This media is not supported in your browser
VIEW IN TELEGRAM
Энтузиаст запустил культовую игру Doom на цифровом тесте на беременность. Он разобрал устройство и подключил его к внешнему оборудованию, которое обрабатывает игру, маленький экран теста просто отображает изображение.
Эксперимент быстро стал вирусным и пополнил длинный список устройств, на которых умельцы запускают Doom.
Hacker's TOYS
Эксперимент быстро стал вирусным и пополнил длинный список устройств, на которых умельцы запускают Doom.
Hacker's TOYS
😁21🔥3👎1🥱1
В британском реестре компаний Companies House обнаружили серьёзную уязвимость, которая пять месяцев позволяла любому авторизованному пользователю получать доступ к конфиденциальным данным чужих компаний. Под угрозой оказались записи до пяти миллионов британских бизнесов, злоумышленники могли видеть домашние адреса директоров, даты рождения и электронную почту.
Проблема оказалась почти банальной, после обновления в октябре 2025 года система WebFiling проверяла только сам факт входа в систему, но не права доступа к конкретным компаниям. Эксплуатация была примитивной, достаточно было начать подачу документов за другую фирму, ввести её регистрационный номер, получить запрос двухфакторной аутентификации и просто несколько раз нажать кнопку «назад» в браузере. После этого система открывала панель управления чужой компании.
Хуже того, можно было не только смотреть, но и менять данные. Тестовая попытка изменить юридический адрес сработала, а подтверждение пришло на почту постороннего человека, а не реального владельца. Как отметил основатель Tax Policy Associates Дэн Нейдл, этих данных достаточно для серьёзного мошенничества, злоумышленники могли выдавать себя за компанию и открывать банковские счета от её имени.
Сервис закрыли 13 марта и вернули в строй только через 67 часов после устранения проблемы. Companies House, которая пять месяцев внедряла новые полномочия по борьбе с корпоративным мошенничеством, теперь предстоит уведомить миллионы пострадавших бизнесов.
Ошибки контроля доступа занимают первое место в рейтинге OWASP Top 10 с 2021 года, и этот инцидент наглядно показывает почему.
Hacker's TOYS
Проблема оказалась почти банальной, после обновления в октябре 2025 года система WebFiling проверяла только сам факт входа в систему, но не права доступа к конкретным компаниям. Эксплуатация была примитивной, достаточно было начать подачу документов за другую фирму, ввести её регистрационный номер, получить запрос двухфакторной аутентификации и просто несколько раз нажать кнопку «назад» в браузере. После этого система открывала панель управления чужой компании.
Хуже того, можно было не только смотреть, но и менять данные. Тестовая попытка изменить юридический адрес сработала, а подтверждение пришло на почту постороннего человека, а не реального владельца. Как отметил основатель Tax Policy Associates Дэн Нейдл, этих данных достаточно для серьёзного мошенничества, злоумышленники могли выдавать себя за компанию и открывать банковские счета от её имени.
Сервис закрыли 13 марта и вернули в строй только через 67 часов после устранения проблемы. Companies House, которая пять месяцев внедряла новые полномочия по борьбе с корпоративным мошенничеством, теперь предстоит уведомить миллионы пострадавших бизнесов.
Ошибки контроля доступа занимают первое место в рейтинге OWASP Top 10 с 2021 года, и этот инцидент наглядно показывает почему.
Hacker's TOYS
🔥18❤3😁2👾1
С 1 сентября в России меняются правила регистрации доменов в национальных зонах. Анонимно зарегистрировать или продлить домен .ru, .рф или .su больше не получится, теперь это возможно только после подтверждения личности через «Госуслуги». Закон был принят Госдумой ещё в декабре 2025 года.
Главное изменение, обязательная идентификация через ЕСИА для всех владельцев доменов. Регистраторы обязаны проверять личность каждого администратора доменного имени, и без этой проверки запись в реестр просто не внесут. Это касается как физических, так и юридических лиц.
Изменения затронут и сам рынок регистраторов. Правительство создаст специальный перечень аккредитованных компаний, и только они смогут работать с национальными доменами. Эксперты предполагают, что это может привести к укрупнению рынка, небольшие регистраторы рискуют не пройти аккредитацию.
Интересный момент для тех, у кого домены уже есть: предусмотрен переходный период. Владельцам старых доменов тоже нужно будет подтвердить личность через «Госуслуги», хотя конкретные сроки пока не установлены.
Закон разрабатывался больше года и направлен против мошенников, которые создавали фишинговые сайты-однодневки на поддельные документы. Правда, юристы отмечают важный нюанс: меняется сам правовой режим доменов. Раньше для изъятия домена обычно требовалось решение суда, теперь же отсутствие подтверждения личности может стать основанием для удаления записи из реестра без суда.
Владельцам доменов стоит заранее проверить наличие подтверждённой учётки на «Госуслугах» и уточнить у своего регистратора его планы по аккредитации. Остаётся открытым вопрос: переместятся ли мошенники просто в зарубежные зоны вроде .com или .net?
Hacker's TOYS
Главное изменение, обязательная идентификация через ЕСИА для всех владельцев доменов. Регистраторы обязаны проверять личность каждого администратора доменного имени, и без этой проверки запись в реестр просто не внесут. Это касается как физических, так и юридических лиц.
Изменения затронут и сам рынок регистраторов. Правительство создаст специальный перечень аккредитованных компаний, и только они смогут работать с национальными доменами. Эксперты предполагают, что это может привести к укрупнению рынка, небольшие регистраторы рискуют не пройти аккредитацию.
Интересный момент для тех, у кого домены уже есть: предусмотрен переходный период. Владельцам старых доменов тоже нужно будет подтвердить личность через «Госуслуги», хотя конкретные сроки пока не установлены.
Закон разрабатывался больше года и направлен против мошенников, которые создавали фишинговые сайты-однодневки на поддельные документы. Правда, юристы отмечают важный нюанс: меняется сам правовой режим доменов. Раньше для изъятия домена обычно требовалось решение суда, теперь же отсутствие подтверждения личности может стать основанием для удаления записи из реестра без суда.
Владельцам доменов стоит заранее проверить наличие подтверждённой учётки на «Госуслугах» и уточнить у своего регистратора его планы по аккредитации. Остаётся открытым вопрос: переместятся ли мошенники просто в зарубежные зоны вроде .com или .net?
Hacker's TOYS
👍15🤯7😁5👎1🔥1
Вчера исследователи из Google, Lookout и iVerify раскрыли DarkSword, набор из шести уязвимостей iOS, три из которых были 0-day. Эксплойт работает через одно посещение вредоносной веб-страницы в Safari и даёт полный контроль над iPhone. Затронуты версии iOS 18.4–18.7, жертвы обнаружены в Саудовской Аравии, Турции, Малайзии и на Украине.
Три независимые группы использовали DarkSword одновременно. UNC6748 атаковал через фишинговый сайт под Snapchat в Саудовской Аравии, турецкий производитель PARS Defense действовал в Турции и Малайзии, а группа UNC6353 заражала украинские сайты. В коде последних обнаружили комментарии на русском языке.
Атака начинается с уязвимостей в JavaScriptCore, пробивает песочницу Safari через графический слой ANGLE, затем через системную службу mediaplaybackd (системная службакоторая отвечает за воспроизведение медиаконтента) получает доступ к ядру iOS. Весь эксплойт выполняется на чистом JavaScript без записи файлов на устройство.
Каждая группа устанавливала свой вредоносный софт. GHOSTKNIFE собирал сообщения и записи с микрофона, GHOSTSABER поддерживал более 16 команд включая SQL-запросы к любым базам на устройстве, а GHOSTBLADE работал по принципу «ударил и ушёл», за минуты выгружая всё, от iMessage до кошельков криптовалют, после чего удалял следы.
Интересная деталь, аналитики нашли признаки использования больших языковых моделей при написании кода. А образец GHOSTBLADE содержал полные записи отладки и ссылку на нереализованную функцию startSandworm(), возможно, кодовое название другого инструмента.
Hacker's TOYS
Три независимые группы использовали DarkSword одновременно. UNC6748 атаковал через фишинговый сайт под Snapchat в Саудовской Аравии, турецкий производитель PARS Defense действовал в Турции и Малайзии, а группа UNC6353 заражала украинские сайты. В коде последних обнаружили комментарии на русском языке.
Атака начинается с уязвимостей в JavaScriptCore, пробивает песочницу Safari через графический слой ANGLE, затем через системную службу mediaplaybackd (системная службакоторая отвечает за воспроизведение медиаконтента) получает доступ к ядру iOS. Весь эксплойт выполняется на чистом JavaScript без записи файлов на устройство.
Каждая группа устанавливала свой вредоносный софт. GHOSTKNIFE собирал сообщения и записи с микрофона, GHOSTSABER поддерживал более 16 команд включая SQL-запросы к любым базам на устройстве, а GHOSTBLADE работал по принципу «ударил и ушёл», за минуты выгружая всё, от iMessage до кошельков криптовалют, после чего удалял следы.
Интересная деталь, аналитики нашли признаки использования больших языковых моделей при написании кода. А образец GHOSTBLADE содержал полные записи отладки и ссылку на нереализованную функцию startSandworm(), возможно, кодовое название другого инструмента.
Hacker's TOYS
🔥14❤3
Немного истории. Это Готтфрид Свартхольм, сооснователь The Pirate Bay и один из тех людей, кто по-настоящему верил, что информация должна быть свободной. Он стоял у истоков создания крупнейшего торрент-сайта в мире, который в какой-то момент стал не просто платформой с миллионами пользователей, а настоящим символом цифрового сопротивления.
Пока крупные корпорации и власти пытались уничтожить проект, The Pirate Bay только сильнее превращался в легенду. Команда сайта открыто высмеивала могущественные компании, шутила о переносе серверов в Северную Корею или вообще в космос, будто показывая, что не собирается играть по чужим правилам.
Серверы изымали, сайт отключали, домены блокировали, но он снова и снова возвращался. Судебные иски воспринимались почти как бесплатная реклама, а после рейдов трафик нередко становился даже выше, чем раньше. Вместо того чтобы отступать, создатели The Pirate Bay годами искали лазейки, запутывали суды и ломали привычную систему борьбы с пиратством.
В какой-то момент они даже пытались купить Силенд, крошечное микрогосударство, чтобы уйти от законов об авторском праве. Против проекта выступали правительства сразу нескольких стран, сайт стал одним из самых блокируемых в истории интернета, но окончательно победить его так и не смогли. Более того, The Pirate Bay вдохновил целую волну похожих платформ, а преданные пользователи клонировали сайт, чтобы он продолжал жить даже под постоянным давлением.
Это была настоящая игра в кошки-мышки со всем интернетом. И удивительнее всего то, что мышь раз за разом оказывалась быстрее.
Hacker's TOYS
Пока крупные корпорации и власти пытались уничтожить проект, The Pirate Bay только сильнее превращался в легенду. Команда сайта открыто высмеивала могущественные компании, шутила о переносе серверов в Северную Корею или вообще в космос, будто показывая, что не собирается играть по чужим правилам.
Серверы изымали, сайт отключали, домены блокировали, но он снова и снова возвращался. Судебные иски воспринимались почти как бесплатная реклама, а после рейдов трафик нередко становился даже выше, чем раньше. Вместо того чтобы отступать, создатели The Pirate Bay годами искали лазейки, запутывали суды и ломали привычную систему борьбы с пиратством.
В какой-то момент они даже пытались купить Силенд, крошечное микрогосударство, чтобы уйти от законов об авторском праве. Против проекта выступали правительства сразу нескольких стран, сайт стал одним из самых блокируемых в истории интернета, но окончательно победить его так и не смогли. Более того, The Pirate Bay вдохновил целую волну похожих платформ, а преданные пользователи клонировали сайт, чтобы он продолжал жить даже под постоянным давлением.
Это была настоящая игра в кошки-мышки со всем интернетом. И удивительнее всего то, что мышь раз за разом оказывалась быстрее.
Hacker's TOYS
❤23🔥12👍8
Злоумышленники перестали применять технические взломы, теперь они просто убеждают жертву совершить нужное действие. Push Security опубликовала отчёт о шести методах атак через браузер, которые обходят даже двухфакторную защиту. По данным Microsoft, 47% атак в последний год использовали ClickFix, когда пользователя обманом заставляют «исправить ошибку», скопировав и выполнив вредоносную команду. CrowdStrike зафиксировал рост поддельных CAPTCHA-приманок на 563% за 2025 год. Но самая опасная эволюция этого метода, ConsentFix.
ConsentFix уже применяют в реальных атаках. Жертва попадает на взломанный, но авторитетный сайт через Google Search, вводит корпоративный email в поддельную форму Cloudflare и авторизуется на настоящей странице Microsoft. Затем копирует полученный localhost-URL с кодом OAuth обратно в фишинговую страницу и всё, доступ к аккаунту получен без пароля и без MFA.
Атака эксплуатирует встроенное приложение Microsoft, которому доверяют все организации в Entra ID и которое невозможно ограничить стандартными средствами. Директор по продукту Push Security Жак Лоув объясняет, почему это работает:
О масштабе проблемы свидетельствуют два инцидента 2025 года. Злоумышленники похитили более 1,5 млрд записей из Salesforce у 1000+ организаций через приложения с OAuth-авторизацией. Marks & Spencer потеряла $400 млн после атаки, которая началась с обмана службы поддержки, а капитализация компании просела на $1,3 млрд.
Злоупотребление доверенными учётными записями составляет более трети всех инцидентов в облачных сервисах. MFA не защищает от таких атак, аппаратные ключи безопасности тоже не помогают, вход вообще не требуется. Единственная точка защиты находится в самом браузере, в момент взаимодействия с фишинговой страницей.
Hacker's TOYS
ConsentFix уже применяют в реальных атаках. Жертва попадает на взломанный, но авторитетный сайт через Google Search, вводит корпоративный email в поддельную форму Cloudflare и авторизуется на настоящей странице Microsoft. Затем копирует полученный localhost-URL с кодом OAuth обратно в фишинговую страницу и всё, доступ к аккаунту получен без пароля и без MFA.
Атака эксплуатирует встроенное приложение Microsoft, которому доверяют все организации в Entra ID и которое невозможно ограничить стандартными средствами. Директор по продукту Push Security Жак Лоув объясняет, почему это работает:
Пользователям не нужно отдавать пароль или код MFA. Они просто вставляют URL. И пользователей не учат остерегаться именно этого.
О масштабе проблемы свидетельствуют два инцидента 2025 года. Злоумышленники похитили более 1,5 млрд записей из Salesforce у 1000+ организаций через приложения с OAuth-авторизацией. Marks & Spencer потеряла $400 млн после атаки, которая началась с обмана службы поддержки, а капитализация компании просела на $1,3 млрд.
Злоупотребление доверенными учётными записями составляет более трети всех инцидентов в облачных сервисах. MFA не защищает от таких атак, аппаратные ключи безопасности тоже не помогают, вход вообще не требуется. Единственная точка защиты находится в самом браузере, в момент взаимодействия с фишинговой страницей.
Hacker's TOYS
🔥13👍2
27-летний аналитик данных Кэмерон Карри получил обвинительный приговор за вымогательство у компании Brightly Software, подразделения Siemens. Вердикт вынесен 18 марта 2026 года по шести пунктам, каждый из которых может дать до двух лет тюрьмы.
История началась в конце 2023 года, когда стало понятно, что шестимесячный контракт Карри не продлят. С августа по декабрь он методично копировал зарплатные ведомости и кадровые документы, к которым имел легальный доступ по работе. Буквально на следующий день после окончания контракта 10 декабря начались письма с требованиями.
За полтора месяца Карри под псевдонимом Loot отправил более 60 писем руководству и сотрудникам компании, требуя $2,5 млн в криптовалюте. Интересно, что он подавал вымогательство как благородную борьбу за прозрачность зарплат и справедливую оплату труда, обещая сотрудникам помочь с жалобами в Комиссию по равным возможностям. Вторым рычагом давления стали угрозы сообщить в SEC о нераскрытой утечке данных, используя новые правила об обязательном раскрытии инцидентов.
Brightly выплатила требуемую сумму примерно через месяц после обращения в ФБР 14 декабря 2023 года. Но ФБР вычислило Карри довольно быстро благодаря его ошибкам, он открыл новый счёт на Coinbase на своё имя и привязал к нему карты родственников. Когда 24 января 2024 года агенты пришли с ордером, Карри забаррикадировался в квартире и начал угрожать публикацией данных.
Карри не взламывал системы и не использовал вредоносное ПО. Он просто превратил легальный доступ к данным и регуляторные обязательства компании в оружие против неё. Дата вынесения приговора пока не назначена.
Hacker's TOYS
История началась в конце 2023 года, когда стало понятно, что шестимесячный контракт Карри не продлят. С августа по декабрь он методично копировал зарплатные ведомости и кадровые документы, к которым имел легальный доступ по работе. Буквально на следующий день после окончания контракта 10 декабря начались письма с требованиями.
За полтора месяца Карри под псевдонимом Loot отправил более 60 писем руководству и сотрудникам компании, требуя $2,5 млн в криптовалюте. Интересно, что он подавал вымогательство как благородную борьбу за прозрачность зарплат и справедливую оплату труда, обещая сотрудникам помочь с жалобами в Комиссию по равным возможностям. Вторым рычагом давления стали угрозы сообщить в SEC о нераскрытой утечке данных, используя новые правила об обязательном раскрытии инцидентов.
