رمزگشای ‫باج‌افزار RedRum توسط پژوهشگران شرکت امنیتی Emsisoft ارائه شد.
این باج‌افزار که به زبان پایتون نوشته شده است با بهره گیری از الگوریتم AES-256 فایل‌های قربانیان را رمزگذاری کرده و پیغام‌ باج‌خواهی خود را در قالب یک فایل متنی به صورت تصویر زیر در سیستم قربانی قرار می‌دهد:

در صورتی که فایل‌های رمز شده شما توسط این باج‌افزار دارای پسوند با الگوی .id - < id >. [ < email > ]. redrum می‌باشند. می‌توانید با این رمزگشا فایل‌های خود را رمزگشایی کنید. به منظور دانلود رمزگشا به لینک زیر مراجعه بفرمایید:

https://www.emsisoft.com/ransomware-decryption-tools/redrum

رمزگشای باج‌افزار JavaLocker توسط پژوهشگران شرکت امنیتی Emsisoft ارائه شد.
این باج‌افزار که به نام JavaEncrypt نیز شناخته می‌شود، با بهره گیری از الگوریتم DES فایل‌های قربانیان را رمزگذاری کرده و پیغام‌ باج‌خواهی خود را در قالب یک فایل متنی به صورت زیر در سیستم قربانی قرار می‌دهد:

در صورتی که فایل‌های رمز شده شما توسط این باج‌افزار دارای پسوند .javalocker می‌باشند. می‌توانید با این رمزگشا فایل‌های خود را رمزگشایی کنید.
به منظور دانلود رمزگشا به لینک زیر مراجعه بفرمایید:

https://www.emsisoft.com/ransomware-decryption-tools/javalocker

گوگل دو آسیب‌پذیری بحرانی که باعث اجرای کد از راه دور در دستگاه‌های موبایل ‫اندروید می‌شوند را در به‌روزرسانی اخیر خود وصله کرد. این دو آسیب‌پذیری بحرانی (CVE-2020-0117 و CVE-2020-8597) در سیستم اندروید وجود داشته و به یک مهاجم از راه دور امکان می‌دهد با استفاده از یک انتقال خاص، کد دلخواه خود را در چارچوب یک فرآیند ممتاز اجرا کند. این آسیب‌پذیری‌ها نسخه‌های اندروید 8 تا 10 را تحت تأثیر خود قرار می‌دهند. جهت مطالعه بیشتر اینجا کلیک کنید.

‫سیسکو یک نقض با شدت بالا که در نرم‌افزار NX-OS و سیستم‌عامل شبکه که در سوییچ‌های Ethernet سری Nexus سیسکو وجود دارد و می‌تواند باعث حملات انکار سرویس (DoS) شود را وصله کرد. در صورت بهره‌برداری از این آسیب‌پذیری، یک مهاجم احراز هویت نشده از راه دور می‌تواند ورودی‌های لیست کنترل دسترسی (ACL) که در سوئیچ Nexus پیکربندی شده را دور زده و باعث حملات انکار سرویس شود. جهت مطالعه بیشتر اینجا کلیک کنید.

یک کمپین جدید Mirai و Hoaxcalls در حال حمله به دسته‌‌‌ای از آسیب‌پذیری‌های اجرای کد از راه دور در Symantec Secure Web Gateway است. Miraiیکی از ‫بدافزار های شناخته شده است که دستگاه‌های IoT مانند دوربین‌های IPو DVRها را هدف قرار می‌دهد تا با سوءاستفاده از پورت‌های باز و اعتبارنامه‌های پیش‌فرض، آسیب‌پذیری‌های فاش نشده و فاش شده را مورد بهره‌برداری قرار دهد و آن‌ها را کنترل کند. این بدافزار در بیشتر حملات مخرب DDoS بر روی پلتفرم‌های مختلف مورد استفاده قرار گرفته است، اما در این کمپین با بهره‌گیری از حملات آزمون و خطای اعتبارنامه‌ها و بهره‌برداری از آسیب‌پذیری Symantec Secure Web Gateway RCE استفاده می‌شود. Hoaxcalls یک نوع بدافزار IoT که توانایی پراکسی‌کردن ترافیک و راه‌اندازی تعداد زیادی از حملات DDoS را دارد. جهت مطالعه بیشتر اینجا کلیک کنید.

