#news Согласно отчёту ФБР, BEC-атаки (Business Email Compromise) уверенно держат первое место в мире киберпреступности. И финансовые потери от них с 2019-го года выросли на 65 процентов.
За 2021-й год зарегистрировано почти 20 тысяч заявлений на общую сумму $2.4 миллиарда. Ближайший конкурент, мошенничество с инвестициями, за тот же период принесло злоумышленникам на миллиард меньше. Всего же с 2016-го года BEC-атаки стоили их жертвам почти $50 миллиардов. Масштабы впечатляющие.
Популярность BEC-атак обусловлена их технической простотой и эффективностью социнженерии. Так как их невозможно выявить традиционными методами, лучшей защитой по-прежнему остаётся обучать сотрудников тщательно проверять все финансовые письма и выявлять такие атаки. Предупреждён — значит, вооружён, в общем.
@tomhunter
За 2021-й год зарегистрировано почти 20 тысяч заявлений на общую сумму $2.4 миллиарда. Ближайший конкурент, мошенничество с инвестициями, за тот же период принесло злоумышленникам на миллиард меньше. Всего же с 2016-го года BEC-атаки стоили их жертвам почти $50 миллиардов. Масштабы впечатляющие.
Популярность BEC-атак обусловлена их технической простотой и эффективностью социнженерии. Так как их невозможно выявить традиционными методами, лучшей защитой по-прежнему остаётся обучать сотрудников тщательно проверять все финансовые письма и выявлять такие атаки. Предупреждён — значит, вооружён, в общем.
@tomhunter
❤5😱1
#OSINT Новая статья вышла у меня на Хабре. Речь пошла о многообразных расширениях для браузера Chrome, которые позволяют превратить его в достаточно эффективный инструмент OSINT-расследователя.
Читать: https://habr.com/ru/company/tomhunter/blog/664482/
@tomhunter
Читать: https://habr.com/ru/company/tomhunter/blog/664482/
@tomhunter
❤8🔥5
#news Стыдно, товарищи... На сайте «открытых данных России» обнаружена уязвимость. Как выяснилось, любой желающий мог разместить документы на официальном государственном портале, чтобы использовать ссылку на легитимный портал в качестве подтверждения недостоверных данных.
@tomhunter
@tomhunter
🤔11🤯10😁6
#news Apple, Microsoft и Google планируют внедрить единый стандарт авторизации без паролей до конца 2023-го года.
Нас ждёт аутентификация по биометрии или пин-коду устройства, которое будет защищено уникальным криптографическим токеном. Впрочем, при всей болтовне о большей безопасности, токен будет легко перенести на другое устройство, в том числе из «облака». Так что насколько это усилит защиту от удалённого взлома, неясно.
А вот что сказать можно точно, так это что подобная система приватности не прибавит. Сначала пользователь будет окончательно привязан к устройству с уникальным IMEI и геолокацией. Потом останется убрать логин по пин-коду в целях «безопасности», и мы останемся один на один с системой, войти в которую можно только по биометрии. В общем, вслед за беспарольным придёт и будущее, лишенное призрачных остатков приватности.
@tomhunter
Нас ждёт аутентификация по биометрии или пин-коду устройства, которое будет защищено уникальным криптографическим токеном. Впрочем, при всей болтовне о большей безопасности, токен будет легко перенести на другое устройство, в том числе из «облака». Так что насколько это усилит защиту от удалённого взлома, неясно.
А вот что сказать можно точно, так это что подобная система приватности не прибавит. Сначала пользователь будет окончательно привязан к устройству с уникальным IMEI и геолокацией. Потом останется убрать логин по пин-коду в целях «безопасности», и мы останемся один на один с системой, войти в которую можно только по биометрии. В общем, вслед за беспарольным придёт и будущее, лишенное призрачных остатков приватности.
@tomhunter
🤔10😱5
#news Благодарим основательницу проекта КодИБ Ольгу Поздняк за позитивный и всегда интересный движ. Как всегда, все - супер. Поговорили о насущном: расследования, анонимность в интернете и методы ее преодоления. И не забудьте подписаться на @codeibnews
▶️ https://youtu.be/6XD_oE-K8Gc
@tomhunter
▶️ https://youtu.be/6XD_oE-K8Gc
@tomhunter
YouTube
Интервью с Игорем Бедеровым, T.Hunter
Игорь Бедеров - эксперт в области безопасности бизнеса, бывший сотрудник специальных служб.