Brightly выплатила требуемую сумму примерно через месяц после обращения в ФБР 14 декабря 2023 года. Но ФБР вычислило Карри довольно быстро благодаря его ошибкам, он открыл новый счёт на Coinbase на своё имя и привязал к нему карты родственников. Когда 24 января 2024 года агенты пришли с ордером, Карри забаррикадировался в квартире и начал угрожать публикацией данных.
Карри не взламывал системы и не использовал вредоносное ПО. Он просто превратил легальный доступ к данным и регуляторные обязательства компании в оружие против неё. Дата вынесения приговора пока не назначена.
Hacker's TOYS
👍8🔥5
Жена сняла на камеру сид-фразу мужа и вывела 2 323 биткоина. Высокий суд Англии и Уэльса разрешил продолжить разбирательство по делу о краже 2 323 биткоинов стоимостью $172 млн. Судья Коттер 10 марта оценил шансы истца на победу как «крайне высокие». История выглядит как сценарий триллера. Пин Фай Юэн хранил все монеты на одном аппаратном кошельке Trezor, защищённом только PIN-кодом и сид-фразой из 24 слов. Его жена Фан Юнг Ли установила скрытые камеры в их доме в Брайтоне и записала момент, когда муж вводил фразу восстановления. 2 августа 2023 года все $60 млн (на тот момент) ушли на 71 адрес.
Интересно, что дочь предупредила Юэна ещё в июле 2023 года. После этого он сам установил аудиозаписывающее оборудование и записал, как Ли говорит «Биткоин перешёл ко мне». При обыске у неё нашли десять аппаратных кошельков, пять сид-фраз и дорогие часы. Обнаружив пропажу, Юэн напал на Ли и в сентябре 2024 года признал вину по обвинению в нанесении телесных повреждений.
С юридической точки зрения дело необычное. Суд отклонил классический незаконное обращение с чужим имуществом, потому что он применяется только к материальным вещам, которые можно держать в руках. Биткоин не подходит. Зато разрешил продолжить по четырём другим основаниям: неосновательное обогащение, нарушение конфиденциальности, реституция и конструктивный траст. Все они позволяют вернуть монеты или их денежный эквивалент.
Основное слушание назначено на июнь 2026 года. А команда Ли попыталась взыскать £678 715 судебных расходов, но судья назвал их расчёты «поразительными» и «абсурдными». Вывод простой: аппаратный кошелёк защищает от удалённых атак, но не от человека, который живёт в том же доме. Для $172 млн хватило камеры и 24 фраз.
Hacker's TOYS
Интересно, что дочь предупредила Юэна ещё в июле 2023 года. После этого он сам установил аудиозаписывающее оборудование и записал, как Ли говорит «Биткоин перешёл ко мне». При обыске у неё нашли десять аппаратных кошельков, пять сид-фраз и дорогие часы. Обнаружив пропажу, Юэн напал на Ли и в сентябре 2024 года признал вину по обвинению в нанесении телесных повреждений.
С юридической точки зрения дело необычное. Суд отклонил классический незаконное обращение с чужим имуществом, потому что он применяется только к материальным вещам, которые можно держать в руках. Биткоин не подходит. Зато разрешил продолжить по четырём другим основаниям: неосновательное обогащение, нарушение конфиденциальности, реституция и конструктивный траст. Все они позволяют вернуть монеты или их денежный эквивалент.
Основное слушание назначено на июнь 2026 года. А команда Ли попыталась взыскать £678 715 судебных расходов, но судья назвал их расчёты «поразительными» и «абсурдными». Вывод простой: аппаратный кошелёк защищает от удалённых атак, но не от человека, который живёт в том же доме. Для $172 млн хватило камеры и 24 фраз.
Hacker's TOYS
🔥12😁6❤2🤔1
Forwarded from CyberYozh
Мы рады представить вам курс «Анонимность и безопасность 3.0».
Он научит вас создавать анонимную цифровую личность: выглядеть так, как вы хотите, и говорить так, как вы хотите. Станьте блогером, моделью или инфлюенсером: создайте публичный образ, не раскрывая своё настоящее лицо. Сейчас удивительное время, и глупо этим не воспользоваться.
Отдельный модуль посвящён сокрытию данных на устройствах, например защите крипто кошельков (за ней охотятся все от таможни до хакеров и вымогателей). Вы разберёте, как работает duress-пароль: если вынуждают открыть устройство, система выдаст «чистую» приманку, сохранив ваши средства и данные в тайне.
Оплатить можно анонимно и даже взять курс в рассрочку от $100 в месяц. Просто напишите нам @cyacademy_support.
Первым записавшимся — хорошие скидки!
Сайт
https://academy.cyberyozh.com/anonimnost-i-bezopasnost-3-0
Он научит вас создавать анонимную цифровую личность: выглядеть так, как вы хотите, и говорить так, как вы хотите. Станьте блогером, моделью или инфлюенсером: создайте публичный образ, не раскрывая своё настоящее лицо. Сейчас удивительное время, и глупо этим не воспользоваться.
И это только вишенка на торте: курс разбирает анонимность от А до Я, включая цифровые отпечатки, методы деанонимизации 2026 года, анонимные операционные системы, инструменты атаки на инструменты хакера и многое другое.
Отдельный модуль посвящён сокрытию данных на устройствах, например защите крипто кошельков (за ней охотятся все от таможни до хакеров и вымогателей). Вы разберёте, как работает duress-пароль: если вынуждают открыть устройство, система выдаст «чистую» приманку, сохранив ваши средства и данные в тайне.
Оплатить можно анонимно и даже взять курс в рассрочку от $100 в месяц. Просто напишите нам @cyacademy_support.
Первым записавшимся — хорошие скидки!
Сайт
https://academy.cyberyozh.com/anonimnost-i-bezopasnost-3-0
🔥11❤3
Сотрудник подрядчика в Индии открыл фишинговое письмо, и злоумышленники получили доступ к 100 ГБ данных пользователей Crunchyroll, аниме-стримингового сервиса Sony. Точкой входа стала компания Telus Digital, которая обслуживает колл-центр и техническую поддержку Crunchyroll. Вредоносная программа для кражи данных перехватила логин и пароль от Okta, через который злоумышленник пробрался в инфраструктуру Crunchyroll, систему обработки обращений и базы клиентской аналитики. Среди похищенного: IP-адреса, email, реквизиты банковских карт (пока неясно, полные номера или только последние четыре цифры) и данные о поведении пользователей.
Вторжение обнаружили и перекрыли примерно через сутки, но за 24 часа успели выгрузить 100 ГБ, явный признак заранее подготовленной автоматизации. На 23 марта Crunchyroll так и не признала инцидент и не уведомила 15 миллионов подписчиков, хотя взлом произошёл 12 марта.
Но история глубже. Корни взлома Telus уходят к компрометации Salesloft Drift в 2025 году, когда группировка ShinyHunters украла OAuth-токены и получила доступ к данным Salesforce 760 компаний. Оттуда они извлекли учётные данные Google Cloud Platform для Telus и несколько месяцев незаметно перемещались по системам, заявляя о краже почти петабайта данных. Telus отказалась платить выкуп в $65 млн, который требовала ShinyHunters. Взлом затронул 28 компаний-клиентов Telus, но имена остальных пока не раскрыты. Один скомпрометированный подрядчик, десятки пострадавших заказчиков.
Hacker's TOYS
Вторжение обнаружили и перекрыли примерно через сутки, но за 24 часа успели выгрузить 100 ГБ, явный признак заранее подготовленной автоматизации. На 23 марта Crunchyroll так и не признала инцидент и не уведомила 15 миллионов подписчиков, хотя взлом произошёл 12 марта.
Но история глубже. Корни взлома Telus уходят к компрометации Salesloft Drift в 2025 году, когда группировка ShinyHunters украла OAuth-токены и получила доступ к данным Salesforce 760 компаний. Оттуда они извлекли учётные данные Google Cloud Platform для Telus и несколько месяцев незаметно перемещались по системам, заявляя о краже почти петабайта данных. Telus отказалась платить выкуп в $65 млн, который требовала ShinyHunters. Взлом затронул 28 компаний-клиентов Telus, но имена остальных пока не раскрыты. Один скомпрометированный подрядчик, десятки пострадавших заказчиков.
Hacker's TOYS
🔥9👍1🤯1
Федеральный суд в Индиане сегодня приговорил 26-летнего россиянина Алексея Волкова к почти семи годам тюрьмы за то, что он выступал посредником для группировки Yanluowang. С июля 2021 по ноябрь 2022 Волков под ником chubaka.kor взламывал корпоративные сети, эксплуатируя уязвимости и используя украденные учётки, а затем продавал доступ членам группировки, иногда всего за тысячу долларов в биткойнах.
Семь американских компаний стали жертвами схемы: банки, телекомы, юридические конторы. Двое заплатили выкуп на полтора миллиона долларов, а лично Волков получил более 256 тысяч долларов,. Реальный ущерб превысил 9 миллионов.
ФБР вышло на Волкова через Bitcoin-транзакции, а криптобиржа подтвердила, что аккаунт был зарегистрирован на его имя. Арестовали его в Риме в январе 2024 года. В ноябре 2025 Волков признал вину и согласился выплатить компенсацию более 9 миллионов долларов.
В тот же день прокуроры предъявили обвинения 41-летнему Анджело Мартино из Флориды. История невероятная: Мартино работал переговорщиком в компании DigitalMint, которая помогает жертвам шифровальщиков, но одновременно был партнёром группировки BlackCat. Пять его клиентов наняли именно DigitalMint для переговоров, и Мартино вёл переговоры с обеих сторон одновременно, сливая конфиденциальную информацию вымогателям, чтобы увеличить выкуп. Шесть атак принесли более 75 миллионов долларов, два платежа превысили 25 миллионов каждый. Ему грозит до 20 лет.
Hacker's TOYS
Семь американских компаний стали жертвами схемы: банки, телекомы, юридические конторы. Двое заплатили выкуп на полтора миллиона долларов, а лично Волков получил более 256 тысяч долларов,. Реальный ущерб превысил 9 миллионов.
ФБР вышло на Волкова через Bitcoin-транзакции, а криптобиржа подтвердила, что аккаунт был зарегистрирован на его имя. Арестовали его в Риме в январе 2024 года. В ноябре 2025 Волков признал вину и согласился выплатить компенсацию более 9 миллионов долларов.
В тот же день прокуроры предъявили обвинения 41-летнему Анджело Мартино из Флориды. История невероятная: Мартино работал переговорщиком в компании DigitalMint, которая помогает жертвам шифровальщиков, но одновременно был партнёром группировки BlackCat. Пять его клиентов наняли именно DigitalMint для переговоров, и Мартино вёл переговоры с обеих сторон одновременно, сливая конфиденциальную информацию вымогателям, чтобы увеличить выкуп. Шесть атак принесли более 75 миллионов долларов, два платежа превысили 25 миллионов каждый. Ему грозит до 20 лет.
Hacker's TOYS
👍15🔥3❤2🤯2😴1
This media is not supported in your browser
VIEW IN TELEGRAM
МВД России задержало предполагаемого создателя LeakBase, одного из крупнейших хакерских форумов в мире. За ником Chucky, по данным KELA и TriTrace Investigations, стоит 33-летний житель Таганрога Артём Кучумов. LeakBase работал с 2021 года и специализировался на торговле украденными учётными записями, банковскими реквизитами и корпоративными документами. К декабрю 2025 года на форуме было 142 000 участников и 215 000 сообщений. Сотни миллионов учётных записей прошли через эту площадку.
Задержание произошло через три недели после совместной операции ФБР и Европола. 3 марта 2026 года правоохранители 14 стран одновременно провели около 100 обысков и задержаний, арестовав 13 человек. На следующий день ФБР изъяло всю инфраструктуру форума, включая полную базу с аккаунтами, приватными сообщениями и IP-логами.
Администратора вычислили через расследование по открытым источникам. Старые WebMoney ID указывали на Таганрог, а его прежний ник beakdaz был привязан к email на Rambler и тому же Telegram ID, что и администраторский аккаунт LeakBase. Примечательно, что LeakBase запрещал продажу данных российских организаций, типичный признак того, что администратор находился в России и избегал внимания местных властей.
Интересно, что Европол публично заявил о непричастности к задержанию: «Мы не сотрудничаем с российскими властями и не участвовали в задержании». Россия крайне редко задерживает киберпреступников после международных операций, последний раз это было в январе 2022 с группировкой REvil.
У ФБР есть IP-логи, приватные сообщения и история транзакций всех 142 000 пользователей форума. Личность любого участника без должной анонимизации может быть установлена.
Признавайтесь, кто сидел там?
Hacker's TOYS
Задержание произошло через три недели после совместной операции ФБР и Европола. 3 марта 2026 года правоохранители 14 стран одновременно провели около 100 обысков и задержаний, арестовав 13 человек. На следующий день ФБР изъяло всю инфраструктуру форума, включая полную базу с аккаунтами, приватными сообщениями и IP-логами.
Администратора вычислили через расследование по открытым источникам. Старые WebMoney ID указывали на Таганрог, а его прежний ник beakdaz был привязан к email на Rambler и тому же Telegram ID, что и администраторский аккаунт LeakBase. Примечательно, что LeakBase запрещал продажу данных российских организаций, типичный признак того, что администратор находился в России и избегал внимания местных властей.
Интересно, что Европол публично заявил о непричастности к задержанию: «Мы не сотрудничаем с российскими властями и не участвовали в задержании». Россия крайне редко задерживает киберпреступников после международных операций, последний раз это было в январе 2022 с группировкой REvil.
У ФБР есть IP-логи, приватные сообщения и история транзакций всех 142 000 пользователей форума. Личность любого участника без должной анонимизации может быть установлена.
Признавайтесь, кто сидел там?
Hacker's TOYS
🔥17🤯7❤3😁2👎1🤔1
27 марта исследователи Gen Digital описали новую программу-шпион Torg Grabber, нацеленную на кражу данных из браузеров, приложений и расширений, особенно криптовалютных кошельков. Вредонос атакует 850 расширений браузера, из которых 728 связаны с криптокошельками.
Torg Grabber использует технику ClickFix для заражения: жертву убеждают самостоятельно запустить вредоносную PowerShell-команду, скопировав её в буфер обмена и вставив в окно Win+R. Загрузка происходит через службу BITS (Background Intelligent Transfer Service), которая маскируется под обычную работу системы. В качестве приманок используются фейковые читы для игр и взломанное ПО.
За три месяца зафиксировано 334 уникальных образца, что указывает на активную разработку. Вредонос развивался в три фазы: от отправки данных через Telegram Bot API к зашифрованному TCP-протоколу, а затем к REST API поверх HTTPS с передачей через Cloudflare. Новая схема использует ChaCha20, HMAC-SHA256, регистрацию машины через /api/auth и порционную передачу данных.
Torg Grabber нацелен на 25 браузеров Chromium и 8 вариантов Firefox. Среди целей, 728 расширений криптокошельков (MetaMask, Phantom, Trust Wallet, Coinbase, Binance, Exodus, TronLink, Ronin, OKX, Keplr, Rabby, Sui, Solflare) и 103 расширения для паролей и двухфакторной аутентификации (LastPass, 1Password, Bitwarden, KeePass, NordPass, Dashlane, ProtonPass, Enpass, 2FAAuth, GAuth, TOTP Authenticator, Akamai MFA).
Дополнительно вредонос крадёт данные из Discord, Telegram, Steam, VPN-приложений, FTP-клиентов, email-клиентов, настольных криптокошельков, делает скриншоты, собирает файлы из Desktop и Documents, профилирует систему и регистрирует установленное ПО, включая антивирусы.
С 22 декабря 2025 года Torg Grabber умеет обходить App-Bound Encryption в Chrome, Brave, Edge, Vivaldi и Opera. Для этого используется отдельный DLL-компонент и обращение к Chrome COM Elevation Service, чтобы извлечь мастер-ключ шифрования и получить доступ к cookies. Вредонос также выполняет shellcode, получаемый с командного сервера в зашифрованном и сжатом виде.
В бинарниках зафиксировано более 40 идентификаторов операторов, что указывает на модель MaaS (malware-as-a-service): есть команда разработчиков и отдельные клиенты-операторы, использующие готовую панель и инфраструктуру.
Hacker's TOYS
Torg Grabber использует технику ClickFix для заражения: жертву убеждают самостоятельно запустить вредоносную PowerShell-команду, скопировав её в буфер обмена и вставив в окно Win+R. Загрузка происходит через службу BITS (Background Intelligent Transfer Service), которая маскируется под обычную работу системы. В качестве приманок используются фейковые читы для игр и взломанное ПО.
За три месяца зафиксировано 334 уникальных образца, что указывает на активную разработку. Вредонос развивался в три фазы: от отправки данных через Telegram Bot API к зашифрованному TCP-протоколу, а затем к REST API поверх HTTPS с передачей через Cloudflare. Новая схема использует ChaCha20, HMAC-SHA256, регистрацию машины через /api/auth и порционную передачу данных.
Torg Grabber нацелен на 25 браузеров Chromium и 8 вариантов Firefox. Среди целей, 728 расширений криптокошельков (MetaMask, Phantom, Trust Wallet, Coinbase, Binance, Exodus, TronLink, Ronin, OKX, Keplr, Rabby, Sui, Solflare) и 103 расширения для паролей и двухфакторной аутентификации (LastPass, 1Password, Bitwarden, KeePass, NordPass, Dashlane, ProtonPass, Enpass, 2FAAuth, GAuth, TOTP Authenticator, Akamai MFA).