هکرهای توسعه دهنده بدافزار TrickBot، ماژول انتشار جدید خود را تحت عنوان "Nworm"، به‌روزرسانی کردند. عموم مردم با بدافزار TrickBot آشنایی دارند، اما این بار این بدافزار با ماژول انتشار جدیدی ظاهر می شود. این ماژول، یک ماژول انتشار است که بطور کلی برای سرقت اطلاعات حساس که به دسترسی به درب‌ِپشتی کمک می‌کند، استفاده می شد که بعدا توسط چند گروه غیرقانونی برای انتشار بدافزارهای مختلف مورد استفاده قرار گرفت. GBHackers چند فعالیت TrickBot را گزارش کرده است که ابتدا در سال 2016 دیده شدند و بطور معمول با دسترسی پیدا کردن به مواردی که اخیرا توسط کاربر در پس‌زمینه اجرا شده‌اند، شروع می‌شود. زمانی که راهی برای ورود به رایانه بیابد، به تدریج ماژول‌های مختلفی را برای اجرای امور مخرب ابتدا در رایانه و سپس در شبکه، بارگیری می‌کند. برای مطالعه بیشتر اینجا کلیک کنید

شرکت Cisco یکی از بزرگترین تولیدکنندگان تجهیزات نرم‌افزاری و سخت‌افزاری شبکه می‌باشد که با توجه به پیشرفت روزافزون حوزه فناوری اطلاعات و به موازات آن افزایش چشم‌گیر تهدیدات سایبری در سطح جهان و آسیب‌پذیری‌های موجود در این تجهیزات می‌تواند موجب به خطر افتادن اطلاعات کاربران شود. نرم افزار CML نسخه Enterprise و VIRL نسخه (Personal VIRL-PE) شامل نسخه ای از SaltStack هستند که سرویس salt-master را اجرا میکند و تحت تاثیر این آسیب پذیری ها قرار دارد. سیسکو برای این محصولات به روزرسانی هایی منتشر کرده است که این آسیب پذیری ها را رفع میکنند. گزارش در اینجا قابل دسترس است.

طبق بررسی‌های اخیر، پروژه‌های متن باز NetBeans در GitHub در یک حمله زنجیره تأمین، هدف یک بدافزار قرار گرفته‌اند. طبق یک تحقیق امنیتی در 9 مارس در مورد بدافزارهایی که با نام Octopus Scanner نامگذاری شده‌اند، مشخص شد به احتمال زیاد چندین مخزن میزبانی شده در GitHub به طور مخفیانه در اختیار بدافزارها قرار گرفته بوده‌اند. این بررسی‌ها باعث کشف 26 پروژه NetBeans تحت تأثیر backdoor شد.
این بدافزار به طوری طراحی شده است که کد مخرب را به فایل‌های پروژه و فایل‌های JAR تازه ایجاد شده اضافه می‌کند. فایل‌های JAR توسط یک dropper که payload آن برای اطمینان از پایداری و ایجاد یک ابزار مدیریت از راه دور (RAT) طراحی شده است، آلوده می‌شوند. این فایل RAT به هر دو سیستم UNIX و ویندوز ارسال می‌شود. این بدافزار همچنین از ایجاد پروژه‌های جدید به منظور جایگزینی با پروژه‌های آلوده جلوگیری می‌کند.
با بررسی فایل‌ها، چهار نمونه مخرب شناسایی شد. آن‌ها فقط توسط تعداد انگشت شماری از موتورهای ضد ویروس در VirusTotal تشخیص داده شدند. نرخ تشخیص از آن زمان افزایش یافته است، اما همچنان دارای مقدار 20/60 است.
این شرکت هشدار داد که پروژه‌های متن باز مانند پروژه‌هایی که توسط Octopus Scanner مورد هدف قرار می‌گیرد، می‌توانند چند شاخه شده و مورد استفاده سایر افراد نیز قرار گیرند و این بدافزار را حتی بیشتر گسترش دهند.
اولین کسانی که تحت تأثیر این بد‌افزار قرار می‌گیرند توسعه دهندگان هستند، زیرا توسعه دهندگان معمولاً به پروژه‌های اضافی، محیط‌های تولید، کلمات عبور پایگاه داده و سایر دارایی‌های مهم دسترسی دارند.
این شرکت خاطرنشان کرده است با ارائه چندین ویژگی می‌تواند به حفظ یکپارچگی و امنیت زنجیره تأمین نرم‌افزار متن باز کمک کند.