#Интервью #codeib #ИгорьБедеров #T.Hunter
КОД ИБ: семейство проектов, главная миссия которых — делать мир информационной безопасности простым и понятным
Здесь вы…
#Интервью #codeib #ИгорьБедеров #T.Hunter
КОД ИБ: семейство проектов, главная миссия которых — делать мир информационной безопасности простым и понятным
Здесь вы…
❤4💩2🔥1
#news Облачный сервис Heroku подтвердил кражу личных данных пользователей после взлома с помощью OAuth-токенов в прошлом месяце.
Сначала компания утверждала, что злоумышленник получил доступ только к GitHub-репозиториям, а сами аккаунты не пострадали. Однако на этой неделе Heroku разослала пользователям письма о принудительной смене паролей, что как бы намекало. Ну а теперь компания раскрыла подробности.
Украденные OAuth-токены дали злоумышленнику доступ к внутренней базе аккаунтов Heroku. И, соответственно, были слиты пароли пользователей. Также злоумышленник скачал несколько приватных GitHub-репозиториев с исходниками Heroku. Произошло это, напомню, ещё месяц назад. Отличный пример того, как компании не надо реагировать на взлом.
@tomhunter
Сначала компания утверждала, что злоумышленник получил доступ только к GitHub-репозиториям, а сами аккаунты не пострадали. Однако на этой неделе Heroku разослала пользователям письма о принудительной смене паролей, что как бы намекало. Ну а теперь компания раскрыла подробности.
Украденные OAuth-токены дали злоумышленнику доступ к внутренней базе аккаунтов Heroku. И, соответственно, были слиты пароли пользователей. Также злоумышленник скачал несколько приватных GitHub-репозиториев с исходниками Heroku. Произошло это, напомню, ещё месяц назад. Отличный пример того, как компании не надо реагировать на взлом.
@tomhunter
😢5😱1
#OSINT #ARCHIVE Использование веб-архивов позволяет увидеть, как веб-страница или сайт выглядели в прошлом. Часто это бывает полезно при проведении и документировании расследования. Самые популярные и бесплатные веб-архивы:
├https://archive.org/
├https://cachedview.com/
├https://archive.is/
└http://www.cachedpages.com/
Отдельно стоит сказать о сервисе https://russia.undelete.news/ru, который позволяет эффективно отслеживать аккаунты социальных сетей.
Обратите внимание на кешированные Google версии сайтов и веб-страниц. Архивная версия страницы доступна там, нажав на ссылку http://webcache.googleusercontent.com/search?q=cache:ADD_URL_HERE.
Отметим, что веб-архивы существуют не только как онлайн-сервисы. Веб-архив также доступен в виде бесплатного трансформа в программном комплексе Maltego. Также существуют веб-архивы в виде расширений для браузеров. Например, для популярного Chrome: Go Back in Time или Wayback Machine
@tomhunter
├https://archive.org/
├https://cachedview.com/
├https://archive.is/
└http://www.cachedpages.com/
Отдельно стоит сказать о сервисе https://russia.undelete.news/ru, который позволяет эффективно отслеживать аккаунты социальных сетей.
Обратите внимание на кешированные Google версии сайтов и веб-страниц. Архивная версия страницы доступна там, нажав на ссылку http://webcache.googleusercontent.com/search?q=cache:ADD_URL_HERE.
Отметим, что веб-архивы существуют не только как онлайн-сервисы. Веб-архив также доступен в виде бесплатного трансформа в программном комплексе Maltego. Также существуют веб-архивы в виде расширений для браузеров. Например, для популярного Chrome: Go Back in Time или Wayback Machine
@tomhunter
🔥6
#news Сообщается о новом критическом удаленном выполнении кода в сетевых устройствах BIG-IP, отслеживаемом как CVE-2022-1388. Уязвимость затрагивает компонент аутентификации BIG-IP iControl REST и позволяет удаленным злоумышленникам обходить аутентификацию и выполнять команды на устройстве с повышенными привилегиями. Эти типы атак могут использоваться для кражи корпоративных данных или развертывания программ-вымогателей на всех сетевых устройствах. ИТ-эксперты уже выпустили обновления для устранения новой уязвимости. Они предупредили, что все администраторы должны как можно скорее обновить свои устройства.
@tomhunter
@tomhunter
❤4
#news США наложили санкции на криптомиксер Blender, после того как северокорейцы отмыли через него украденную крипту.
Согласно расследованию, группировка Lazarus, провернувшая крупнейшую на сегодня (около $620 млн) кражу крипты с сайдчейна Ронин, в прошлом месяце провела через этот миксер больше $20 миллионов. Это пришлось не по нраву Министерству Финансов США, и теперь без его одобрения любые операции с Blender для граждан штатов и вообще на территории Америки запрещены.
