Forwarded from Пост Лукацкого
Мне тут намекнули солидные люди, что я много критикую регулятора, а в нынешнее неспокойное время это неправильно и надо быть конструктивнее. Критикуя, предлагай! А что, и предложу.
Предлагаю одному из наших регуляторов по ИБ убрать со своего сайта символику одной американской компании, деятельность которой то ли признана в России экстремистской, то ли нет (в списке Минюста она отсутствует), но при этом деятельность ее точно запрещена судом. Да и символику другой соцсети, прекратившей свое существование уже 3 года назад, тоже можно убрать. А то как-то некрасиво получается - доступ с зарубежных IP-адресов запрещают, а иконки, ведущие на зарубежные IP-адреса размещают.
Все, предложил. Выдохнул. Теперь можно снова критиковать ;-)
Предлагаю одному из наших регуляторов по ИБ убрать со своего сайта символику одной американской компании, деятельность которой то ли признана в России экстремистской, то ли нет (в списке Минюста она отсутствует), но при этом деятельность ее точно запрещена судом. Да и символику другой соцсети, прекратившей свое существование уже 3 года назад, тоже можно убрать. А то как-то некрасиво получается - доступ с зарубежных IP-адресов запрещают, а иконки, ведущие на зарубежные IP-адреса размещают.
Все, предложил. Выдохнул. Теперь можно снова критиковать ;-)
😁32👍6💩4❤1
KILLNET требуют от властей Польши прекратить поставки оружия на Украину. Судя по всему, хакеры сейчас DDoSят сайты международных аэропортов в Польше.
👍30🤮10😁3💩2
Российский аналог Instagram Грустнограм появился в AppStore и Google Play. Он создан для грустных людей.
Google Play
Грустнограм - Apps on Google Play
Share your real
😁11👎2👍1🔥1
0day в 7zip под windows позволяет повысить привилегии до системы
Если кто не слышал, 7zip является (весьма удобным, надо сказать) FOSS-архиватором, что позволяет без потенциальных проблем с законом использовать его в коммерческих целях совершенно бесплатно.
Баг CVE-2022-29072 вызван неправильной настройкой прав для 7z.dll и переполнением кучи. В опубликованном PoC-видео автор перетаскивает созданный им .7z файл в окно Help → Contents, и архиватор спавнит cmd, запущенный с правами system*. 0day пока не исправлен, так что полный эксплойт в открытый доступ не выложен.
Разработчики 7-zip считают, что баг вызван майкрософтовским
На случай, если разработчики 7zip откажутся фиксить багу, исправить ее можно, например, удалив
*От админа до системы вполне легально повысились с помощью утилиты Sysinternals
Если кто не слышал, 7zip является (весьма удобным, надо сказать) FOSS-архиватором, что позволяет без потенциальных проблем с законом использовать его в коммерческих целях совершенно бесплатно.
Баг CVE-2022-29072 вызван неправильной настройкой прав для 7z.dll и переполнением кучи. В опубликованном PoC-видео автор перетаскивает созданный им .7z файл в окно Help → Contents, и архиватор спавнит cmd, запущенный с правами system*. 0day пока не исправлен, так что полный эксплойт в открытый доступ не выложен.
Разработчики 7-zip считают, что баг вызван майкрософтовским
hh.exe (который отображает окно справки): в софт, использующиий этот механизм, и раньше находили уязвимым к command injection (например, было с WinRAR). С другой стороны, если бы это было так, cmd был бы дочерним процессом hh.exe, а не архиватора. Также в описании уязвимости говорится, что внедренный код запускается от админа именно благодаря переполнению кучи в 7zFM.exe.На случай, если разработчики 7zip откажутся фиксить багу, исправить ее можно, например, удалив
7-zip.chm.*От админа до системы вполне легально повысились с помощью утилиты Sysinternals
psexec.