منبع:

https://www.securityweek.com/netbeans-projects-github-targeted-apparent-supply-chain-attack

طبق گزارش‌های منتشر شده، هکرها به حساب ‫گیت‌هاب ‫مایکروسافت نفوذ کرده و 500 گیگابایت داده را از مخازن خصوصی این شرکت به سرقت برده‌اند. گیت‌هاب یک بستره‌ی توسعه‌ی نرم‌افزار محبوب است که میزبانی نرم‌افزار را برای حدود 40 میلیون برنامه‌نویس ارایه می‌دهد. برنامه‌نویسان از این بستره برای کنترل نسخه‌ی نرم‌افزار خود استفاده می‌کنند. مایکروسافت، گیت‌هاب را با قیمت 5/7 میلیارد دلار در اکتبر سال 2018 به‌دست آورد.
در حال حاضر، تصاویری از هک‌شدن اطلاعات شخصی سرورهای گیت‌هاب منتشر شده است که نشان می‌دهد اطلاعات هک‌شده شامل کدهای منبع آژور (Azure)، آفیس و منابع اجرایی ویندوز است. بعد از چند بررسی مشخص شد که خبر این هک واقعی است و ممکن است بتوان رمزهای ورودی حساب‌های کاربری بعضی از شرکت‌ها را نیز در آن پیدا کرد.
این حمله‌ی سایبری توسط گروه هکری "ShinyHunters" انجام شد که چندی پیش، شرکت اندونزیایی Tokopedia را هک کرده بود.
هکرها ۵۰۰ گیگابایت از پروژه‌های خصوصی مایکروسافت را دانلود و ۱ گیگابایت از آن را در یک انجمن هکری منتشر کردند تا افراد ثبت‌نامی به آن‌‌ها دسترسی پیدا کنند. این گروه هکری ابتدا قصد داشت این اطلاعات را به فروش برساند، اما سپس تصمیم گرفت آن‌ها را به‌صورت رایگان فاش کند.
با این حال، با توجه به نمونه‌های مخازن خصوصی و لیست‌ فهرست‌های مشاهده‌شده، به‌نظر نمی‌رسد هیچ داده‌ی محرمانه‌ای وجود داشته باشد که امکان بروز مشکلاتی را برای مایکروسافت فراهم آورد. اکثر آن‌ها به‌عنوان نمونه کد، پروژه‌های آزمایشی، کتاب‌های الکترونیکی و موارد مشابه هستند.
هکرها اعلام کردند که دیگر به حساب‌های گیت‌هاب دسترسی ندارند، بنابراین مایکروسافت زمان دارد تا هرگونه عواقب این نقض اطلاعات را بررسی کند و به کاربران خود اطلاع دهد.

بیانیه‌ی امنیتی ماه مه ‫اندروید، حاوی جزئیاتی از ‫آسیب‌پذیری‌ های امنیتی موجود در دستگاه‌های اندروید است که در دو سطح امنیتی منتشر شده است.
شدیدترین این موارد، یک آسیب‌پذیری جدی در مؤلفه‌ی "System" است که می‌تواند یک مهاجم راه دور را قادر سازد تا با استفاده از یک انتقال خاص ساخته‌شده، کد دلخواه را در چارچوب یک فرایند ممتاز، اجرا کند.
ارزیابی شدت صورت‌گرفته، بر اساس میزان سوءاستفاده‌ای است که این آسیب‌پذیری‌ها ممکن است در دستگاه آسیب‌دیده داشته باشند.