Кроме того, используемые для отмыва криминальных денег криптомиксеры прямо назвали угрозой нацбезопасности США. Не отмывай северокорейские денежки, блендерушка, нерукопожатным станешь, в общем.
@tomhunter
Согласно расследованию, группировка Lazarus, провернувшая крупнейшую на сегодня (около $620 млн) кражу крипты с сайдчейна Ронин, в прошлом месяце провела через этот миксер больше $20 миллионов. Это пришлось не по нраву Министерству Финансов США, и теперь без его одобрения любые операции с Blender для граждан штатов и вообще на территории Америки запрещены.
Кроме того, используемые для отмыва криминальных денег криптомиксеры прямо назвали угрозой нацбезопасности США. Не отмывай северокорейские денежки, блендерушка, нерукопожатным станешь, в общем.
@tomhunter
🤔6😁4
#news Власти Коста-Рики ввели чрезвычайное положение в связи с взломом правительственных учреждений группировкой Conti.
После отказа выплатить $10 миллионов выкупа, ушлые русские хакеры опубликовали почти 700ГБ данных нескольких госструктур, включая Министерство Финансов. Беглый анализ показал, что в сливах как минимум исходники и SQL-базы правительственных сайтов. В связи с этим президент Коста-Рики и объявил ЧП. Такой вот незаслуженный киберпанк, разворачивающийся прямо на наших глазах.
Тем временем США предлагают $15 миллионов за информацию о членах Conti. Будет забавно, если у украинского Штирлица, слившего их исходники и переписки в сеть, найдутся в рукаве и козыри с личными данными членов группировки.
@tomhunter
После отказа выплатить $10 миллионов выкупа, ушлые русские хакеры опубликовали почти 700ГБ данных нескольких госструктур, включая Министерство Финансов. Беглый анализ показал, что в сливах как минимум исходники и SQL-базы правительственных сайтов. В связи с этим президент Коста-Рики и объявил ЧП. Такой вот незаслуженный киберпанк, разворачивающийся прямо на наших глазах.
Тем временем США предлагают $15 миллионов за информацию о членах Conti. Будет забавно, если у украинского Штирлица, слившего их исходники и переписки в сеть, найдутся в рукаве и козыри с личными данными членов группировки.
@tomhunter
🔥7
#news RuTube лежит уже больше суток — сайт подвергся мощной хакерской атаке.
Компания говорит, что работает над восстановлением работы сайта. А вот инсайдерские источники сообщили СМИ, что взломщики «удалили весь код», и сервис теперь «не подлежит восстановлению». А разработчики, в таком случае, не пользовались гитом и не держали у себя локальных копий просто идейно? Звучит весьма загадочно и весьма же сомнительно.
@tomhunter
Компания говорит, что работает над восстановлением работы сайта. А вот инсайдерские источники сообщили СМИ, что взломщики «удалили весь код», и сервис теперь «не подлежит восстановлению». А разработчики, в таком случае, не пользовались гитом и не держали у себя локальных копий просто идейно? Звучит весьма загадочно и весьма же сомнительно.
@tomhunter
😁16🤔8🎉3💩3
#news Обнаружен новый способ доставки малвари, на этот раз через логи журнала событий в винде.
Впечатляющая по своей технической продвинутости и используемым инструментам атака идёт через подмену wer.dll, который затем пишет вредоносный шелл-код в журнал событий службы управления ключами. Злоумышленник использовал различные методы и фреймворки для доставки зловреда, в том числе Cobalt Strike и NetSPI.
Применение этого метода на практике спецы видят впервые, и связать эту атаку с какой-либо из известных группировок пока не удалось. Но ясно, что кампания была целевой, то есть, скорее всего, предназначалась для кражи ценных данных. Так «набитый малварью KMS» приобретает новый подтекст…
@tomhunter
Впечатляющая по своей технической продвинутости и используемым инструментам атака идёт через подмену wer.dll, который затем пишет вредоносный шелл-код в журнал событий службы управления ключами. Злоумышленник использовал различные методы и фреймворки для доставки зловреда, в том числе Cobalt Strike и NetSPI.
Применение этого метода на практике спецы видят впервые, и связать эту атаку с какой-либо из известных группировок пока не удалось. Но ясно, что кампания была целевой, то есть, скорее всего, предназначалась для кражи ценных данных. Так «набитый малварью KMS» приобретает новый подтекст…
@tomhunter
❤8🔥2🤬1
#news Линкольнский колледж в США закрывается после 157 лет работы из-за рансомварь-атаки.
