Forwarded from T.Hunter
This media is not supported in your browser
VIEW IN TELEGRAM
#news Биткойны на сумму почти в 7 млн. $ в криптовалютном кошельке, контролируемом операторами вымогателя DarkSide, начали движение. Время начала движения совпадает с уничтожением инфраструктуры вымогателя REvil в результате международной операции правоохранительных органов.
Сейчас биткоины DarkSide проходят через разные кошельки. При этом общая сумма их сократилась с 107,8 BTC до 38,1 BTC. Такое перемещение средств является типичным методом отмывания денег, который затрудняет отслеживание и помогает киберпреступникам конвертировать криптовалюту в фиат. Небольшие суммы денег уже были переведены на известные криптобиржи.
Кстати! Исследовать транзакции DarkSide вы можете самостоятельно, используя мою подборку инструментов.
@tomhunter
Сейчас биткоины DarkSide проходят через разные кошельки. При этом общая сумма их сократилась с 107,8 BTC до 38,1 BTC. Такое перемещение средств является типичным методом отмывания денег, который затрудняет отслеживание и помогает киберпреступникам конвертировать криптовалюту в фиат. Небольшие суммы денег уже были переведены на известные криптобиржи.
Кстати! Исследовать транзакции DarkSide вы можете самостоятельно, используя мою подборку инструментов.
@tomhunter
Forwarded from T.Hunter
#news Неизвестные развернули Google Ads-кампанию с фишинговыми сайтами, копирующими популярные криптокошельки: у доверившихся воруют данные и деньги. Заработали как минимум $500 тысяч.
Организован скам так. Пользователь приходит по рекламной ссылке на фишинговый сайт, косящий под Фантом или Метамаск, и жмёт кнопку «Создать новый аккаунт». Сайт под видом нового сгенерированного ключа от кошелька выдаёт готовый ключ от одного из пустых кошельков злоумышленников, а затем редиректит пользователя на настоящие сайты кошельков. Пользователь восстанавливает кошелёк по тому самому ключу и кладёт на него деньги. Вуаля, довольный криптоскамер всё забирает.
Для Метамаска предлагалось ещё и сразу ввести на фишинговом сайте бэкап-фразу, если у пользователя уже есть кошелёк. Впрочем, это куда уж более стандартная и ленивая схема. Контрится она очень просто: нигде и никогда не вводим ключи, избегаем кастодиальных (то есть, централизованных) сервисов и поменьше экспериментируем с новыми кошельками.
@tomhunter
Организован скам так. Пользователь приходит по рекламной ссылке на фишинговый сайт, косящий под Фантом или Метамаск, и жмёт кнопку «Создать новый аккаунт». Сайт под видом нового сгенерированного ключа от кошелька выдаёт готовый ключ от одного из пустых кошельков злоумышленников, а затем редиректит пользователя на настоящие сайты кошельков. Пользователь восстанавливает кошелёк по тому самому ключу и кладёт на него деньги. Вуаля, довольный криптоскамер всё забирает.
Для Метамаска предлагалось ещё и сразу ввести на фишинговом сайте бэкап-фразу, если у пользователя уже есть кошелёк. Впрочем, это куда уж более стандартная и ленивая схема. Контрится она очень просто: нигде и никогда не вводим ключи, избегаем кастодиальных (то есть, централизованных) сервисов и поменьше экспериментируем с новыми кошельками.
@tomhunter
Forwarded from T.Hunter
#news Возвращаемся к хорошим новостям. В Румынии и Кувейте арестовали троих [подозреваемых] членов REvil.
Румынские полицейские задержали двух подозреваемых; перед этим обыскали четыре дома в Констанце, изъяв ноутбуки, телефоны и носители информации. В тот же день полиция Кувейта арестовала ещё одного подозреваемого.
Три мошенника, если это действительно они, ответственны за около 7000 атак и требования выкупа на €200 миллионов в сумме.
Всего за этот год арестовали 7 подозреваемых членов REvil. Троих поймали в Южной Корее, а ещё одного недавно арестовали в Германии.
@tomhunter
Румынские полицейские задержали двух подозреваемых; перед этим обыскали четыре дома в Констанце, изъяв ноутбуки, телефоны и носители информации. В тот же день полиция Кувейта арестовала ещё одного подозреваемого.
Три мошенника, если это действительно они, ответственны за около 7000 атак и требования выкупа на €200 миллионов в сумме.
Всего за этот год арестовали 7 подозреваемых членов REvil. Троих поймали в Южной Корее, а ещё одного недавно арестовали в Германии.
@tomhunter
Forwarded from T.Hunter
#news Недавно Брайан Кребс рассказал о новых фишках американских «служб безопасности» Сбербанка JP Morgan Chase.
Smishing [SMS + phishing] — техника обычная. Например, жертве могут прислать ссылку на фишинговый сайт её банка и пытаться вытянуть данные. Но в последнее время «службы безопасности» всё чаще пробуют новую схему: присылают жертве смску-де «с вашего счёта в JP Morgan Chase попытались переслать $5000, подтвердите перевод ответом YES или отмените ответом NO», а потом перезванивают, как только получают ожидаемое NO, и начинают разводить.
В случае на скриншоте почти получилось — человека впечатлили смска, за которой сразу последовал звонок, и отсутствие иностранных акцентов у скамеров (характерных для англоязычных разводов).
К счастью жертв, этому пока далеко до некоторых отечественных «служб безопасности»: среди них попадаются впечатляющие театральные труппы, разыгрывающие для жертв телефонные спектакли про команду сотрудников Центробанка и МВД.
@tomhunter
Smishing [SMS + phishing] — техника обычная. Например, жертве могут прислать ссылку на фишинговый сайт её банка и пытаться вытянуть данные. Но в последнее время «службы безопасности» всё чаще пробуют новую схему: присылают жертве смску-де «с вашего счёта в JP Morgan Chase попытались переслать $5000, подтвердите перевод ответом YES или отмените ответом NO», а потом перезванивают, как только получают ожидаемое NO, и начинают разводить.
В случае на скриншоте почти получилось — человека впечатлили смска, за которой сразу последовал звонок, и отсутствие иностранных акцентов у скамеров (характерных для англоязычных разводов).
К счастью жертв, этому пока далеко до некоторых отечественных «служб безопасности»: среди них попадаются впечатляющие театральные труппы, разыгрывающие для жертв телефонные спектакли про команду сотрудников Центробанка и МВД.
@tomhunter
Forwarded from T.Hunter
#news Тут в Телеграме уже пару месяцев гуляет малварь Echelon, ворующая деньги из популярных криптокошельков и данные от аккаунтов самого Телеграма, Дискорда, NordVPN и кучи других сервисов. Полный список есть по ссылке.
И малварь, и способы ее распространения крайне примитивны, поэтому исследователи считают, что все это дело рассчитано на совсем неопытных в теме пользователей.
Малварь доставляют в RAR-архиве present).rar. Ох уж эти коварные скобочки… Сам зловред Present.exe неплохо защищен от анализа, но исследователи его всё-таки вскрыли. Выяснилось, что он будет пытаться красть данные с каждого сайта, который открывает пользователь.
@tomhunter
И малварь, и способы ее распространения крайне примитивны, поэтому исследователи считают, что все это дело рассчитано на совсем неопытных в теме пользователей.
Малварь доставляют в RAR-архиве present).rar. Ох уж эти коварные скобочки… Сам зловред Present.exe неплохо защищен от анализа, но исследователи его всё-таки вскрыли. Выяснилось, что он будет пытаться красть данные с каждого сайта, который открывает пользователь.