Дополнительно вредонос крадёт данные из Discord, Telegram, Steam, VPN-приложений, FTP-клиентов, email-клиентов, настольных криптокошельков, делает скриншоты, собирает файлы из Desktop и Documents, профилирует систему и регистрирует установленное ПО, включая антивирусы.
С 22 декабря 2025 года Torg Grabber умеет обходить App-Bound Encryption в Chrome, Brave, Edge, Vivaldi и Opera. Для этого используется отдельный DLL-компонент и обращение к Chrome COM Elevation Service, чтобы извлечь мастер-ключ шифрования и получить доступ к cookies. Вредонос также выполняет shellcode, получаемый с командного сервера в зашифрованном и сжатом виде.
В бинарниках зафиксировано более 40 идентификаторов операторов, что указывает на модель MaaS (malware-as-a-service): есть команда разработчиков и отдельные клиенты-операторы, использующие готовую панель и инфраструктуру.
Hacker's TOYS
🔥9❤3👍1🌚1
22 марта 2026 года злоумышленник получил доступ к AWS KMS протокола Resolv и скомпрометировал привилегированный ключ подписи SERVICE_ROLE. Это позволило ему выпустить 80 миллионов необеспеченных стейблкоинов USR при наличии залога всего на $100–200 тысяч. За несколько минут атакующий вывел около $23 миллионов в ETH.
Уязвимость крылась не в коде смарт-контракта, а в его архитектуре. Функция completeSwap проверяла только минимальный объём выпуска токенов, но не максимальный. В системе отсутствовали проверки залога, оракулы цен и какие-либо лимиты. Ключ в AWS KMS подписывал транзакции через API, не экспортируясь за пределы облака.
Курс USR рухнул с $1 до $0,025 на Curve Finance за 17 минут. Злоумышленник конвертировал токены в wstUSR, затем обменял их на USDC, USDT и ETH через децентрализованные биржи. На его кошельке осталось около 11 400 ETH (примерно $24 миллиона) и около 20 миллионов wstUSR. Курс USR ненадолго восстановился до $0,85, после чего снова упал до $0,14.
Протокол Resolv прошёл 18 аудитов безопасности, однако ни один из них не включал проверку управления ключами в облаке и отсутствия лимитов на уровне блокчейна. Команда приостановила работу протокола и предложила злоумышленнику вернуть 90% похищенных средств, но предложение было проигнорировано. Точный способ компрометации AWS KMS до сих пор неизвестен.
Hacker's TOYS
Уязвимость крылась не в коде смарт-контракта, а в его архитектуре. Функция completeSwap проверяла только минимальный объём выпуска токенов, но не максимальный. В системе отсутствовали проверки залога, оракулы цен и какие-либо лимиты. Ключ в AWS KMS подписывал транзакции через API, не экспортируясь за пределы облака.
Курс USR рухнул с $1 до $0,025 на Curve Finance за 17 минут. Злоумышленник конвертировал токены в wstUSR, затем обменял их на USDC, USDT и ETH через децентрализованные биржи. На его кошельке осталось около 11 400 ETH (примерно $24 миллиона) и около 20 миллионов wstUSR. Курс USR ненадолго восстановился до $0,85, после чего снова упал до $0,14.
Протокол Resolv прошёл 18 аудитов безопасности, однако ни один из них не включал проверку управления ключами в облаке и отсутствия лимитов на уровне блокчейна. Команда приостановила работу протокола и предложила злоумышленнику вернуть 90% похищенных средств, но предложение было проигнорировано. Точный способ компрометации AWS KMS до сих пор неизвестен.
Hacker's TOYS
🤯12🔥6😁3🤔1
Связанная с Ираном группировка Handala 27 марта 2026 года опубликовала более трёхсот электронных писем и личные фотографии из Gmail директора ФБР Кэша Пателя. Атака стала прямым ответом на действия американских властей, которые восемью днями ранее изъяли четыре домена группировки, а Госдеп объявил награду в десять миллионов долларов за информацию о её участниках. ФБР подтвердило взлом, но заявило, что похищенные данные носят исторический характер и не содержат государственной информации.
Большая часть опубликованных писем датирована периодом с 2010 по 2012 год, самый свежий документ в архиве, квитанция на авиабилет 2022 года. Среди материалов оказались семейная переписка, квитанции на перелёты и бронирования поездок. На фотографиях Патель позирует с сигарой у ретроавтомобилей с кубинскими номерами. Метаданные файлов указывают, что взлом произошёл задолго до текущего конфликта, папки с письмами последний раз изменялись 21 мая 2025 года.
Особый интерес представляет деталь, связанная с операционной безопасностью. В 2014 году Патель, работавший в отделе национальной безопасности Минюста, переслал письмо со ссылкой со своего рабочего адреса, поставив в копию адреса в ФБР личную почту Gmail. Эта практика связывания служебных и личных аккаунтов, которая сейчас запрещена федеральными правилами, могла сделать аккаунт уязвимым на годы вперёд.
Handala назвала причиной атаки потопление иранского фрегата IRIS Dena американской подводной лодкой 4 марта, в результате которого погибли 87 моряков. Группировка восстановила работу на новых доменах уже через несколько часов после изъятия 19 марта и следующую неделю провела, рассылая угрозы американским и израильским чиновникам. Взлом личного аккаунта директора ФБР той же группировкой, против которой бюро изъяло домены и назначило награду, наносит удар по репутации вне зависимости от содержания утечки.
Hacker's TOYS
Большая часть опубликованных писем датирована периодом с 2010 по 2012 год, самый свежий документ в архиве, квитанция на авиабилет 2022 года. Среди материалов оказались семейная переписка, квитанции на перелёты и бронирования поездок. На фотографиях Патель позирует с сигарой у ретроавтомобилей с кубинскими номерами. Метаданные файлов указывают, что взлом произошёл задолго до текущего конфликта, папки с письмами последний раз изменялись 21 мая 2025 года.
