#news Ещё один занятный пример слабоумия и отваги из мира рансомвари. Некая группа хакеров пытается шантажировать компанию MBDA, крупнейшего производителя ракетных систем Евросоюза. Злоумышленники утверждают, что взломали их сети и стянули 60GB конфиденциальных данных, включая проектную документацию.
Компания же заявила, что взлома не было, но к шантажистам неким образом попал их внешний жёсткий, и ничего засекреченного на нём нет. Кто привирает, пока неясно.
@tomhunter
Компания же заявила, что взлома не было, но к шантажистам неким образом попал их внешний жёсткий, и ничего засекреченного на нём нет. Кто привирает, пока неясно.
@tomhunter
❤4🔥2
#news И вновь в эфире обокраденный блокчейн. Около 8,000 кошельков на Solana взломали и украли с них $5 миллионов разными токенами и NFT. Короткий ответ от компании касаемо того, что происходит: «Мы не знаем». Но транзакции подписаны самими владельцами, так что ключи, видимо, были скомпрометированы.
Безопасники из Elliptic считают, что на этот раз был баг в софте кошельков, а не в самом блокчейне (затронуты Slope, Phantom, Solflare и Trust Wallet). Атака через цепочку поставок, нулёвой день в браузере, косяк в генераторе ключей, баг переиспользования nonce-числа — пока есть только догадки. И 8,000 человек, лишившиеся цифровых накоплений.
@tomhunter
Безопасники из Elliptic считают, что на этот раз был баг в софте кошельков, а не в самом блокчейне (затронуты Slope, Phantom, Solflare и Trust Wallet). Атака через цепочку поставок, нулёвой день в браузере, косяк в генераторе ключей, баг переиспользования nonce-числа — пока есть только догадки. И 8,000 человек, лишившиеся цифровых накоплений.
@tomhunter
🔥10
#news Как поднять на уши всех пользователей Гитхаба? Заявить, что ты раскрыл масштабную малварь-атаку, в которой заражены 35 тысяч репозиториев. С такого захода вчера начал тред в Твиттере один разработчик.
Как быстро выяснилось, никакие репозитории не скомпрометированы — речь шла о недельных клонах с вшитой малварью. И их было не десятки тысяч: любитель сенсаций вбил в поиск случайно обнаруженную в коде вредоносную ссылку, нашёл 35к результатов в файлах и настрочил пост. Гитхаб всё поудалял в тот же день. А в тред к автору пришёл якобы владелец зловредного сервера и заявил, что так тестирует баг для BB-программы. С помощью малвари, тянущей переменные среды… Ну, обычный день на Гитхабе.
@tomhunter
Как быстро выяснилось, никакие репозитории не скомпрометированы — речь шла о недельных клонах с вшитой малварью. И их было не десятки тысяч: любитель сенсаций вбил в поиск случайно обнаруженную в коде вредоносную ссылку, нашёл 35к результатов в файлах и настрочил пост. Гитхаб всё поудалял в тот же день. А в тред к автору пришёл якобы владелец зловредного сервера и заявил, что так тестирует баг для BB-программы. С помощью малвари, тянущей переменные среды… Ну, обычный день на Гитхабе.
@tomhunter
😁22
#news Все системы ассоциации немецких торгово-промышленных палат ушли оффлайн — их отключили после атаки. Сайты, телефония, почтовые сервера. Скорее всего, рансомварь.
Работа систем встала по всей Германии, и пока неясно, кто стоит за масштабной атакой. Когда удастся восстановить работу, компания оценить тоже не в состоянии. Между тем она обслуживает 3 миллиона бизнесов со всей страны от мелких лавочек до крупнейших предприятий. Так что последствия взлома и убытки от простоя могут быть довольно серьёзными.
@tomhunter
Работа систем встала по всей Германии, и пока неясно, кто стоит за масштабной атакой. Когда удастся восстановить работу, компания оценить тоже не в состоянии. Между тем она обслуживает 3 миллиона бизнесов со всей страны от мелких лавочек до крупнейших предприятий. Так что последствия взлома и убытки от простоя могут быть довольно серьёзными.
@tomhunter
🤯7😁2🤔1🤬1
#news Google сделал "красиво" всем любителям доркингового OSINT-а. Раньше при указании запроса в кавычках в выдаче часто появлялись страницы, описание которых не позволяло понять, есть ли там искомые слова и в каком они контексте. Приходилось открывать каждый сайт и проверять вручную. Теперь поиск стал умнее. Сейчас в выдаче будут отображаться именно те фрагменты страниц, где найден текст или фраза, которую пользователь заключил в кавычки.
@tomhunter
@tomhunter
🔥14🤡7💯2
#news Твиттер выпустил официальное заявление по следам недавней утечки личных данных пользователей, в которой было заявлено 5.5 миллионов пострадавших аккаунтов. И звучит оно не особо воодушевляюще.
Сколько аккаунтов оказалось скомпрометировано по следам эксплойта уязвимости, они не знают. Ну и в сущности заявление сводится к «Нам очень жаль, если ваш аккаунт был псевдоанонимным: мы понимаем, что утечка может для вас иметь неприятные последствия. Советуем использовать только одноразовые мобильники, потому что мы сами себе не доверяем». Условному иранскому или саудитскому диссиденту теперь не позавидуешь.
@tomhunter
Сколько аккаунтов оказалось скомпрометировано по следам эксплойта уязвимости, они не знают. Ну и в сущности заявление сводится к «Нам очень жаль, если ваш аккаунт был псевдоанонимным: мы понимаем, что утечка может для вас иметь неприятные последствия. Советуем использовать только одноразовые мобильники, потому что мы сами себе не доверяем». Условному иранскому или саудитскому диссиденту теперь не позавидуешь.
@tomhunter
😁10🤬1
По следам жаркого июля традиционно разбираем самые горячие новости ушедшего месяца. Из интересного сегодня занимательный метод кражи данных с не подключённых к сети машин, рекордная по масштабам и нелепости утечка личных данных из Китая, небольшой Митрегейт, инновации в бизнес-схемах эффективных менеджеров от мира киберпреступности и другие любопытные события. За подробностями добро пожаловать на наш Хабр!
🔥9❤2
#news Ещё один криптомиксер попал под санкции США: ожидаемая судьба постигла Tornado Cash. Теперь все операции с ним в штатах и для их граждан запрещены, а его владельцам в Америке придётся несладко. Между тем его основатели — наши соотечественники.
В принципе, ничего удивительного: через эту криптолавочку последние месяцы отмывали сотни миллионов чуть ли не со всех громких краж с блокчейнов. Отмывали северокорейцы из Lazarus. Так что а-та-та от штатов было просто вопросом времени. Смарт-контракты смарт-контрактами, но у Дяди Сэма свои геополитические интересы. Что ему этот ваш блокчейн.
@tomhunter
В принципе, ничего удивительного: через эту криптолавочку последние месяцы отмывали сотни миллионов чуть ли не со всех громких краж с блокчейнов. Отмывали северокорейцы из Lazarus. Так что а-та-та от штатов было просто вопросом времени. Смарт-контракты смарт-контрактами, но у Дяди Сэма свои геополитические интересы. Что ему этот ваш блокчейн.
@tomhunter
🔥7😁5🤯1
#news В списке сливов данных от российских компаний весна-лето 2022 вновь пополнение. В сети оказалась база программы лояльности Tele2. 7,5 миллионов строк с номерами, именами и ящиками участников. По словам компании, взломали их поставщика BSS, сами они не при делах, да и ничего конфиденциального там всё равно нет.
В даркнете сейчас, к слову, рекорды по числу слитых российских баз — добили пять десятков. Тем временем грядущий закон об утечках сильно смягчили и сделали двухэтапным после совещания с крупными компаниями. Видимо, чтобы те могли отрицать новые взломы и съезжать на минимальных штрафах. Смекалочка!