В декабре 2021-го сервера колледжа подверглись атаке. Она лишила администрацию доступа к инструментам для найма персонала и привлечения денежных средств. Инфу об атаке колледж особо не раскрывал; известно, что они заплатили злоумышленникам, но сначала от полученных дешифровщиков было мало толку. Восстановить полный доступ удалось только к марту.
При этом это лишь одно из тысячи учебных заведений, ставших целью вымогателей за прошлый год. В округе Балтимор атака обошлась школам в $8 миллионов выкупа, например. Колледж Линкольна же пережил 20-й век со всеми его злоключениями, а вот рансомварь-атаку не пережил. 2022-й на дворе, дамы и господа. Будущее безжалостно!
@tomhunter
В декабре 2021-го сервера колледжа подверглись атаке. Она лишила администрацию доступа к инструментам для найма персонала и привлечения денежных средств. Инфу об атаке колледж особо не раскрывал; известно, что они заплатили злоумышленникам, но сначала от полученных дешифровщиков было мало толку. Восстановить полный доступ удалось только к марту.
При этом это лишь одно из тысячи учебных заведений, ставших целью вымогателей за прошлый год. В округе Балтимор атака обошлась школам в $8 миллионов выкупа, например. Колледж Линкольна же пережил 20-й век со всеми его злоключениями, а вот рансомварь-атаку не пережил. 2022-й на дворе, дамы и господа. Будущее безжалостно!
@tomhunter
😢9
#news В прошивке процессоров в сотнях продуктов от Intel обнаружены серьёзные уязвимости.
Речь о линейке товаров Intel SSD DC и Intel Optane SSD DС — твердотельных накопителях и памяти для их кэширования. Уязвимости в этих продуктах допускают атаки на эскалацию привилегий, DoS-атаки и утечку информации. Три уязвимости получили рейтинг 7 по стандарту CVSS, ещё почти полдюжины вошли в список средних по опасности.
Intel уже выпустила патчи под уязвимости и рекомендации по работе с ними, так что обновляйтесь и берегите свои данные.
@tomhunter
Речь о линейке товаров Intel SSD DC и Intel Optane SSD DС — твердотельных накопителях и памяти для их кэширования. Уязвимости в этих продуктах допускают атаки на эскалацию привилегий, DoS-атаки и утечку информации. Три уязвимости получили рейтинг 7 по стандарту CVSS, ещё почти полдюжины вошли в список средних по опасности.
Intel уже выпустила патчи под уязвимости и рекомендации по работе с ними, так что обновляйтесь и берегите свои данные.
@tomhunter
❤7🔥1
#news Microsoft выпустила обновления, устраняющие как минимум 74 отдельные проблемы безопасности в своих операционных системах Windows и связанном с ними программном обеспечении. Пакет исправлений, выпущенный в этом месяце, включает исправления для семи «критических» ошибок, а также уязвимости нулевого дня CVE-2022-26925, затрагивающей все поддерживаемые версии Windows.
@tomhunter
@tomhunter
🔥4🤔2
Публикуем традиционный ежемесячный дайджест самых горячих новостей информационной безопасности за апрель. Сегодня в программе приключения Binance в России, рейд на RaidForums от ФБР, неугомонные северокорейцы и другое. Добро пожаловать под кат!
🔥6😱1
#news Евросоюз пытается протолкнуть слежку за пользователями мессенджеров под предлогом борьбы с ЦП.
Призрак грандиозных яблочных планов по сканированию устройств под лозунгом «О бедных детишках замолвите слово» бродит по Европе. Обсуждаемые в ЕС законы о защите детей могут поставить под угрозу приватность миллионов пользователей мессенджеров со сквозным шифрованием.
Но и здесь ЕС умудрился отличиться. Законопроект также подразумевает отслеживание «груминга» — в узком смысле совращения малолетних. Как это реализовать на практике, кроме как, к примеру, с помощью читающей чаты 24/7 нейросетки «Грумер 3000», натасканной переписками соответствующего содержания, — вопрос открытый. Остаётся надеяться, что эту инициативу ждёт судьба яблочной.
@tomhunter
Призрак грандиозных яблочных планов по сканированию устройств под лозунгом «О бедных детишках замолвите слово» бродит по Европе. Обсуждаемые в ЕС законы о защите детей могут поставить под угрозу приватность миллионов пользователей мессенджеров со сквозным шифрованием.