@NeKaspersky👍13😱3👎1😁1🤬1
NSO заметили за использованием нового zero-click эксплойта для ios
За обнаружение уязвимости, получившей название «HOMAGE», благодарить стоит экспертов из Citizen Lab, по словам которых проблема кроется в iMessage. Баг использовался для доставкиПринцессы Селестии Pegasus на айфоны под управлением iOS <13.2. Судя по тому, что заражений на версиях включая и выше 13.2 не наблюдается, Apple могли (случайно или намеренно) исправить уязвимость.
Среди жертв этих нападений Citizen Lab назвала каталонских членов Европейского парламента, каждого президента Каталонии с 2010 года, а также каталонских законодателей, юристов, журналистов и членов организаций гражданского общества и их семей. Исследователи не нашли достаточно доказательств, чтобы приписать атаки конкретному правительству, однако ряд косвенных улик указывает на тесную связь с одной или несколькими организациями в правительстве (кто бы мог подумать) Испании.
HOMAGE использовался в конце 2019 года и запускал инстанс WebKit в
В дальнейшем производилось определение модели телефона с помощью получения информации о разрешении экрана (в пикселях) и сравнение ее с забитыми в код значениями для различных моделей iPhone. Если совпадений несколько (например, расширения для X и Xs совпадают, если на последнем включен display zoom), вредонос измерял время, нужное для AES-шифрования буффера на 2^28 байт в CBC режиме. На Xs и дальше на операцию требуется менее 560ms.
Более подробной инфой об эксплойте (вместе с релевантными следами вредоноса) поделились с Apple.
@NeKaspersky
За обнаружение уязвимости, получившей название «HOMAGE», благодарить стоит экспертов из Citizen Lab, по словам которых проблема кроется в iMessage. Баг использовался для доставки
Среди жертв этих нападений Citizen Lab назвала каталонских членов Европейского парламента, каждого президента Каталонии с 2010 года, а также каталонских законодателей, юристов, журналистов и членов организаций гражданского общества и их семей. Исследователи не нашли достаточно доказательств, чтобы приписать атаки конкретному правительству, однако ряд косвенных улик указывает на тесную связь с одной или несколькими организациями в правительстве (кто бы мог подумать) Испании.
HOMAGE использовался в конце 2019 года и запускал инстанс WebKit в
com.apple.mediastream.mstreamd, далее эксплойт искал email Pegasus с помощью com.apple.private.alloy.photostream. Инстанс WebKit-а в дальшейшем использовался для получения вредоносного JavaScript (его исследователям удалось восстановить с одной из пострадавших звонилок). JS в свою очередь проводил ряд тестов и, в случае успеха, запускал эксплойт уже для WebKit.В дальнейшем производилось определение модели телефона с помощью получения информации о разрешении экрана (в пикселях) и сравнение ее с забитыми в код значениями для различных моделей iPhone. Если совпадений несколько (например, расширения для X и Xs совпадают, если на последнем включен display zoom), вредонос измерял время, нужное для AES-шифрования буффера на 2^28 байт в CBC режиме. На Xs и дальше на операцию требуется менее 560ms.
Более подробной инфой об эксплойте (вместе с релевантными следами вредоноса) поделились с Apple.
@NeKaspersky
🇷🇺🇦🇲Правительства России и Армении подписали соглашение о сотрудничестве в области обеспечения информационной безопасности
👍21💩7
Новый инфостиллер ZingoStealer теперь раздается бесплатно
Стиллер ZingoStealer создан командой Haskers Gang, деятельность которых была замечена ещё в январе 2020 года. Изначально разработчики хотели продавать исходный код своего вредоноса за 500 долларов. Однако сейчас собираются отдать его бесплатно.
ZingoStealer — новый вредонос, появившийся в марте 2022 года. Основная его функция — это сбор учетных данных, данных браузера Chrome и Firefox, а также токенов Discord и других наборов данных. Кроме того, вредоносное ПО может использовать любые учетные данные криптовалюты, хранящиеся в расширениях браузера, от служб, включая BitApp, Coinbase, Binance и Brave. Стилер способен работать совместно с другими вредоносными программами, включая RedLine Stealer (который содержит типичные функции кражи, а также возможность собирать данные VPN-учетных записей и данные для входа, что влияет на поставщиков, включая NordVPN, OpenVPN и ProtonVPN).