@tomhunter
В даркнете сейчас, к слову, рекорды по числу слитых российских баз — добили пять десятков. Тем временем грядущий закон об утечках сильно смягчили и сделали двухэтапным после совещания с крупными компаниями. Видимо, чтобы те могли отрицать новые взломы и съезжать на минимальных штрафах. Смекалочка!
@tomhunter
🤔9🤬4😢3
#news Неожиданное следствие СВО. Мессенджер Telegram за полгода увеличил аудиторию в России на 66% — с 25 млн в январе до 41,5 млн человек в сутки в июле. Основной скачок случился в марте — сразу до 40,6 млн по сравнению с 27,5 млн в феврале.
@tomhunter
@tomhunter
🤔12🔥2💩2
#news Облачные сервисы Twilio и Cloudflare подверглись фишинговой атаке по смс. В обеих компаниях работники клюнули на наживку и слили свои учётки и пароли на подставных сайтах. У первых злоумышленники получили доступ к системам и «некоторым данным пользователей». А у Cloudflare обошлось, так как у них в ходу физические ключи безопасности.
Кто стоит за атакой, пока неизвестно. На скринах примеры полученных сообщений aka гениальной социнженерии. Как мало всё-таки нужно злоумышленнику для своих тёмных дел! «Good day sir, please login», и готово.
@tomhunter
Кто стоит за атакой, пока неизвестно. На скринах примеры полученных сообщений aka гениальной социнженерии. Как мало всё-таки нужно злоумышленнику для своих тёмных дел! «Good day sir, please login», и готово.
@tomhunter
😁15🤡2❤1
#news Как выглядит рансомварь-атака на компанию, у которой удача на единичке? За две недели три разных группировки заходят в их системы и дружно шифруют файлы. Уникальный в своей курьёзности случай.
У неназванного автопоставщика был неверно настроен файрвол, и начальный доступ ушёл на продажу. За дело взялись LockBit, Hive и BlackCat. Из-за того, что две атаки шли с разницей в пару часов, с работавшими параллельно энкрипторами часть файлов оказалась зашифрована аж пять раз. А через пару недель зашла третья группировка, стёрла теневые копии и почистила журнал событий. Вопрос на миллион: сколько раз компании теперь платить выкуп?
@tomhunter
У неназванного автопоставщика был неверно настроен файрвол, и начальный доступ ушёл на продажу. За дело взялись LockBit, Hive и BlackCat. Из-за того, что две атаки шли с разницей в пару часов, с работавшими параллельно энкрипторами часть файлов оказалась зашифрована аж пять раз. А через пару недель зашла третья группировка, стёрла теневые копии и почистила журнал событий. Вопрос на миллион: сколько раз компании теперь платить выкуп?
@tomhunter
😁26🤡5🔥2🤔2
Новая интересная статья, которая посвящена разбору уязвимости Dirty Pipe и непосредственно эксплоита, позволяющего ею воспользоваться для локального повышения привилегий. Напомним, что уязвимость Dirty Pipe была обнаружена в ядре Linux исследователем Максом Келлерманном. Будем надеяться, что данная статья поможет изучить какие-нибудь более сложные уязвимости/ эксплоиты или погрузиться в исходный код ядра Linux :)
🔥11
#news Cisco подтвердила, что в конце мая их взломали. Хакеры из Yanluowang вытянули данные доступа одного из сотрудников, завалив его 2FA-запросами и фишинговыми звонками под видом техподдержки. Пока их не выкинули из системы, злоумышленники стянули 2.75GB данных.
Вчера инфа о взломе появилась на сайте группировки. Компания заявила, что ничего серьёзного не украли. Между тем взломщики утверждают, что у них на руках конфиденциальные документы, дампы баз и инженерные чертежи. Но судя по молчанию в ответ на заботливое «Как дела?» от хакеров, с выкупом совсем не сложилось.