Но и здесь ЕС умудрился отличиться. Законопроект также подразумевает отслеживание «груминга» — в узком смысле совращения малолетних. Как это реализовать на практике, кроме как, к примеру, с помощью читающей чаты 24/7 нейросетки «Грумер 3000», натасканной переписками соответствующего содержания, — вопрос открытый. Остаётся надеяться, что эту инициативу ждёт судьба яблочной.
@tomhunter
🤯8🤔1🤬1
#news Недавно обнаруженная вредоносная программа-бэкдор под названием BPFdoor тайно атакует системы Linux и Solaris, оставаясь незамеченной уже более пяти лет. Исследователи смогли обнаружить активность BPFdoor в сетях организаций из разных регионов, в первую очередь в США, Южной Корее, Гонконге, Турции, Индии, Вьетнаме и Мьянме.
@tomhunter
@tomhunter
🔥5🤔2
#news HP выпустила обновление, исправляющее критические уязвимости в их BIOS-прошивках.
Речь идёт о двух уязвимостях, получивших рейтинг 8.8 по шкале CVSS. Обе позволяют потенциальным злоумышленникам получить доступ к системе в режиме ядра и проводить атаки на выполнение произвольного кода. Сама HP подробностей не раскрывает, но уязвимости детально расписал в своём блоге обнаруживший их исследователь.
Судя по описанию, конечной целью такой атаки мог стать набитый вредоносом BIOS, против которого не помогли бы ни антивирусы, ни переустановка системы. Под угрозой более 200 настольных и ноутбучных моделей, так что их владельцам стоит срочно обновиться.
@tomhunter
Речь идёт о двух уязвимостях, получивших рейтинг 8.8 по шкале CVSS. Обе позволяют потенциальным злоумышленникам получить доступ к системе в режиме ядра и проводить атаки на выполнение произвольного кода. Сама HP подробностей не раскрывает, но уязвимости детально расписал в своём блоге обнаруживший их исследователь.
Судя по описанию, конечной целью такой атаки мог стать набитый вредоносом BIOS, против которого не помогли бы ни антивирусы, ни переустановка системы. Под угрозой более 200 настольных и ноутбучных моделей, так что их владельцам стоит срочно обновиться.
@tomhunter
🔥6
#news Спецы из Cyble рапортуют о появлении новой модульной малвари на продажу.
MaaS-план с амбициозным названием «Project Eternity» предлагает впечатляющий функционал: модули этой приблуды включают в себя кражу инфы, криптомайнер, клиппер, шифровальщик с таймером, червей, а вскоре обещают добавить и DDoS-бота. Малварь продают через Телеграм, и каждый из модулей оплачивается отдельно по годовой подписке.
Анализ показывает, что угроза реальна, а модуль для кражи инфы — скорее всего, переделанный DynamicStealer. Сколько на рынке продержится «Проект Вечность» покажет время. Вечны в нашей среде пока только жаждущие лёгкой наживы злоумышленники.
@tomhunter
MaaS-план с амбициозным названием «Project Eternity» предлагает впечатляющий функционал: модули этой приблуды включают в себя кражу инфы, криптомайнер, клиппер, шифровальщик с таймером, червей, а вскоре обещают добавить и DDoS-бота. Малварь продают через Телеграм, и каждый из модулей оплачивается отдельно по годовой подписке.
Анализ показывает, что угроза реальна, а модуль для кражи инфы — скорее всего, переделанный DynamicStealer. Сколько на рынке продержится «Проект Вечность» покажет время. Вечны в нашей среде пока только жаждущие лёгкой наживы злоумышленники.
@tomhunter
🔥5😱2
⚡️#news По неподтвержденной информации в Telegram, с момента начала СВО, был зафиксирован взлом нескольких аккаунтов администраторов каналов посредством направления им ссылок на чаты и каналы в Telegram, включающих инъекцию стороннего кода. Уязвимость касается десктопных версий мессенджера. Кроме этого, была зафиксирована компания по рассылке вредоносного ПО, замаскированного под файлы MP4, имеющего схожий функционал. Будьте внимательны, проводите предварительную проверку гиперссылок и файлов, распространяемых через Telegram.
P.S. о схожей уязвимости специалисты писали и ранее. Однако, известно, что сообщение о наличии текущей уязвимости было отправлено в Telegram еще 29 марта.
@tomhunter
P.S. о схожей уязвимости специалисты писали и ранее. Однако, известно, что сообщение о наличии текущей уязвимости было отправлено в Telegram еще 29 марта.
@tomhunter
🔥8💩5🤬1