Кроме того, ZingoStealer также можно использовать для развертывания майнера криптовалюты на зараженных системах. Киберпреступники могут спокойно выполнять функции майнера криптовалюты в атаках, которые крадут вычислительную мощность для добычи монет. Эти виртуальные активы отправляются в кошельки, контролируемые злоумышленниками.
Также, как бонус, команда Haskers Gang предлагает собственный шифровальщик ExoCrypt. Он может помочь хакерам уйти от детектирования антивирусными средствами. Стоит всего 3 доллара.
По словам исследователей, злоумышленники нападают преимущественно на геймеров с помощью чит-кодов, пиратского программного обеспечения. Как правило, ориентированы на русскоязычных жертв. Инфостилер использует Telegram для извлечения данных и выдачи обновлений компонентов. Очагом распространения служат серверы Discord, каналы на YouTube. Однако жертвами могут стать пользователи и других ресурсов.
ZingoStealer является новым. Его будущее неопределенно и нестабильно. Но тот факт, что хакеры могут использовать его бесплатно и развернуть без ограничений, делает ZingoStealer потенциально опасной угрозой.
@NeKaspersky
Стиллер ZingoStealer создан командой Haskers Gang, деятельность которых была замечена ещё в январе 2020 года. Изначально разработчики хотели продавать исходный код своего вредоноса за 500 долларов. Однако сейчас собираются отдать его бесплатно.
ZingoStealer — новый вредонос, появившийся в марте 2022 года. Основная его функция — это сбор учетных данных, данных браузера Chrome и Firefox, а также токенов Discord и других наборов данных. Кроме того, вредоносное ПО может использовать любые учетные данные криптовалюты, хранящиеся в расширениях браузера, от служб, включая BitApp, Coinbase, Binance и Brave. Стилер способен работать совместно с другими вредоносными программами, включая RedLine Stealer (который содержит типичные функции кражи, а также возможность собирать данные VPN-учетных записей и данные для входа, что влияет на поставщиков, включая NordVPN, OpenVPN и ProtonVPN).
Кроме того, ZingoStealer также можно использовать для развертывания майнера криптовалюты на зараженных системах. Киберпреступники могут спокойно выполнять функции майнера криптовалюты в атаках, которые крадут вычислительную мощность для добычи монет. Эти виртуальные активы отправляются в кошельки, контролируемые злоумышленниками.
Также, как бонус, команда Haskers Gang предлагает собственный шифровальщик ExoCrypt. Он может помочь хакерам уйти от детектирования антивирусными средствами. Стоит всего 3 доллара.
По словам исследователей, злоумышленники нападают преимущественно на геймеров с помощью чит-кодов, пиратского программного обеспечения. Как правило, ориентированы на русскоязычных жертв. Инфостилер использует Telegram для извлечения данных и выдачи обновлений компонентов. Очагом распространения служат серверы Discord, каналы на YouTube. Однако жертвами могут стать пользователи и других ресурсов.
ZingoStealer является новым. Его будущее неопределенно и нестабильно. Но тот факт, что хакеры могут использовать его бесплатно и развернуть без ограничений, делает ZingoStealer потенциально опасной угрозой.
@NeKaspersky
👍4
Lillin scanner, основанный на BotenaGo, активно заражает DVR-девайсы
Не прошло и пол года (на самом деле прошло), как другие злоумышленники начали адаптировать слитые ранее исходники ботнета BotenaGo под свои цели. Данный, так сказать, форк обнаружен исследователями из Nozomi Networks Labs и нацелен на заражение исключительно DVR (digital video recorder, те самые коробки, которые пишут видеофиды с камер видеонаблюдения) производства Lilin (отсюда и название, «Lillin scanner»). Для проникновения на девайсы используется эксплойт для RCE почти двухлетней давности: как оказалось, уязвимых DVR все еще достаточно много, что может частично объяснить столь узкую специализацию. Также на момент публикации доклада ни один из антивирусов на VirusTotal не детектил вредонос. По словам исследователей, это может быть вызвано тем, что бинарник, мягко говоря, в меру упитанный (2.8Мб), и непосредственно вредоносного кода в нем не так уж и много.
Помимо сильно урезанного набора эксплойтов Lillin отличается от BotenaGo еще и использованием сторонней тулзы для составления списков IP-адресов потенциально уязвимых устройств. Затем наш сканер, вооружившись RCE и дюжиной дефолтных креденшлов, аки свидетель Иеговы стучится ко всем, кому не повезло туда попасть, и предлагает поговорить о Mirai. При чем тут Mirai? Дело в том, что пейлоды, запускаемые Lillin после эксплуатации RCE, содержат именно его. Mirai в свою очередь таргетит куда больше устройств, так что эксплойт Lilin DVR явно является начальной стадией для более масштабной волны заражений.
Впрочем, по словам исследователей, даже с учетом более широких возможностей Mirai на текущий момент кампания не особо опасна: Lillin не умеет распространяться сам по себе, т.к. сканирование и заражение выполняются вручную.
@NeKaspersky
Не прошло и пол года (на самом деле прошло), как другие злоумышленники начали адаптировать слитые ранее исходники ботнета BotenaGo под свои цели. Данный, так сказать, форк обнаружен исследователями из Nozomi Networks Labs и нацелен на заражение исключительно DVR (digital video recorder, те самые коробки, которые пишут видеофиды с камер видеонаблюдения) производства Lilin (отсюда и название, «Lillin scanner»). Для проникновения на девайсы используется эксплойт для RCE почти двухлетней давности: как оказалось, уязвимых DVR все еще достаточно много, что может частично объяснить столь узкую специализацию. Также на момент публикации доклада ни один из антивирусов на VirusTotal не детектил вредонос. По словам исследователей, это может быть вызвано тем, что бинарник, мягко говоря, в меру упитанный (2.8Мб), и непосредственно вредоносного кода в нем не так уж и много.
Помимо сильно урезанного набора эксплойтов Lillin отличается от BotenaGo еще и использованием сторонней тулзы для составления списков IP-адресов потенциально уязвимых устройств. Затем наш сканер, вооружившись RCE и дюжиной дефолтных креденшлов, аки свидетель Иеговы стучится ко всем, кому не повезло туда попасть, и предлагает поговорить о Mirai. При чем тут Mirai? Дело в том, что пейлоды, запускаемые Lillin после эксплуатации RCE, содержат именно его. Mirai в свою очередь таргетит куда больше устройств, так что эксплойт Lilin DVR явно является начальной стадией для более масштабной волны заражений.
Впрочем, по словам исследователей, даже с учетом более широких возможностей Mirai на текущий момент кампания не особо опасна: Lillin не умеет распространяться сам по себе, т.к. сканирование и заражение выполняются вручную.
@NeKaspersky
👍2😱1
Уязвимость в UEFI-фирмвари Lenovo угрожает ноутам более 100 различных моделей
Обсуждаемые баги обнаружены исследователями ESET в октябре прошлого года, тогда же о них сообщили Lenovo. Под угрозой оказались весьма популярные у массового потребителя ноуты, вроде IdeaPad 3, Legion 5 Pro-16ACH6 H и Yoga Slim 9-14ITL05, что потенциально влечет за собой появление миллионов уязвимых девайсов. К счастью, владельцам нормальной техники (т.е. Thinkpad-ов), боятся нечего, а остальные могут проверить свой девайс на уязвимость тут.
Всего обнаружили три уязвимости, две из которых (CVE-2021-3971 и CVE-2021-3972) позволяли отключить защиту SPI-флешки с прошивкой UEFI и механизм Secure Boot, что определенно оценят злоумышленники, решившие подселить малварь непосредственно в UEFI. Третий (CVE-2021-3970) позволяет выполнять произвольный код с повышенными привилегиями.
Что интересно, 3971 и 3972 обнаружены в драйверах с говорящими названиями SecureBackDoor и SecureBackDoorPeim, которые, естественно, попали в прошивку по досадному недоразумению, а так нужны только в процессе производства (и вообще все это было давно и неправда).
Естественно, если вдруг ваш девайс числится в списке уязвимых, фирмварь стоит немдленно обновить, поскольку засевший там вредонос весьма проблематично обнаружить, а его возможности практически безграничны.
@NeKaspersky
Обсуждаемые баги обнаружены исследователями ESET в октябре прошлого года, тогда же о них сообщили Lenovo. Под угрозой оказались весьма популярные у массового потребителя ноуты, вроде IdeaPad 3, Legion 5 Pro-16ACH6 H и Yoga Slim 9-14ITL05, что потенциально влечет за собой появление миллионов уязвимых девайсов. К счастью, владельцам нормальной техники (т.е. Thinkpad-ов), боятся нечего, а остальные могут проверить свой девайс на уязвимость тут.
Всего обнаружили три уязвимости, две из которых (CVE-2021-3971 и CVE-2021-3972) позволяли отключить защиту SPI-флешки с прошивкой UEFI и механизм Secure Boot, что определенно оценят злоумышленники, решившие подселить малварь непосредственно в UEFI. Третий (CVE-2021-3970) позволяет выполнять произвольный код с повышенными привилегиями.
Что интересно, 3971 и 3972 обнаружены в драйверах с говорящими названиями SecureBackDoor и SecureBackDoorPeim, которые, естественно, попали в прошивку по досадному недоразумению, а так нужны только в процессе производства (и вообще все это было давно и неправда).
Естественно, если вдруг ваш девайс числится в списке уязвимых, фирмварь стоит немдленно обновить, поскольку засевший там вредонос весьма проблематично обнаружить, а его возможности практически безграничны.
@NeKaspersky
BleepingComputer
Lenovo UEFI firmware driver bugs affect over 100 laptop models
Lenovo has published a security advisory on vulnerabilities that impact its Unified Extensible Firmware Interface (UEFI) loaded on at least 100 of its laptop models.
👍3💩1
Хотфикс амазона для log4shell позволял осуществить побег из контейнеров
Не хочется триггерить ПТСР читателей, но log4shell снова напомнил о себе, причем не в самом очевидном ключе. На этот раз патчить патчи пришлось облачному провайдеру амазона (AWS). 14 декабря AWS выпустили набор фиксов, исправляющих log4shell в уязвимых контейнерах и серверах «на лету», однако всего через неделю исследователи из Unit42 обнаружили неприятную побочку, позволяющую малвари сбежать из контейнеров или повысить привилегии до рута. Обнаруженные баги теперь отслеживаются как CVE-2021-3100, CVE-2021-3101, CVE-2022-0070 и CVE-2022-0071, а исправленные версии фиксов вышли буквально вчера.
Однако, вернемся к хотпатчам. Во время упомянутого безумия AWS опенсорснули несколько решений, исправляющих уязвимость в другом софте: hot patch service, упакованный в rpm- или deb-пакеты, hot patch Daemonset для Kubernetes, который ставит hot patch service на все кубоноды, и Hotdog — сет OCI-хуков, предназначенный в первую очередь для работы с амазоновским hardened дистром для контейнеров «Bottlerocket».
Упомянутый сервис ищет среди запущенных процессов бинарники с именем
Представим, что пользователь запускает контейнер, в котором есть бинарник, который выглядит как java, но плавает и крякает совсем не как java, а как полноценная малварь, при этом бинарник запущен от рута, а в контейнере ограничен доступ только к пространству пользователя, но отключен стафф, отвечающий за изоляцию. В этом случае после «исправления» фейковая джава получит буст в привилегиях и сможет захватить контроль над хостом. По похожей логике может произойти повышение привилегий для приложений, запущенных непосредственно на хосте: любой файл с названием
Для исправления уязвимостей пользователям hot patch service и любителям хотдогов следует обновить (удалить) соответствующие пакеты, а вот с кубом все чуть сложнее: нужно руками запустить апдейт сервиса на каждой ноде (при этом удаление Daemonset-а на хосте не будет автоматически сносить инсталляции сервиса).
P.S. PoC-видео для интересующихся.
@NeKaspersky
Не хочется триггерить ПТСР читателей, но log4shell снова напомнил о себе, причем не в самом очевидном ключе. На этот раз патчить патчи пришлось облачному провайдеру амазона (AWS). 14 декабря AWS выпустили набор фиксов, исправляющих log4shell в уязвимых контейнерах и серверах «на лету», однако всего через неделю исследователи из Unit42 обнаружили неприятную побочку, позволяющую малвари сбежать из контейнеров или повысить привилегии до рута. Обнаруженные баги теперь отслеживаются как CVE-2021-3100, CVE-2021-3101, CVE-2022-0070 и CVE-2022-0071, а исправленные версии фиксов вышли буквально вчера.
Однако, вернемся к хотпатчам. Во время упомянутого безумия AWS опенсорснули несколько решений, исправляющих уязвимость в другом софте: hot patch service, упакованный в rpm- или deb-пакеты, hot patch Daemonset для Kubernetes, который ставит hot patch service на все кубоноды, и Hotdog — сет OCI-хуков, предназначенный в первую очередь для работы с амазоновским hardened дистром для контейнеров «Bottlerocket».
Упомянутый сервис ищет среди запущенных процессов бинарники с именем
java и пытается их пропатчить вне зависимости от того, запущены ли они в контейнере. В процессе исправления бинарники запускаются по два раза, в первый — чтобы определить версию джавы, во второй — уже с инжектнутым патчем. Проблема, однако, заключалась в том, что запуск бинарников происходил без нормальной их контейниризации.Представим, что пользователь запускает контейнер, в котором есть бинарник, который выглядит как java, но плавает и крякает совсем не как java, а как полноценная малварь, при этом бинарник запущен от рута, а в контейнере ограничен доступ только к пространству пользователя, но отключен стафф, отвечающий за изоляцию. В этом случае после «исправления» фейковая джава получит буст в привилегиях и сможет захватить контроль над хостом. По похожей логике может произойти повышение привилегий для приложений, запущенных непосредственно на хосте: любой файл с названием
java после применения патча будет запущен с теми же правами, что и настоящая джава.Для исправления уязвимостей пользователям hot patch service и любителям хотдогов следует обновить (удалить) соответствующие пакеты, а вот с кубом все чуть сложнее: нужно руками запустить апдейт сервиса на каждой ноде (при этом удаление Daemonset-а на хосте не будет автоматически сносить инсталляции сервиса).
P.S. PoC-видео для интересующихся.
@NeKaspersky
👍2
Разведывательная сеть "Пять глаз" ( США, Великобритания, Канада, Австралия и Новая Зеландия) сообщила, что Россия готовит мощную кибератаку против тех стран, которые поддерживают Украину.
👍14🔥7👎4😁1
Binance решили окончательно добить многострадальный российский народ и запретили участвовать россиянам в торгах и пополнять счета. Совпадение или нет, но вчера в день рождения Гитлера, биржа выпустила новые эмодзи, которые напоминают свастику. Вот кому надо устроить денацификацию. Настоящие нацисты в Binance.
😁17👍3🤮1
This media is not supported in your browser
VIEW IN TELEGRAM
Русские хакеры взломали украинский канал 1+1 и опубликовали на бегущей строке слоган Мариупольских ополченцев
😁23🤮11🔥3👍2
Hive нацелились на серверы Microsoft Exchange
По сообщениям исследователей из Varonis, для получения начального доступа рансомварщики используют ProxyShell — достаточно старый набор из трех багов (CVE-2021-34473, CVE-2021-34523 и CVE-2021-31297), дающий RCE без необходимости аутентификации.
В исследуемом кейсе следующим шагом стало развертывание четырех опенсорсных веб-шеллов и выполнение .ps-скрипта для загрузки Cobalt Strike. Запустив Mimikatz от имени забекдоренной таким образом учетки, им удалось добыть креденшлы администратора домена и выполнить боковое перемещение. Для этого, что занятно, решили воспользоваться легитимной тулзой «SoftPerfect Network Scanner»: с его помощью искали живые хосты в сети, на которые в последствии распространяли свою малварь.
Затем на скомпрометированных машинах искали важные данные, чтобы пригрозить компании их публикацией, тем самым увеличив вероятность получения выкупа. Когда с этим было покончено, рансомварщики (естественно, после удаления бэкапов, отключения Защитника Windows и заметания следов) свалили в закат, оставив после себя лишь шифровальщик, бинарник которого назвали
@NeKaspersky
По сообщениям исследователей из Varonis, для получения начального доступа рансомварщики используют ProxyShell — достаточно старый набор из трех багов (CVE-2021-34473, CVE-2021-34523 и CVE-2021-31297), дающий RCE без необходимости аутентификации.
В исследуемом кейсе следующим шагом стало развертывание четырех опенсорсных веб-шеллов и выполнение .ps-скрипта для загрузки Cobalt Strike. Запустив Mimikatz от имени забекдоренной таким образом учетки, им удалось добыть креденшлы администратора домена и выполнить боковое перемещение. Для этого, что занятно, решили воспользоваться легитимной тулзой «SoftPerfect Network Scanner»: с его помощью искали живые хосты в сети, на которые в последствии распространяли свою малварь.
Затем на скомпрометированных машинах искали важные данные, чтобы пригрозить компании их публикацией, тем самым увеличив вероятность получения выкупа. Когда с этим было покончено, рансомварщики (естественно, после удаления бэкапов, отключения Защитника Windows и заметания следов) свалили в закат, оставив после себя лишь шифровальщик, бинарник которого назвали
Windows.exe.@NeKaspersky
Пока вы работали, Мосгорсуд тоже не сидел без дела и оценил слитые в сеть данные сотен тысяч клиентов Яндекс.Еды в 60 тысяч рублей, что втрое меньше месячной зарплаты хорошего ИБ-специалиста.
Яндекс, очевидно, выбрал путь не платить хорошую зп ИБ-шникам, а раз в полгода допускать утечку данных пользователей, которая выходит компании гораздо дешевле.
Яндекс, очевидно, выбрал путь не платить хорошую зп ИБ-шникам, а раз в полгода допускать утечку данных пользователей, которая выходит компании гораздо дешевле.
💩23👍12
REvil живее всех живых
Группировка, стоявшая за атакой на Kaseya и рядом ransomware-атак подала признаки жизни.
Сайт группировки появился в сети TOR. Создатели зарегистрировали новое onion-имя и продвигают его на русскоязычном хакерском форуме RuTOR. На площадку можно попасть через редирект с старого сайта утечек. На страницах сайта есть длинный список жертв прошлых атак и две свежие записи.
В январе ФСБ совместно с ФБР задержали 14 предполагаемых хакеров, а первые аресты в Западной Европе были произведены в октябре и ноябре 2021, но, вероятно, после небольшой паузы оставшиеся на свободе участники хакерской группировки возобновили деятельность.
@NeKaspersky
Группировка, стоявшая за атакой на Kaseya и рядом ransomware-атак подала признаки жизни.
Сайт группировки появился в сети TOR. Создатели зарегистрировали новое onion-имя и продвигают его на русскоязычном хакерском форуме RuTOR. На площадку можно попасть через редирект с старого сайта утечек. На страницах сайта есть длинный список жертв прошлых атак и две свежие записи.
В январе ФСБ совместно с ФБР задержали 14 предполагаемых хакеров, а первые аресты в Западной Европе были произведены в октябре и ноябре 2021, но, вероятно, после небольшой паузы оставшиеся на свободе участники хакерской группировки возобновили деятельность.
@NeKaspersky
👍7🔥4