версии;
  • проверить локальные и облачные ресурсы организации на предмет несанкционированных изменений настроек;
  • удалить неиспользуемые протоколы и функции Windows; 
  • ограничить доступ к ADFS-системам и ужесточить контроль, усилить пароли;
  • поместить используемые для подписи ключи и сертификаты в аппаратное хранилище (HSM).
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru