🔍 Сетевая разведка за 30 дней — 4 недели практики на HackerLab
80% реальных пентест-engagement'ов начинаются с nmap и gobuster, а не с экзотических эксплойтов. Кто умеет читать вывод сканера — находит уязвимости. Кто пропускает recon — стоит на брутфорсе вечно.
С 1 по 28 июня — бесплатная серия из 4 задач на hackerlab.pro. Одна неделя = один инструмент, сложность растёт:
📌 Неделя 1 — nmap: port scan + banner grabbing
📌 Неделя 2 — nmap -sV, ssh-audit: service enumeration
📌 Неделя 3 — gobuster, ffuf, wfuzz: web recon, directory + vhost
📌 Неделя 4 — nmap + Burp + hydra: полная цепочка recon → exploitation
Всё решается прямо на платформе — никаких VPN, регистраций, скачиваний.
⚙️ Каждый понедельник — новый weekly-тред с intro, ссылками и discussion prompts. До дедлайна обсуждаем подходы и ошибки без спойлеров, после — открываем writeup'ы.
🎁 Топ-3 первых solver'ов каждой недели — мерч от Codeby + упоминание в рекапе. Лучшие writeup'ы закрепляются в треде.
Подходит всем уровням: от первого запуска nmap до «code review» recon-привычек для middle.
К концу июня — свой чеклист «что делать, когда увидел новый IP» и публичные writeup'ы в портфолио.
📅 Старт — 1 июня. Первая машина — «Кто там?»
👉 https://codeby.net/threads/misen-setevaya-razvedka-za-30-dnei-4-nedeli-praktiki-na-hackerlab.93740/
80% реальных пентест-engagement'ов начинаются с nmap и gobuster, а не с экзотических эксплойтов. Кто умеет читать вывод сканера — находит уязвимости. Кто пропускает recon — стоит на брутфорсе вечно.
С 1 по 28 июня — бесплатная серия из 4 задач на hackerlab.pro. Одна неделя = один инструмент, сложность растёт:
📌 Неделя 1 — nmap: port scan + banner grabbing
📌 Неделя 2 — nmap -sV, ssh-audit: service enumeration
📌 Неделя 3 — gobuster, ffuf, wfuzz: web recon, directory + vhost
📌 Неделя 4 — nmap + Burp + hydra: полная цепочка recon → exploitation
Всё решается прямо на платформе — никаких VPN, регистраций, скачиваний.
⚙️ Каждый понедельник — новый weekly-тред с intro, ссылками и discussion prompts. До дедлайна обсуждаем подходы и ошибки без спойлеров, после — открываем writeup'ы.
🎁 Топ-3 первых solver'ов каждой недели — мерч от Codeby + упоминание в рекапе. Лучшие writeup'ы закрепляются в треде.
Подходит всем уровням: от первого запуска nmap до «code review» recon-привычек для middle.
К концу июня — свой чеклист «что делать, когда увидел новый IP» и публичные writeup'ы в портфолио.
📅 Старт — 1 июня. Первая машина — «Кто там?»
👉 https://codeby.net/threads/misen-setevaya-razvedka-za-30-dnei-4-nedeli-praktiki-na-hackerlab.93740/
🔥8❤3👍3👎2
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5❤4🔥3
При ARP Spoofing
злоумышленник отправляет поддельные ARP-какой из вариантов наиболее точно описывает ARP
Spoofing❓
злоумышленник отправляет поддельные ARP-какой из вариантов наиболее точно описывает ARP
Spoofing
Anonymous Quiz
8%
Массовая отправка ICMP-пакетов для отказа в обслуживании
2%
Сканирование открытых портов в сети
83%
Подмена ARP-ответов для перехвата трафика в локальной сети
7%
Подмена DNS-записей для перенаправления трафика
👀11👍7❤3🌚3🫡3🔥2😁1🤔1
Forwarded from Hacker Lab
🚩 Новые задания на платформе HackerLab!
🎢 Категория Разное — Анонимизатор
——————————————
🗂 В архив добавлены задания + райтапы:
🔵 PWN - Piece of cake
Приятного хакинга!
——————————————
🗂 В архив добавлены задания + райтапы:
Приятного хакинга!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7🔥5👍3👎2🍌1
🔑 Анатомия реестра Windows: SAM, BootKey и извлечение NTLM-хэшей
«Для доступа к SAM нужны права SYSTEM, а хэши — только через дамп lsass». Все это повторяют, но это не совсем так.
Заключительная часть серии по внутренним особенностям реестра. На этот раз — практический разбор того, как Mimikatz, Hashcat и PassRecovery вытаскивают пароли из учётных записей Windows.
Что внутри:
📌 Как устроена база SAM — аутентификация, SID, политики безопасности и связь с lsass.exe
📌 BootKey — сборка 16-байтного ключа шифрования из скрытых полей ClassName четырёх ключей LSA (JD, Skew1, Data, GBG)
📌 Недокументированные структуры параметров F (fixed) и V (variable) — где лежат хэши NTLM, имена учёток, даты входа и счётчики
📌 Почему Credential Guard и RunAsPPL блокируют дамп lsass, но не закрывают доступ через реестр
⚙️ Практика — рабочий код на FASM, который из пользовательской сессии с привилегией SeBackup читает ветку SAM через
Флаг не наследуется, документации на структуры нет с времён WinXP, а различия между Win7 и Win10+ ломают все старые парсеры. Автор нашёл актуальные структуры и показывает всё на живой системе.
👉 https://codeby.net/threads/anatomiya-reyestra-windows-3-vynosim-kh-eshi-iz-sam.93782/
«Для доступа к SAM нужны права SYSTEM, а хэши — только через дамп lsass». Все это повторяют, но это не совсем так.
Заключительная часть серии по внутренним особенностям реестра. На этот раз — практический разбор того, как Mimikatz, Hashcat и PassRecovery вытаскивают пароли из учётных записей Windows.
Что внутри:
📌 Как устроена база SAM — аутентификация, SID, политики безопасности и связь с lsass.exe
📌 BootKey — сборка 16-байтного ключа шифрования из скрытых полей ClassName четырёх ключей LSA (JD, Skew1, Data, GBG)
📌 Недокументированные структуры параметров F (fixed) и V (variable) — где лежат хэши NTLM, имена учёток, даты входа и счётчики
📌 Почему Credential Guard и RunAsPPL блокируют дамп lsass, но не закрывают доступ через реестр
⚙️ Практика — рабочий код на FASM, который из пользовательской сессии с привилегией SeBackup читает ветку SAM через
RegCreateKeyEx + REG_OPTION_BACKUP_RESTORE. Без дампов памяти, без обращения к lsass.Флаг не наследуется, документации на структуры нет с времён WinXP, а различия между Win7 и Win10+ ломают все старые парсеры. Автор нашёл актуальные структуры и показывает всё на живой системе.
👉 https://codeby.net/threads/anatomiya-reyestra-windows-3-vynosim-kh-eshi-iz-sam.93782/
❤10👍7🔥2
732 байта Python-кода — и детерминистический root на любом Linux
Представьте: один скрипт, никаких race condition, никаких per-distro offsets — и через пару секунд ваш
🔎 Суть бага — в пересечении трёх подсистем ядра, которые по отдельности работают корректно:
•
•
• Page cache — общесистемный кеш, где одна и та же страница памяти обслуживает все процессы, включая setuid-бинари
В 2017 году модуль
👉 Почему это страшнее Dirty Pipe? Три причины:
1. Детерминизм — нет окна гонки, эксплойт срабатывает со 100% вероятностью
2. Универсальность — работает на каждом крупном дистрибутиве с ядром от 2017 года (Ubuntu, RHEL, Amazon Linux, SUSE, Debian)
3. Container escape — page cache общий для хоста и контейнеров с shared kernel, так что Copy Fail — это ещё и побег из контейнера. PoC для Kubernetes уже валидирован на EKS, GKE и Alibaba Cloud ACK.
🎇 Что устояло? МикроВМ (AWS Firecracker, Fargate), gVisor, V8-изоляты Cloudflare Workers — всё, где у каждого tenant своё ядро.
Интересный момент: баг прятался так долго, потому что подсистему
На практике для пентестера это значит: после получения low-priv shell проверка Copy Fail занимает меньше времени, чем перебор SUID-бинарей или разбор cron jobs. Если модуль
Полный разбор механики, пошаговую эксплуатацию и рекомендации по защите читайте в полной статье.
https://codeby.net/threads/cve-2026-31431-copy-fail-razbor-linux-privilege-escalation-bez-race-condition.93766/
Представьте: один скрипт, никаких race condition, никаких per-distro offsets — и через пару секунд ваш
www-data превращается в root. Именно так работает CVE-2026-31431, она же Copy Fail — уязвимость, которая пряталась в ядре Linux девять лет.•
AF_ALG — сокетный интерфейс к крипто-API ядра, доступный любому непривилегированному процессу•
splice() — системный вызов, который передаёт данные через ссылки на страницы page cache без копирования• Page cache — общесистемный кеш, где одна и та же страница памяти обслуживает все процессы, включая setuid-бинари
В 2017 году модуль
algif_aead получил оптимизацию: destination и reference pages объединили в единый scatterlist. Но код не проверял, можно ли записывать за пределы output-региона. Шаблон authencesn при расшифровке пишет 4 байта scratch-данных по фиксированному смещению. Через splice() атакующий подставляет страницы page cache от setuid-бинаря — и эти четыре байта записываются прямо в кешированный образ /usr/bin/su. На диске файл не тронут, а в памяти — уже модифицирован.1. Детерминизм — нет окна гонки, эксплойт срабатывает со 100% вероятностью
2. Универсальность — работает на каждом крупном дистрибутиве с ядром от 2017 года (Ubuntu, RHEL, Amazon Linux, SUSE, Debian)
3. Container escape — page cache общий для хоста и контейнеров с shared kernel, так что Copy Fail — это ещё и побег из контейнера. PoC для Kubernetes уже валидирован на EKS, GKE и Alibaba Cloud ACK.
Интересный момент: баг прятался так долго, потому что подсистему
crypto/ ревьюили криптографы. Они проверяли IND-CPA, side channels, валидацию параметров. А вопрос «должна ли эта страница памяти вообще быть writeable?» — из другой дисциплины, и он просто выпал из поля зрения. Девять лет.На практике для пентестера это значит: после получения low-priv shell проверка Copy Fail занимает меньше времени, чем перебор SUID-бинарей или разбор cron jobs. Если модуль
algif_aead загружен и ядро не пропатчено — root за секунды.Полный разбор механики, пошаговую эксплуатацию и рекомендации по защите читайте в полной статье.
https://codeby.net/threads/cve-2026-31431-copy-fail-razbor-linux-privilege-escalation-bez-race-condition.93766/
Please open Telegram to view this post
VIEW IN TELEGRAM
❤10👍7🔥5
Subzy
📐 Функции:
📉 Возможность сканировать несколько поддоменов списком
📉 Скрытие неудачных проверок или неуязвимых домменов
🖱 Проверка действительности SSL
⬇️ Установка:
0️⃣ Клонируем репозиторий и переходим в рабочую директорию:
1️⃣ Устанавливаем язык GO:
2️⃣ Собираем проект:
⛓️💥 Запуск:
▶️ Запуск и сканирование одной цели:
▶️ Запуск и сканирование списка поддоменов:
▶️ Запуск и сканирование несольких целей, без использования списка:
#web #wapt
🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером
Инструмент для захвата субдоменов, работающий на основе сопоставления отпечатков ответов.
git clone https://github.com/PentestPad/subzy.git
cd subzy/
sudo apt install golang-go
go build
./subzy r --target {URL}./subzy r --targets {TXT}./subzy r --targets {URL},{URL}#web #wapt
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7❤5🔥4
Предсказуемый sequence number — и чужая сессия у тебя в руках
Полгода назад на внутреннем пентесте я перехватил TCP-сессию между сервером мониторинга и управляющей консолью. RST-инъекция сработала с первого пакета — от обнаружения открытого порта до разрыва чужого соединения прошло 12 минут. Коллега-джуниор, наблюдавший в Wireshark, не мог понять, что происходит. Он знал, что TCP — «надёжный протокол». Но не представлял, как именно эта надёжность становится уязвимостью.
🔍 Суть проблемы — в механике трёхстороннего рукопожатия. Клиент отправляет SYN с начальным sequence number, сервер отвечает SYN-ACK со своим, клиент подтверждает ACK. Три пакета — соединение установлено. Просто? Да. Но дьявол в деталях:
• Сервер после получения SYN выделяет ресурсы на полуоткрытое соединение ещё до завершения handshake. Запись в SYN-очереди висит ~31 секунду, ожидая финального ACK. Отправь тысячи SYN без продолжения — и очередь переполнится. Это классический SYN flood.
• В устаревших TCP-стеках начальные sequence numbers генерировались линейно. Атакующий предсказывал ISN удалённого хоста и инжектировал пакеты в чужую сессию вслепую — blind TCP injection. Современные ОС вычисляют ISN через криптографический хеш (RFC 6528), но legacy-системы в промышленных сетях и SCADA — до сих пор уязвимы.
⚡ А теперь про разведку. SYN-скан в Nmap (
• SYN-ACK → порт открыт, сервис слушает
• RST → порт закрыт
• Тишина → файрвол дропает пакет
Разница между SYN-сканом и обычным connect-сканом (
🛡 Каждый уровень TCP/IP-стека — отдельная поверхность атаки. На L2 — ARP-спуфинг и MAC-flooding. На L3 — IP-спуфинг и фрагментация. На L4 — манипуляции флагами, SYN flood, session hijacking. На L7 — SQL-инъекции и перехват сессий. Один пентестер за час может работать на трёх уровнях — и каждый раз правила игры меняются.
TCP-атаки — не финальная цель. Это разведка и плацдарм для lateral movement и privilege escalation. Без понимания транспортного уровня весь пентест строится на догадках.
📖 В полной статье — разбор всех TCP-флагов, практика с Scapy и Wireshark, реальные примеры RST-инъекций и защита от них. Читайте на Codeby.
https://codeby.net/threads/tcp-ip-stek-protokolov-dlya-khakera-flagi-rukopozhatiye-i-real-nyye-ataki.93696/
Полгода назад на внутреннем пентесте я перехватил TCP-сессию между сервером мониторинга и управляющей консолью. RST-инъекция сработала с первого пакета — от обнаружения открытого порта до разрыва чужого соединения прошло 12 минут. Коллега-джуниор, наблюдавший в Wireshark, не мог понять, что происходит. Он знал, что TCP — «надёжный протокол». Но не представлял, как именно эта надёжность становится уязвимостью.
🔍 Суть проблемы — в механике трёхстороннего рукопожатия. Клиент отправляет SYN с начальным sequence number, сервер отвечает SYN-ACK со своим, клиент подтверждает ACK. Три пакета — соединение установлено. Просто? Да. Но дьявол в деталях:
• Сервер после получения SYN выделяет ресурсы на полуоткрытое соединение ещё до завершения handshake. Запись в SYN-очереди висит ~31 секунду, ожидая финального ACK. Отправь тысячи SYN без продолжения — и очередь переполнится. Это классический SYN flood.
• В устаревших TCP-стеках начальные sequence numbers генерировались линейно. Атакующий предсказывал ISN удалённого хоста и инжектировал пакеты в чужую сессию вслепую — blind TCP injection. Современные ОС вычисляют ISN через криптографический хеш (RFC 6528), но legacy-системы в промышленных сетях и SCADA — до сих пор уязвимы.
⚡ А теперь про разведку. SYN-скан в Nmap (
nmap -sS) — первое, что запускаешь на новом проекте. Отправляется SYN, анализируется ответ, тут же шлётся RST — рукопожатие не завершается. Три варианта ответа:• SYN-ACK → порт открыт, сервис слушает
• RST → порт закрыт
• Тишина → файрвол дропает пакет
Разница между SYN-сканом и обычным connect-сканом (
-sT) — как между подглядыванием в замочную скважину и стуком в дверь. Первый не оставляет записей в логах сервиса, второй — оставляет.🛡 Каждый уровень TCP/IP-стека — отдельная поверхность атаки. На L2 — ARP-спуфинг и MAC-flooding. На L3 — IP-спуфинг и фрагментация. На L4 — манипуляции флагами, SYN flood, session hijacking. На L7 — SQL-инъекции и перехват сессий. Один пентестер за час может работать на трёх уровнях — и каждый раз правила игры меняются.
TCP-атаки — не финальная цель. Это разведка и плацдарм для lateral movement и privilege escalation. Без понимания транспортного уровня весь пентест строится на догадках.
📖 В полной статье — разбор всех TCP-флагов, практика с Scapy и Wireshark, реальные примеры RST-инъекций и защита от них. Читайте на Codeby.
https://codeby.net/threads/tcp-ip-stek-protokolov-dlya-khakera-flagi-rukopozhatiye-i-real-nyye-ataki.93696/
❤7👍6🔥5
Аспирант Университета Южной Калифорнии Фред Коэн публично продемонстрировал самовоспроизводящийся код, который самостоятельно распространялся по системе. Это был первый в истории компьютерный вирус.
«Это похоже на биологический вирус», — заметил наставник Коэна, Лен Адельман. Название закрепилось мгновенно.
Идея родилась 3 ноября 1983 года — на еженедельном семинаре по компьютерной безопасности. Коэну потребовалось 8 часов работы на VAX 11/750 под управлением Unix, чтобы создать программу-прототип.
Принцип был элегантен:
Результаты пяти экспериментов оказались шокирующими даже для самого Коэна:
«После объявления результатов администраторы VAX 11/750 запретили любые дальнейшие эксперименты по компьютерной безопасности на своей системе», — писал Коэн
Все файлы были очищены, код удалён, ущерба не нанесено. Но предупреждение прозвучало.
После демонстрации к Коэну подошёл представитель АНБ США:
«Если бы мы знали о содержании вашего доклада, вам не позволили бы его проводить»
Коэн ответил: «Именно поэтому я никому не сказал». С этого момента государство рассматривало его как потенциальную угрозу.
Власти инициировали наблюдение за Коэном:
Одновременно DARPA (подразделение Минобороны США) привлекла Коэна к взлому собственных защищённых компьютеров Пентагона. Парадокс преследования и доверия стал определяющим фактором его карьеры.
В научной работе того года Коэн сформулировал два фундаментальных тезиса:
«Теория определила вектор кибербезопасности на десятилетия», — констатируют эксперты.
Четыре года спустя теория Коэна получила практическое подтверждение. Студент Корнелла Роберт Моррис (сын сотрудника АНБ) запустил в сеть червя.
«Я просто хотел показать уязвимости», — утверждал он.
Результаты:
Моррис получил условный срок и штраф, став первым в США осуждённым за компьютерное преступление.
На основе анализа инцидента Коэн сформулировал ключевой тезис:
«Нельзя сделать патч для сознания»
Техническое совершенство системы не имеет значения, если её оператором является человек. Именно человеческий фактор остаётся основным вектором атак.
#ФредКоэн #Моррис #virus #DDoS
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8❤7🔥5
Plaso
☁️ Plaso — это Python-фреймворк с открытым исходным кодом для цифровой криминалистики, предназначенный для извлечения временных меток и событий из различных артефактов файловой системы, логов и образов дисков. Он формирует единый supertimeline, объединяя данные из десятков источников в хронологический порядок для анализа последовательности событий в расследованиях.
🕸 Plaso включает ключевые утилиты log2timeline (сбор и парсинг событий в файл .plaso), psort (фильтрация и экспорт в CSV/JSON/TLE), pinfo (статистика хранилища). Поддерживает 1000+ парсеров для Windows (Event Logs, MFT, Prefetch, Amcache, реестр, Jump Lists), Linux (syslog, bash_history, apt), macOS, Android/iOS, браузеров и облачных артефактов. Работает с сырыми образами (E01, dd), VSS-снимками, живыми системами
Основные свойства:
➡️ Извлечение и парсинг артефактов: Автоматически собирает временные метки из 1000+ источников — Event Logs (EVTX), MFT/$LogFile (NTFS), реестр Windows (SAM, SYSTEM), Prefetch/Amcache, браузеры (Chrome/Firefox history), syslog/bash_history (Linux), мобильные данные (Android/iOS), облачные артефакты.
➡️ Supertimeline: Агрегирует все события в единую хронологическую последовательность (по UTC/TZ), упрощая корреляцию (например, запуск malware + сетевое соединение).
➡️ Кроссплатформенность: Работает на Windows/Linux/macOS, обрабатывает NTFS/ext4/HFS+/APFS, сырые образы (E01/dd), VSS-снимки, живые системы без монтирования.
➡️ Фильтрация и анализ: Мощные запросы в psort (по дате, ключевым словам, sourcetype, MACB — Modified/Accessed/Changed/Birth); экспорт в CSV/JSON/HTML/TLE для Timesketch/ELK/Autopsy.
➡️ Распараллеливание и производительность: Многопоточный парсинг, поддержка кластеров; обрабатывает ТБ данных (рекомендуется 32+ GB RAM).
➡️ Расширяемость: Плагины для VirusTotal-хешей, геолокации IP; интеграция с Velociraptor/GRR; скриптинг на PlasoLang.
⬇️ Установка:
🪧 Создание таймлайна из образа диска:
#plaso #log2timeline #forensics #dfir
🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером
Основные свойства:
sudo apt install python3-pip plaso-tools
pip3 install plaso
log2timeline.py --storage-file /path/plaso.dump /path/plaso.vhdx
pinfo evidence.plaso
psort -o l2tcsv -w timeline.csv "sourcetype='WINEVTLOG_EVENTLOG' AND message:*malware*" evidence.plaso
#plaso #log2timeline #forensics #dfir
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5👍3🔥3
«Кто это сделал?»
— фраза, с которой в командах начинается половина расследований.
Ответ на такой вопрос даёт сервис аудитных логов.
Звучит просто:
На практике — Kafka, Iceberg, StarRocks, собственная библиотека для сервисов и отдельный компонент, который страхует от потери событий при сетевых авариях.
В MWS Cloud Platform объяснили архитектуру своего сервиса аудитных логов целиком — от генерации события в сервисе до запроса пользователя. Технический разбор со схемами и описанием развилок: что пробовали, что отмели и почему➡️ читайте в статье на Хабре.
— фраза, с которой в командах начинается половина расследований.
Ответ на такой вопрос даёт сервис аудитных логов.
Звучит просто:
фиксируй событие и показывай в интерфейсе.
На практике — Kafka, Iceberg, StarRocks, собственная библиотека для сервисов и отдельный компонент, который страхует от потери событий при сетевых авариях.
В MWS Cloud Platform объяснили архитектуру своего сервиса аудитных логов целиком — от генерации события в сервисе до запроса пользователя. Технический разбор со схемами и описанием развилок: что пробовали, что отмели и почему
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6👍5✍3🔥2🆒1
75% взломов начинаются с обычного логина и пароля — как устроен рынок вымогателей в 2026
19 мая 2026 года — за одни сутки пять разных группировок публикуют десять новых жертв. Финансовый холдинг с Кипра, инжиниринговая компания из Австрии, польский университет, норвежский отель, производства из Сингапура и Японии. Это не аномалия. Это стабильный фон года, и чтобы понять, как мы к нему пришли, нужно разобрать механику RaaS-экосистемы изнутри.
🔑 Главная цифра года: по данным CrowdStrike, 75% вторжений в 2024 году использовали действительные учётные данные. IBM X-Force фиксирует рост атак с
Вся эта машина работает на трёх ролях:
• Оператор — создаёт платформу, билдеры, C2-инфраструктуру, DLS. Забирает 20–30% выкупа.
• Аффилиат — выбирает жертву, проводит lateral movement, деплоит шифровальщик. Получает 70–80%. Именно его поведение видит ваш SOC.
• IAB (Initial Access Broker) — продаёт готовый доступ в корпоративные сети за $500–$5 000.
Два аффилиата одного оператора могут действовать совершенно по-разному. Это ломает привычную атрибуцию «по бренду» — и это ключевой вызов для threat intelligence в 2026 году.
⚡ Что запустило эту фрагментацию? Два коллапса 2025 года. Утекли внутренние чаты Black Basta — операционная структура, конфликты, никнеймы ключевых фигур. Развалился RansomHub. Аффилиаты рассеялись по конкурентам: Chaos, INC, Lynx, Cactus. Форум RAMP потерял активность, участники ушли в Telegram и приватные реферальные сети. Порог входа упал до уровня подписки в канале.
Среди бенефициаров этой миграции — The Gentlemen, группировка, которая попала в фокус TI-команд именно на волне перераспределения аффилиатов.
📊 Парадоксальный разворот: модель «только эксфильтрация» теряет эффективность — доля выплат за неё падает. Akira и Qilin возвращаются к шифрованию как основному рычагу давления. Оказалось, что зашифрованные файлы мотивируют платить лучше, чем угроза публикации. При этом медианный выкуп по Verizon DBIR — всего $46 000, а максимум требований доходил до $75 млн.
Для компаний с европейским присутствием публикация на DLS — ещё и compliance-удар: GDPR предусматривает до 4% мирового оборота, а российские поправки в КоАП (ст. 13.11) — до 3% годовой выручки за повторные утечки.
Полный разбор TTPs, detection-правил и анализ The Gentlemen — в статье на форуме.
https://codeby.net/threads/ransomware-as-a-service-2026-the-gentlemen-i-analiz-raas-ekosistemy-affiliaty-ttps-detection.93712/
19 мая 2026 года — за одни сутки пять разных группировок публикуют десять новых жертв. Финансовый холдинг с Кипра, инжиниринговая компания из Австрии, польский университет, норвежский отель, производства из Сингапура и Японии. Это не аномалия. Это стабильный фон года, и чтобы понять, как мы к нему пришли, нужно разобрать механику RaaS-экосистемы изнутри.
🔑 Главная цифра года: по данным CrowdStrike, 75% вторжений в 2024 году использовали действительные учётные данные. IBM X-Force фиксирует рост атак с
valid credentials на 71% год к году. Каждый день в даркнете появляется более 6 000 свежих пар логин-пароль от инфостилеров. Для SOC это значит одно: initial access выглядит как легитимный вход. Никакого эксплойта, никакого подозрительного бинарника — просто сотрудник «сам» зашёл в VPN в 3 часа ночи воскресенья.Вся эта машина работает на трёх ролях:
• Оператор — создаёт платформу, билдеры, C2-инфраструктуру, DLS. Забирает 20–30% выкупа.
• Аффилиат — выбирает жертву, проводит lateral movement, деплоит шифровальщик. Получает 70–80%. Именно его поведение видит ваш SOC.
• IAB (Initial Access Broker) — продаёт готовый доступ в корпоративные сети за $500–$5 000.
Два аффилиата одного оператора могут действовать совершенно по-разному. Это ломает привычную атрибуцию «по бренду» — и это ключевой вызов для threat intelligence в 2026 году.
⚡ Что запустило эту фрагментацию? Два коллапса 2025 года. Утекли внутренние чаты Black Basta — операционная структура, конфликты, никнеймы ключевых фигур. Развалился RansomHub. Аффилиаты рассеялись по конкурентам: Chaos, INC, Lynx, Cactus. Форум RAMP потерял активность, участники ушли в Telegram и приватные реферальные сети. Порог входа упал до уровня подписки в канале.
Среди бенефициаров этой миграции — The Gentlemen, группировка, которая попала в фокус TI-команд именно на волне перераспределения аффилиатов.
📊 Парадоксальный разворот: модель «только эксфильтрация» теряет эффективность — доля выплат за неё падает. Akira и Qilin возвращаются к шифрованию как основному рычагу давления. Оказалось, что зашифрованные файлы мотивируют платить лучше, чем угроза публикации. При этом медианный выкуп по Verizon DBIR — всего $46 000, а максимум требований доходил до $75 млн.
Для компаний с европейским присутствием публикация на DLS — ещё и compliance-удар: GDPR предусматривает до 4% мирового оборота, а российские поправки в КоАП (ст. 13.11) — до 3% годовой выручки за повторные утечки.
Полный разбор TTPs, detection-правил и анализ The Gentlemen — в статье на форуме.
https://codeby.net/threads/ransomware-as-a-service-2026-the-gentlemen-i-analiz-raas-ekosistemy-affiliaty-ttps-detection.93712/
❤5👍4🔥3