جزئیات آسیب‌پذیری وصله‌ی امنیتی سطح 2020-05-01
در ادامه، جزئیات مربوط به برخی از آسیب‌پذیری‌های امنیتی رفع‌شده در وصله‌ی سطح 2020-05-01 ارایه شده است. آسیب‌پذیری‌ها تحت مؤلفه‌ای که بر روی آن تأثیر می‌گذارند، طبقه‌بندی می‌شوند.
• چارچوب
سه آسیب‌پذیری در این بخش وجود دارد که شدیدترین آن‌ها ("CVE-2020-0096") می‌تواند یک مهاجم محلی را قادر به اجرای کد دلخواه با استفاده از یک پرونده‌ی خاص سازد.
• چارچوب رسانه‌ای
شدیدترین آسیب‌پذیری ("CVE-2020-0094") در این بخش می‌تواند یک مهاجم محلی را قادر سازد که از الزامات تعامل کاربر استفاده کند تا به مجوزهای اضافی دسترسی پیدا کند.
• سیستم
از میان هشت آسیب‌پذیری رفع‌شده در این بخش، شدیدترین آن‌ها ("CVE-2020-0103") می‌تواند یک مهاجم از راه دور را قادر به اجرای کد دلخواه در چارچوب یک فرایند ممتاز، با استفاده از یک انتقال خاص ساخته‌شده سازد.
شش مورد از آسیب‌پذیری‌های باقیمانده دارای سطح بالا هستند و یک مورد متوسط ارزیابی شده است.
• به‌روزرسانی‌های سیستم Google Play
خوشبختانه در به‌روزرسانی‌های سیستم Google Play (خط اصلی پروژه) در این ماه هیچ مشکلی امنیتی وجود ندارد.
تیم امنیتی اندروید به‌طور فعال بر سوء‌استفاده از طریق Google Play Protect نظارت می‌کند و به کاربران درباره‌ی برنامه‌های بالقوه مضر هشدار می‌دهد. Google Play Protect به‌طور پیش‌فرض در دستگاه‌های دارای خدمات Google Mobile فعال شده است و مخصوصاً برای کاربرانی که برنامه‌هایی را از خارج از Google Play نصب می‌کنند، بسیار مهم است.

جزئیات آسیب‌پذیری وصله‌ی امنیتی سطح 2020-05- 05
• مؤلفه‌های هسته
هر دو آسیب‌پذیری شناسایی‌شده در این بخش دارای شدت «بالا» بوده و می‌تواند یک مهاجم محلی را قادر سازد تا با استفاده از یک فایل ساختگی، کد دلخواه را در متن یک فرایند ممتاز اجرا کند.
• مؤلفه‌های MediaTek
شدیدترین آسیب‌پذیری در این بخش می‌تواند یک مهاجم محلی با دسترسی ممتاز را قادر به دستیابی به داده‌های حساس سازد.
• مؤلفه‌های کوالکام و منبع بسته‌ی کوالکام
این آسیب‌پذیری‌ها که بر روی مؤلفه‌های کوالکام تأثیر می‌گذارند و با جزئیات بیشتر در بیانیه‌ی امنیتی کوالکام توضیح داده شده‌اند، بر روی هسته، ویدئو، امنیت و WLAN تأثیر می‌گذارند. ارزیابی شدت این موضوعات به‌طور مستقیم توسط کوالکام ارایه شده است.
راهکار امنیتی
با پیشرفت نسخه‌های جدیدتر سیستم‌عامل اندروید، بهره‌برداری از این آسیب‌پذیری‌ها برای بسیاری از موارد در اندروید دشوارتر می‌شود. به همین دلیل، به کاربران توصیه می‌شود تا در صورت امکان، آخرین نسخه‌ی این سیستم‌عامل را دریافت کنند.