Особый интерес представляет деталь, связанная с операционной безопасностью. В 2014 году Патель, работавший в отделе национальной безопасности Минюста, переслал письмо со ссылкой со своего рабочего адреса, поставив в копию адреса в ФБР личную почту Gmail. Эта практика связывания служебных и личных аккаунтов, которая сейчас запрещена федеральными правилами, могла сделать аккаунт уязвимым на годы вперёд.
Handala назвала причиной атаки потопление иранского фрегата IRIS Dena американской подводной лодкой 4 марта, в результате которого погибли 87 моряков. Группировка восстановила работу на новых доменах уже через несколько часов после изъятия 19 марта и следующую неделю провела, рассылая угрозы американским и израильским чиновникам. Взлом личного аккаунта директора ФБР той же группировкой, против которой бюро изъяло домены и назначило награду, наносит удар по репутации вне зависимости от содержания утечки.
Hacker's TOYS
🔥7❤1🤯1
Популярная JavaScript-библиотека axios стала жертвой масштабной атаки на цепочку поставок. Исследователи из StepSecurity обнаружили две вредоносные версии пакета в npm 1.14.1 и 0.30.4. Злоумышленники не трогали код самого axios, вместо этого добавив в зависимости специально созданный пакет plain-crypto-js версии 4.2.1.
Атака была продумана до мелочей. Хакеры получили доступ к учётным данным одного из ключевых разработчиков и обошли стандартный процесс публикации через GitHub Actions, выпустив пакеты вручную через npm CLI. Они даже подменили email издателя на адрес в ProtonMail. Вредоносная зависимость готовилась заранее: сначала появилась версия 4.2.0 для маскировки под легитимный пакет, затем вышла 4.2.1 с опасным postinstall-скриптом.
Атака срабатывала не во время работы приложения, а уже при установке через npm install. Скрипт автоматически устанавливал троян удалённого доступа, который работал на macOS, Windows и Linux. После запуска вредоносный код удалял следы своего присутствия и подменял package.json на чистую версию.
Ситуация была особенно опасной из-за популярности axios, более ста миллионов загрузок каждую неделю. Заражённые версии появились в npm ночью 31 марта 2026 года и были быстро удалены, но даже короткое время их доступности создало угрозу для CI-систем и компьютеров разработчиков, где зависимости устанавливаются автоматически.
Hacker's TOYS
Атака была продумана до мелочей. Хакеры получили доступ к учётным данным одного из ключевых разработчиков и обошли стандартный процесс публикации через GitHub Actions, выпустив пакеты вручную через npm CLI. Они даже подменили email издателя на адрес в ProtonMail. Вредоносная зависимость готовилась заранее: сначала появилась версия 4.2.0 для маскировки под легитимный пакет, затем вышла 4.2.1 с опасным postinstall-скриптом.
Атака срабатывала не во время работы приложения, а уже при установке через npm install. Скрипт автоматически устанавливал троян удалённого доступа, который работал на macOS, Windows и Linux. После запуска вредоносный код удалял следы своего присутствия и подменял package.json на чистую версию.
Ситуация была особенно опасной из-за популярности axios, более ста миллионов загрузок каждую неделю. Заражённые версии появились в npm ночью 31 марта 2026 года и были быстро удалены, но даже короткое время их доступности создало угрозу для CI-систем и компьютеров разработчиков, где зависимости устанавливаются автоматически.
Hacker's TOYS
🔥5👍1🤯1
Исследователь безопасности Чаофан Шоу обнаружил, что полный исходный код Claude Code CLI от Anthropic случайно попал в открытый доступ через npm-реестр. Причина оказалась простой: в пакет включили source map файл размером 57 МБ, который содержал весь оригинальный код, около 1900 файлов и более 512 тысяч строк TypeScript. Всё дело в том, что Bun-бандлер генерирует source maps по умолчанию, а разработчики забыли исключить .map файлы через .npmignore.
Помимо технической архитектуры и системных промптов, в коде нашлись четыре нереализованные системы. KAIROS, постоянно активный ассистент, который ведёт дневники и может инициировать действия самостоятельно. ULTRAPLAN запускает Opus 4.6 в облачном контейнере с получасовым лимитом на планирование. Buddy, система-компаньон в стиле тамагочи с 18 видами и редкими шайни-вариантами, которую планируют запустить в мае 2026. Dream работает в фоне и консолидирует память.
Самая обсуждаемая находка это режим "Undercover Mode". Он автоматически включается при работе с внешними репозиториями и запрещает AI упоминать внутренние кодовые имена, версии и даже фразу "Claude Code" в коммитах. В инструкции буквально написано "Do not blow your cover". Режим работает по умолчанию, что подтверждает: сотрудники Anthropic используют Claude Code для вклада в open-source проекты.
Hacker's TOYS
Помимо технической архитектуры и системных промптов, в коде нашлись четыре нереализованные системы. KAIROS, постоянно активный ассистент, который ведёт дневники и может инициировать действия самостоятельно. ULTRAPLAN запускает Opus 4.6 в облачном контейнере с получасовым лимитом на планирование. Buddy, система-компаньон в стиле тамагочи с 18 видами и редкими шайни-вариантами, которую планируют запустить в мае 2026. Dream работает в фоне и консолидирует память.
Самая обсуждаемая находка это режим "Undercover Mode". Он автоматически включается при работе с внешними репозиториями и запрещает AI упоминать внутренние кодовые имена, версии и даже фразу "Claude Code" в коммитах. В инструкции буквально написано "Do not blow your cover". Режим работает по умолчанию, что подтверждает: сотрудники Anthropic используют Claude Code для вклада в open-source проекты.
Hacker's TOYS
🔥11❤1😱1