#news Ни дня без сливов от «Яндекс.Еды». Теперь в сети огромные базы как их курьеров, так и конкурентов в зелёненьком. Имена, телефоны, почтовые ящики больше полумиллиона человек. Пароли только хешированы, и то добро.
Компания, как обычно, в стадии отрицания: новых сливов якобы не было, и это данные, утянутые ещё в феврале, да и вообще они от деактивированного приложения. Пользователи гневаются и язвят. Обнаружившие утечки спецы из DLBI торгуются — актуальность данных ещё нужно проверять. У надеющихся на суд депрессия — им отсыпят очередной символический штраф и извинений поглубже.
И только матёрые безопасники давно в стадии принятия. Да, все ваши системы — дырявое решето, а ваш сотрудник продал нам базу клиентов за пару сотен баксов. Не хотите немного пентеста по сходной цене? Так и живём.
@tomhunter
Компания, как обычно, в стадии отрицания: новых сливов якобы не было, и это данные, утянутые ещё в феврале, да и вообще они от деактивированного приложения. Пользователи гневаются и язвят. Обнаружившие утечки спецы из DLBI торгуются — актуальность данных ещё нужно проверять. У надеющихся на суд депрессия — им отсыпят очередной символический штраф и извинений поглубже.
И только матёрые безопасники давно в стадии принятия. Да, все ваши системы — дырявое решето, а ваш сотрудник продал нам базу клиентов за пару сотен баксов. Не хотите немного пентеста по сходной цене? Так и живём.
@tomhunter
😁12🔥3
#news Новая уязвимость нулевого дня в Microsoft Office не требует включённых макросов для эксплойта.
Критическая уязвимость CVE-2022-30190, названная Follina, позволяет подтянуть зловред и выполнять Powershell-команды с помощью MSDT при открытии файла. Для этой атаки на загрузку вредоносного шаблона не нужны ни макросы, ни повышенные привилегии. Нет толку и от Windows Defender’a. Более того, RTF-файл даже запускать не надо: достаточно просто выбрать его, если включена панель превью. Под угрозой все версии MS, начиная с 2013.
Самое занятное, Мелкософту об уязвимости сообщили ещё в апреле, но тикет закрыли, так как компания воспроизвести её не смогла. Ну, зато теперь смогут злоумышленники. Запоздалый патч уже обещан, а пока вордовские файлы в почте даже курсором гладить не стоит.
@tomhunter
Критическая уязвимость CVE-2022-30190, названная Follina, позволяет подтянуть зловред и выполнять Powershell-команды с помощью MSDT при открытии файла. Для этой атаки на загрузку вредоносного шаблона не нужны ни макросы, ни повышенные привилегии. Нет толку и от Windows Defender’a. Более того, RTF-файл даже запускать не надо: достаточно просто выбрать его, если включена панель превью. Под угрозой все версии MS, начиная с 2013.
Самое занятное, Мелкософту об уязвимости сообщили ещё в апреле, но тикет закрыли, так как компания воспроизвести её не смогла. Ну, зато теперь смогут злоумышленники. Запоздалый патч уже обещан, а пока вордовские файлы в почте даже курсором гладить не стоит.
@tomhunter
🔥15😱4
#news Гугл втихаря запретил использовать вычислительные мощности своего Colab’a для создания дипфейков.
На этом облачном сервисе для работы с Python-кодом теперь не сделать ни обещающего крипту Маска, ни видео с бывшей подружкой. За счёт многоядерных процессоров Colab ещё недавно отлично подходил для натаскивания машинного интеллекта под дипфейки. Теперь же они на сервисе в одном ряду с майнингом крипты, взлом паролей, торрентами и прочей крамолой.
На фоне мошеннических схем и использования дипфейков в инфовойнах, новость неплохая. Алармисты-то и вовсе грозят, что через несколько лет они совсем поломают реальность и доверие в обществе. Ну, теперь с серверов Гугла дипфейки если и будут, то только одобренные сверху! Что может пойти не так…
@tomhunter
На этом облачном сервисе для работы с Python-кодом теперь не сделать ни обещающего крипту Маска, ни видео с бывшей подружкой. За счёт многоядерных процессоров Colab ещё недавно отлично подходил для натаскивания машинного интеллекта под дипфейки. Теперь же они на сервисе в одном ряду с майнингом крипты, взлом паролей, торрентами и прочей крамолой.
На фоне мошеннических схем и использования дипфейков в инфовойнах, новость неплохая. Алармисты-то и вовсе грозят, что через несколько лет они совсем поломают реальность и доверие в обществе. Ну, теперь с серверов Гугла дипфейки если и будут, то только одобренные сверху! Что может пойти не так…
@tomhunter
🔥4😁3🤯1😱1💩1
#news Беды Коста-Рики на киберфронтах не закончились после атаки Conti. Сначала ЧП после их проделок, а теперь оффлайн ушла и вся компьютерная сеть системы здравоохранения. За взломом стоят злоумышленники из Hive.