@tomhunter
Forwarded from T.Hunter
#news Мошенники активно пользуются желанием граждан инвестировать. За последние девять месяцев было зарегистрировано на 163% больше фейковых инвестиционных проектов (около 6 тысяч), чем за предыдущие годы. Все фейковые инвестпроекты действуют по трем популярным схемам. В первом случае вкладчикам обещают невероятные доходы, во втором - деньги от торговли нефти и газом, а в третьем - доступ к закрытым для большинства инвесторов инструментам финансовых организаций.
Настоящий инвестпроект можно отличить от фейкового по пяти основным признакам: понятное юридическое лицо, от которого ведется деятельность, значительный срок работы на рынке и прозрачная история, отсутствие негативных отзывов и негативной судебной истории, благонадежные руководители и по сайту, который существует долгое время, говорит руководитель департамента информационно-аналитических исследований компании T.Hunter.
@tomhunter
Настоящий инвестпроект можно отличить от фейкового по пяти основным признакам: понятное юридическое лицо, от которого ведется деятельность, значительный срок работы на рынке и прозрачная история, отсутствие негативных отзывов и негативной судебной истории, благонадежные руководители и по сайту, который существует долгое время, говорит руководитель департамента информационно-аналитических исследований компании T.Hunter.
@tomhunter
Forwarded from T.Hunter
#news REvil — это эдакий киберпанковый Змей Горыныч. Одну голову отрубишь, а на её месте ещё две выскочат, хвост попробуешь отсечь — он ещё два отрастит.
Несмотря на недавние новости о спецоперации ФСБ против нашумевшей группировки, малварь их живёт да здравствует. Когда в октябре спецслужбы нескольких стран захватили даркнетовские сайты REvil и обратили группировку в предполагаемое оффлайн-бегство, картина была похожей — эффекта хватило на пару недель.
По данным ReversingLabs, активность REvil сейчас чуть выше, чем до январского ареста.
Похоже, дело в том, что ФБР вычислило не самих хакеров, а обнальщиков. Их ФСБ и задержало, а вот про оставшихся на свободе взломщиков рискуем ещё услышать.
@tomhunter
Несмотря на недавние новости о спецоперации ФСБ против нашумевшей группировки, малварь их живёт да здравствует. Когда в октябре спецслужбы нескольких стран захватили даркнетовские сайты REvil и обратили группировку в предполагаемое оффлайн-бегство, картина была похожей — эффекта хватило на пару недель.
По данным ReversingLabs, активность REvil сейчас чуть выше, чем до январского ареста.
Похоже, дело в том, что ФБР вычислило не самих хакеров, а обнальщиков. Их ФСБ и задержало, а вот про оставшихся на свободе взломщиков рискуем ещё услышать.
@tomhunter
Forwarded from T.Hunter
#news У криптоплатформы Qubit украли $80 миллионов.
Qubit — это платформа-мост между Ethereum и Binance Smart Chain: можно, например, внести ETH и вывести ту же сумму в Binance Coin. Исследователи из CertiK изучили инцидент и пришли к выводу, что хакер воспользовался уязвимостью в смарт-контракте, которая позволила ему отправить 0 ETH и вывести $80 миллионов.
Qubit обратились к хакеру в Твиттере и предлагают баунти в $2 миллиона — такую же выплатили когда-то Polygon, поставив рекорд. Судя по тишине в ответ, хакер всё-таки не совсем белошляпочный… На его адресе появился маркер Qubit Exploiter, а в комментариях люди просят вернуть им деньги или помочь с оплатой учёбы.
@tomhunter
Qubit — это платформа-мост между Ethereum и Binance Smart Chain: можно, например, внести ETH и вывести ту же сумму в Binance Coin. Исследователи из CertiK изучили инцидент и пришли к выводу, что хакер воспользовался уязвимостью в смарт-контракте, которая позволила ему отправить 0 ETH и вывести $80 миллионов.
Qubit обратились к хакеру в Твиттере и предлагают баунти в $2 миллиона — такую же выплатили когда-то Polygon, поставив рекорд. Судя по тишине в ответ, хакер всё-таки не совсем белошляпочный… На его адресе появился маркер Qubit Exploiter, а в комментариях люди просят вернуть им деньги или помочь с оплатой учёбы.
@tomhunter
Forwarded from T.Hunter
#news На Wired вышел хороший материал о том, почему анонимность публичных блокчейнов — анонимность очень условная.
Это, в общем-то, и так всем было понятно, но появление NFT эту условность разрушило окончательно. Купив картиночку и поставив её себе на аватарку в Твиттере (а это теперь можно сделать, только подключив кошелёк и подтвердив свои права на картиночку), человек автоматически сливает адрес своего кошелька и историю транзакций всем интересующимся, связывая их со своим профилем.
Казалось бы, не такая уж и беда. Но некоторые энтузиасты нынче так и рвутся перенести на блокчейн вообще всю свою жизнь и все свои данные, включая права на владение домом, соцсети и историю болезней. Получается огромный склад публично доступных данных, которые, конечно, ещё и никак нельзя удалить. Такого киберпанка мы пока не заслужили.
@tomhunter
Это, в общем-то, и так всем было понятно, но появление NFT эту условность разрушило окончательно. Купив картиночку и поставив её себе на аватарку в Твиттере (а это теперь можно сделать, только подключив кошелёк и подтвердив свои права на картиночку), человек автоматически сливает адрес своего кошелька и историю транзакций всем интересующимся, связывая их со своим профилем.
Казалось бы, не такая уж и беда. Но некоторые энтузиасты нынче так и рвутся перенести на блокчейн вообще всю свою жизнь и все свои данные, включая права на владение домом, соцсети и историю болезней. Получается огромный склад публично доступных данных, которые, конечно, ещё и никак нельзя удалить. Такого киберпанка мы пока не заслужили.
@tomhunter
Forwarded from T.Hunter
#news Крупнейший NFT-маркет OpenSea сообщил об утечке данных пользователей.
Сотрудник сервиса для имейл-рассылок, которым пользовалась компания, слил базу почтовых ящиков неким сторонним лицам. Так что более 600 тысяч юзеров и $20 миллиардов вращающихся на платформе денег теперь под угрозой фишинговых атак.
В итоге OpenSea разослала своей пользовательской базе предупреждения о произошедшем и вероятности получения мошеннических писем с подставных доменов. Беднягам остаётся лишь крепче держаться за свои драгоценные картинки со смешными обезьянками.
@tomhunter
Сотрудник сервиса для имейл-рассылок, которым пользовалась компания, слил базу почтовых ящиков неким сторонним лицам. Так что более 600 тысяч юзеров и $20 миллиардов вращающихся на платформе денег теперь под угрозой фишинговых атак.
В итоге OpenSea разослала своей пользовательской базе предупреждения о произошедшем и вероятности получения мошеннических писем с подставных доменов. Беднягам остаётся лишь крепче держаться за свои драгоценные картинки со смешными обезьянками.
@tomhunter
Forwarded from T.Hunter
#news Если кто следит за самой зрелищной и нелепой катастрофой в современной финансовой истории – крахом криптобиржи FTX – в её эпопее появилась и вишенка инфобеза. Стоило им подать на банкротство, биржу самым загадочным образом взломали. Больше $600 миллионов ушли по неизвестным адресам, кража отдаёт инсайдерской работой. Плюс в приложениях якобы апдейт в виде инфостилера, админы призывают срочно их удалить и не заходить на сайт во избежание троянов.
Между тем в штабе FTX на Багамах полицейский рейд, а владелец биржи и пара сообщников сейчас под надзором полиции. В общем, если кто гадал, что случилось с курсами крипты, произошёл FTX. Из одной криптозимы прямиком в другую. Спасибо товарищу SBF.
@tomhunter
Между тем в штабе FTX на Багамах полицейский рейд, а владелец биржи и пара сообщников сейчас под надзором полиции. В общем, если кто гадал, что случилось с курсами крипты, произошёл FTX. Из одной криптозимы прямиком в другую. Спасибо товарищу SBF.
