Читайте сегодня в ТОП-3 — о шифровальщике Memento Team, об утечке данных крупнейшего регистратора доменных имён и о РоС-эксплойте для неудачно исправленной уязвимости CVE-2021-41379. Новости собрала Анна Мельникова, старший специалист по информационной безопасности центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».

Подробнее – под катом.

Шифровальщик группировки Memento Team перемещает данные в архив с паролем вместо шифрования файлов

По сообщениям исследователей Sophos MTR’s Rapid Response Team, программа-вымогатель, которую использует группа Memento Team, не шифрует файлы — вместо этого она копирует их в архив, который защищает шифрованным паролем, и в конце удаляет все исходные файлы. Данная техника позволяет Memento Team обойти антивирусы, установленные на компьютерах жертв. Сама программа-вымогатель представляет собой скрипт Python 3.9, скомпилированный с помощью PyInstaller.

Регистратор доменных имён GoDaddy заявил об утечке данных

Крупнейший регистратор доменных имён GoDaddy заявил, что данные порядка 1,2 миллионов его клиентов были скомпрометированы третьими лицами. Инцидент был обнаружен в прошлую среду, 17 ноября. Однако, по предварительным данным, доступ к сети GoDaddy злоумышленники имели с 6 сентября 2021 года. Киберпреступникам удалось скомпрометировать пароль к системе подготовки в устаревшей базе кода для Managed WordPress.

Опубликован РоС-эксплойт для неудачно исправленной уязвимости CVE-2021-41379

Исследователь Абдельхамид Насери опубликовал эксплойт для 0-day уязвимости Windows CVE-2021-41379, исправленной Microsoft в рамках Patch Tuesday. Исследователю удалось обойти исправление и выявить более опасный вектор эксплуатации, позволяющий получать права администратора во всех поддерживаемых версиях Windows. Уязвимость работает даже в случае ограничения возможности выполнения операции установщика MS для непривилегированных пользователей.