Масштабы атаки пока неизвестны, она произошла только вчера — утром все принтеры в сети начали разом печатать«All your base are belong to us» случайный набор ASCII-символов. Компьютеры отключили от сети и пытаются восстановить системы.
Скорее всего, за взлом ответственны хакеры из Conti, влившиеся в Hive. Спецы из AdvIntel считают, что две группировки сотрудничают уже больше полгода. Те же люди, те же методы минус поднявшаяся вокруг Conti шумиха. Как там было у Дика? Империя никогда не исчезала. В этом случае просто сменила вывеску.
@tomhunter
Масштабы атаки пока неизвестны, она произошла только вчера — утром все принтеры в сети начали разом печатать
Скорее всего, за взлом ответственны хакеры из Conti, влившиеся в Hive. Спецы из AdvIntel считают, что две группировки сотрудничают уже больше полгода. Те же люди, те же методы минус поднявшаяся вокруг Conti шумиха. Как там было у Дика? Империя никогда не исчезала. В этом случае просто сменила вывеску.
@tomhunter
🔥6😢1
#news Тем временем рансомварь-методы эволюционируют и требуют на порядок меньше времени: в 2019-м году от доступа к системе до шифровки уходили 1637 часов, в 2020-м — уже всего 230. А в 2021-м злоумышленники справлялись в среднем за 92.5 часа.
Сомнительная пальма первенства принадлежит зловреду Quantum: в апреле этого года фиксировали атаки, занимавшие меньше четырёх часов. Против таких стремительных налётов рансомварь-пиратов защититься непросто. Методы противостояния им тоже совершенствуют, но пока в них есть серьёзные пробелы.
Спецы также отмечают, что торговцы доступом к взломанным сетям и рансомварщики стали сотрудничать плотнее: раньше покупателя могли искать неделями, а теперь мы имеем дело с часом на всё про всё. Эффективный тайм-менеджмент от мира киберпреступности! Подробнее с графиками по ссылке.
@tomhunter
Сомнительная пальма первенства принадлежит зловреду Quantum: в апреле этого года фиксировали атаки, занимавшие меньше четырёх часов. Против таких стремительных налётов рансомварь-пиратов защититься непросто. Методы противостояния им тоже совершенствуют, но пока в них есть серьёзные пробелы.
Спецы также отмечают, что торговцы доступом к взломанным сетям и рансомварщики стали сотрудничать плотнее: раньше покупателя могли искать неделями, а теперь мы имеем дело с часом на всё про всё. Эффективный тайм-менеджмент от мира киберпреступности! Подробнее с графиками по ссылке.
@tomhunter
🔥7
#news И вновь ни дня без сливов данных в России. В открытом доступе обнаружена база клиентов образовательной платформы Geekbrains.
Имена, адреса почты, телефоны — в базе 6 миллионов строк. В компании не стали отрицать утечку и сообщили, что проводят внутреннее расследование. Банковские данные якобы не затронуты.
Что ж, на курсы по информационной безопасности к ним можно не ходить. А в освободившееся время поразмыслить над трендом сезона — хитрой многоходовочкой по массовому сливу данных. В преддверии грядущего-то ужесточения закона об утечках, грозящего штрафом от оборота.
@tomhunter
Имена, адреса почты, телефоны — в базе 6 миллионов строк. В компании не стали отрицать утечку и сообщили, что проводят внутреннее расследование. Банковские данные якобы не затронуты.
Что ж, на курсы по информационной безопасности к ним можно не ходить. А в освободившееся время поразмыслить над трендом сезона — хитрой многоходовочкой по массовому сливу данных. В преддверии грядущего-то ужесточения закона об утечках, грозящего штрафом от оборота.
@tomhunter
😁10🔥7
Май 2022-го года подошёл к концу, так что по сложившейся традиции взглянем на самые интересные уязвимости за ушедший месяц. Серьёзные уязвимости в фреймворках Laravel и Spring Security, без малого полдюжины критических уязвимостей, выбивших почти десяточку по шкале CVSS 3.1, и многое другое. За подробностями добро пожаловать на наш Хабр!
❤4🔥2
#news Злоумышленники могут с лёгкостью угонять аккаунты WhatsApp с помощью переадресации звонков.
Немного социальной инженерии, звонок пользователя по MMI-коду, и последующие звонки на его телефон переадресуют на указанный номер. Дальше злоумышленнику достаточно лишь получить голосовое с кодом на перерегистрацию WhatsApp, и у него будет полный доступ к контактам и сообщениям жертвы.