@tomhunter
Forwarded from T.Hunter
#news Под нож ФБР отправился ChipMixer – один из крупнейших криптомиксеров в дарквебе, проработавший с 2017-го года. Платформа позволяла перегонять крипту в неотслеживаемые чипы, которые позже выводились на чистые криптоадреса для дальнейшего вывода в твёрдую валюту. Проще говоря, ландромат для киберпреступников без всяких оговорок про законность и прочих реверансов.
Через ChipMixer отмывали деньги LockBit, Dharma, Suncrypt и другие рансомварщики. А также наркомаркеты, контрабандисты, педофилы и криптоворы. Европол сообщает, что через платформу прогнали до 152 тысяч битков, что по нынешнему курсу тянет почти на три миллиарда евро. И нет, не подумайте, её владельцем не оказался очередной наш соотечественник. Вслед за перехватом сайта был арестован 49-летний гражданин Вьетнама, предполагаемый создатель и оператор ChipMixer. Что ж, ближайшие лет двадцать ему предстоит месить совсем не крипту.
@tomhunter
Через ChipMixer отмывали деньги LockBit, Dharma, Suncrypt и другие рансомварщики. А также наркомаркеты, контрабандисты, педофилы и криптоворы. Европол сообщает, что через платформу прогнали до 152 тысяч битков, что по нынешнему курсу тянет почти на три миллиарда евро. И нет, не подумайте, её владельцем не оказался очередной наш соотечественник. Вслед за перехватом сайта был арестован 49-летний гражданин Вьетнама, предполагаемый создатель и оператор ChipMixer. Что ж, ближайшие лет двадцать ему предстоит месить совсем не крипту.
@tomhunter
Forwarded from T.Hunter
#news На криптокошелёк ФБК (признан экстремистской организацией) сегодня пришёл самый большой разовый донат за всю историю — 100 тысяч евро (3.81427174 в BTC). Отправитель оказался связанным с LocalBitcoins - одноранговой платформой обмена биткойнами, базирующейся в Хельсинки, Финляндия. Команда Навального ранее уже использовала площадку LocalBitcoins в Латвии для вывода биткоинов. Только в этот раз финансовый поток пошел, почему то, вспять...
@tomhunter
@tomhunter
Forwarded from T.Hunter
#news У Брайана Кребса вышел материал про полулегендарного товарища, кибер-афериста Джона Клифтона Дэвиса. Обманувший десятки IT-стартапов на более чем $30 миллионов под предлогом перспективных инвестиций товарищ взялся за старое. Причём буквально.
Ранее в этом месяце Кребс узнал от брокера, что один из его клиентов погорел на $50 тысяч в мошеннической схеме, идентичной той, что использовал Дэвис. И в этот раз даже не понадобилось золотой классики OSINT’a. Один из порталов фейковой юридической фирмы, связанной с этой схемой, слово-в-слово повторяет текст с ранних скам-сайтов нашего известного в узких кругах инвестора. И заявляет о «13 годах «опита» (sic!) в своей сфере», хотя домен был зарегистрирован только в этом апреле. На запросы наш щедрый бенефактор от мира инвестиций не ответил. Очевидно, эту старую собаку-афериста новым трюкам точно не научишь. Что ж, хотя бы верен себе.
@tomhunter
Ранее в этом месяце Кребс узнал от брокера, что один из его клиентов погорел на $50 тысяч в мошеннической схеме, идентичной той, что использовал Дэвис. И в этот раз даже не понадобилось золотой классики OSINT’a. Один из порталов фейковой юридической фирмы, связанной с этой схемой, слово-в-слово повторяет текст с ранних скам-сайтов нашего известного в узких кругах инвестора. И заявляет о «13 годах «опита» (sic!) в своей сфере», хотя домен был зарегистрирован только в этом апреле. На запросы наш щедрый бенефактор от мира инвестиций не ответил. Очевидно, эту старую собаку-афериста новым трюкам точно не научишь. Что ж, хотя бы верен себе.
@tomhunter