Всё это сработает далеко не всегда: здесь и социнженерия, и уведомление о настройке переадресации, и смс от WhatsApp. Тем не менее, метод рабочий. Лучшей защитой здесь будет двухфакторная аутентификация. Если почему-то ещё вдруг не озаботились, вот отличный повод настроить её вообще везде.
@tomhunter
Немного социальной инженерии, звонок пользователя по MMI-коду, и последующие звонки на его телефон переадресуют на указанный номер. Дальше злоумышленнику достаточно лишь получить голосовое с кодом на перерегистрацию WhatsApp, и у него будет полный доступ к контактам и сообщениям жертвы.
Всё это сработает далеко не всегда: здесь и социнженерия, и уведомление о настройке переадресации, и смс от WhatsApp. Тем не менее, метод рабочий. Лучшей защитой здесь будет двухфакторная аутентификация. Если почему-то ещё вдруг не озаботились, вот отличный повод настроить её вообще везде.
@tomhunter
🤯6😱2🤬1
#news В самом популярном софте для корпоративных баз знаний от Atlassian обнаружена критическая уязвимость нулевого дня, которую активно используют злоумышленники.
RCE-уязвимость присутствует во многих версиях Confluence Server и Data Center, активнее всего эксплойтят 7.18.0. В ожидании патча единственным средством остаётся только отключить сервера, либо запретив скомпрометированному ПО доступ в сеть, либо вырубив его. Дело серьёзное настолько, что Агенство по кибербезопасности США потребовало у всех ведомств немедленно обрубить траффик к Atlassian-серверам.
Оно и неудивительно, с учётом того, что уязвимость активно используют китайские группировки. Старый-добрый кибершпионаж от прозорливого китайского дракона.
@tomhunter
RCE-уязвимость присутствует во многих версиях Confluence Server и Data Center, активнее всего эксплойтят 7.18.0. В ожидании патча единственным средством остаётся только отключить сервера, либо запретив скомпрометированному ПО доступ в сеть, либо вырубив его. Дело серьёзное настолько, что Агенство по кибербезопасности США потребовало у всех ведомств немедленно обрубить траффик к Atlassian-серверам.
Оно и неудивительно, с учётом того, что уязвимость активно используют китайские группировки. Старый-добрый кибершпионаж от прозорливого китайского дракона.
@tomhunter
🔥7🤯1
#news Мои коллеги из отдела расследований T.Hunter завели собственные блоги в Telegram. Не могу не приветствовать их начинание и рекомендую подписаться на @CyberScoutszametki и @volcandynamite. А те, кто живет в Москве, могут с ними встретиться 6 июня и обсудить вопросы кибердетективной деятельности на конференции «Страховое мошенничество в России…». Зарегистрироваться можно по ссылке.
@tomhunter
@tomhunter
❤8🔥3💩3
#news В России набирает популярность новой мошеннической схемы. Злоумышленники обманом получают доступ к аккаунтам абонентов сотовой связи, представляясь службой поддержки клиентов оператора. Вне зависимости от предлога результат один: мошенник просит сообщить код из SMS, чтобы подтвердить изменения. Дальше преступники настраивают переадресацию вызовов и сообщений, чтобы перехватывать аутентификационные коды для подтверждения операций. Это позволяет снять деньги с карт жертвы, оформить на неё кредиты, подписаться на платные сервисы и т.д.
@tomhunter
@tomhunter
😱5❤1
#news Атаки BitB вызывают все большее беспокойство... BitB (браузер в браузере) — это новый метод фишинга, который копирует всплывающие окна, используемые для единого входа, с целью кражи учетных данных для входа. Атака использует комбинацию HTML и CSS для имитации поддельного дизайна браузера в браузере, который неотличим от настоящей страницы авторизации. Атаки BitB особенно опасны, поскольку они могут предоставить жертве законный URL-адрес на фишинговом сайте.
В мае была выявлена компания, нацеленная на финансовые учреждения и использующая фиктивную форму авторизации а-ля Office 365 (O365). Чтобы получить простое представление о том, как работает атака BitB, можно изучить следующие статью и репозиторий. Поскольку атака основана на коде HTML, ее трудно обнаружить и трудно создать индикатор компрометации (IOC). Один из возможных способов обнаружения — проверить, может ли всплывающее окно SSO выйти за пределы браузера.
@tomhunter
В мае была выявлена компания, нацеленная на финансовые учреждения и использующая фиктивную форму авторизации а-ля Office 365 (O365). Чтобы получить простое представление о том, как работает атака BitB, можно изучить следующие статью и репозиторий. Поскольку атака основана на коде HTML, ее трудно обнаружить и трудно создать индикатор компрометации (IOC). Один из возможных способов обнаружения — проверить, может ли всплывающее окно SSO выйти за пределы браузера.
@tomhunter
🔥7😁1💩1
#news Федор Ряузов и Саид Табаев выступили в панельной дискуссии о кибербуллинге и кибершантаже и поделились своими впечатлениями. По их словам, ожидали, что будет «лебедь, рак, да щука» в силу разницы направлений спикеров. Однако, по результатам спикеры пришли к общему консенсусу. Радует также, что разговор был интенсивным и разноплановым, и сам факт того, что такие современные темы и острые вопросы были затронуты — это шаг в правильном направлении.
В 2022 году ЦИПР объединил в себе бизнес-форум и выставочное пространство, где компании представили свои новые разработки и концептуальные решения: роботы-охранники с модулями обнаружения газа, дроны с алгоритмом облета периметра, электронные стетоскопы, VR программа реабилитации после инсульта, VR симуляторы работы с тяжелой техникой и многое другое.
Эксперты департамента информационно-аналитических исследований T.Hunter отметили, что в целом мероприятие было насыщенным, актуальным, полезным.
▶️ https://youtu.be/f1v_o5bmVrY
@tomhunter
В 2022 году ЦИПР объединил в себе бизнес-форум и выставочное пространство, где компании представили свои новые разработки и концептуальные решения: роботы-охранники с модулями обнаружения газа, дроны с алгоритмом облета периметра, электронные стетоскопы, VR программа реабилитации после инсульта, VR симуляторы работы с тяжелой техникой и многое другое.
Эксперты департамента информационно-аналитических исследований T.Hunter отметили, что в целом мероприятие было насыщенным, актуальным, полезным.
▶️ https://youtu.be/f1v_o5bmVrY
@tomhunter
❤8
#news Занятные подробности по краху крипты Luna. Сетевой валидатор THORmaximalist слил скрины переписки руководителей сети. И судя по ним, в день падения валюты с Луны на Землю те вообще не понимали, что происходит и что с этим делать.
Хаос там творился такой, что валидаторы банально не знали последовательность запуска сети после её временной остановки 12 мая и не могли понять, готова ли она к повторному запуску. Что уж говорить об удержании Luna от неконтролируемого схода с орбиты.
Сам же До Квон, как пишут южнокорейские СМИ, незадолго до краха своего крипто-МММ ликвидировал офисы и распустил корпорацию Terraform Labs. Что ж, очевидно, с коллегами по цифровой пирамиде инсайтами финансовый гений поделиться забыл.
@tomhunter
Хаос там творился такой, что валидаторы банально не знали последовательность запуска сети после её временной остановки 12 мая и не могли понять, готова ли она к повторному запуску. Что уж говорить об удержании Luna от неконтролируемого схода с орбиты.
Сам же До Квон, как пишут южнокорейские СМИ, незадолго до краха своего крипто-МММ ликвидировал офисы и распустил корпорацию Terraform Labs. Что ж, очевидно, с коллегами по цифровой пирамиде инсайтами финансовый гений поделиться забыл.
@tomhunter
😁14💩1
#news Тем временем Федеральная торговая комиссия США сообщает, что за прошедший год американцы потеряли на криптовалютном мошенничестве $1.6 миллиарда долларов.
С прошлогоднего отчёта сумма выросла в семь раз, и четверть всех денег, уходивших мошенникам в целом, была в крипте. И более половины жертв лишились средств, купившись на объявления, посты и сообщения в соцсетях.
Ожидаемо, правят бал инвестиционные мошенничества — больше трети суммы. Комиссия рекомендует избегать предложений с обещаниями гарантированных и солидных дивидендов. После этих слов в лунном шаттле 2.0 начался сущий кошмар…
@tomhunter
С прошлогоднего отчёта сумма выросла в семь раз, и четверть всех денег, уходивших мошенникам в целом, была в крипте. И более половины жертв лишились средств, купившись на объявления, посты и сообщения в соцсетях.
Ожидаемо, правят бал инвестиционные мошенничества — больше трети суммы. Комиссия рекомендует избегать предложений с обещаниями гарантированных и солидных дивидендов. После этих слов в лунном шаттле 2.0 начался сущий кошмар…
@tomhunter
🔥6🤔1
#news В первом квартале 2022 года общее число жертв программ-вымогателей сократилось на 40%: с 982 в четвертом квартале 2021 года до 698. Отчасти это произошло из-за постепенного упадка и возможного исхода Conti, а также из-за того, что новые группы не производили таких же объемов атак. Лидером за этот период является LockBit, заразивший 226 жертв, почти столько же, сколько и в предыдущем квартале. США возглавили список наиболее целевых стран с 40%, за ними следуют Великобритания, Италия, Германия и Канада. Франция, которая ранее входила в первую пятерку, в последние месяцы не подвергалась такой атаке.
@tomhunter
@tomhunter
🔥5