@tomhunter
Вчера инфа о взломе появилась на сайте группировки. Компания заявила, что ничего серьёзного не украли. Между тем взломщики утверждают, что у них на руках конфиденциальные документы, дампы баз и инженерные чертежи. Но судя по молчанию в ответ на заботливое «Как дела?» от хакеров, с выкупом совсем не сложилось.
@tomhunter
🔥6😁4🤔1
#news Находчивому умельцу из Бельгии удалось взломать терминал Starlink. С помощью атаки на внедрение уязвимости он закоротил тарелку, обошёл её защиту и пропатчил загрузчик, получив тем самым рут-права. Причём сделал он это с помощью собранной на коленке платы за 25 баксов — мод-чипа, подключённого к вскрытой тарелке Starlink. Такие вот очумелые ручки.
Анонс своего выступления на Black Hat с докладом хитрец запостил со взломанного же терминала. И ответка от компании тоже хороша: они опубликовали отчёт на шесть страниц о своих инфобез-стандартах и призвали исследователей слать им баги. А заодно поздравили спеца и указали на ограничения найденной им уязвимости.
@tomhunter
Анонс своего выступления на Black Hat с докладом хитрец запостил со взломанного же терминала. И ответка от компании тоже хороша: они опубликовали отчёт на шесть страниц о своих инфобез-стандартах и призвали исследователей слать им баги. А заодно поздравили спеца и указали на ограничения найденной им уязвимости.
@tomhunter
🔥18😁1
#news Злоключения Conti не закончились с их децентрализованным уходом под вывески других группировок. Штаты всё так же предлагают $10 миллионов за информацию о них. Только теперь благодаря недавним сливам Штирлица в их рядах поиск сузился до пяти ключевых членов. В наличии предполагаемое фото одного из Conti-воротил.
Ники у подозреваемых не очень отечественные за исключением неких Профессора и Решаева. Но вот шапочка на фото весьма характерная. На нём якобы изображён некто Target, офис-менеджер группировки с опытом работы в органах. «Это член Conti известный как Target?» — интересуется госдепартамент США. Что ж, узнаем в следующих сериях.
@tomhunter
Ники у подозреваемых не очень отечественные за исключением неких Профессора и Решаева. Но вот шапочка на фото весьма характерная. На нём якобы изображён некто Target, офис-менеджер группировки с опытом работы в органах. «Это член Conti известный как Target?» — интересуется госдепартамент США. Что ж, узнаем в следующих сериях.
@tomhunter
🤔9😁7🤯2
#news Конец недели принёс занятный прецедент из мира криптомиксеров. В Нидерландах арестовали разработчика Tornado Cash, недавно попавшего под санкции США. Некоего Алексея Перцева подозревают в отмывании денег и организации нелегальных финансовых потоков. Тех самых, которые северокорейские и прочие хакеры прогоняли через их платформу. И новые аресты, похоже, на подходе.
Вот тебе и блокчейн. Как видно, разглагольствования в Твиттере про смарт-контракты и децентрализацию не особо помогают: в глазах старомодной Фемиды и зубров из высоких кабинетов ты не проводник цифрового будущего, а всего-навсего северокорейский ландромат.
@tomhunter
Вот тебе и блокчейн. Как видно, разглагольствования в Твиттере про смарт-контракты и децентрализацию не особо помогают: в глазах старомодной Фемиды и зубров из высоких кабинетов ты не проводник цифрового будущего, а всего-навсего северокорейский ландромат.
@tomhunter
🤯10😁5🤬2💩1
#news Исследователи насчитали в сети более 9000 незапароленных VNC-серверов в открытом доступе. Между тем среди них есть системы по контролю на промышленном производстве — SCADA, HMI и рабочие станции.
При этом в отчёт не вошли сервера с паролями в духе «111» — тогда бы их число многократно выросло. И за месяц в Cyble отследили более 6 миллионов запросов по дефолтному VNC-порту 5900. Пока безопасники учат офисных хомячков не кликать куда не следует, на производстве всем желающим разыграть восстание машин предоставляют удобные интерфейсы.
@tomhunter
При этом в отчёт не вошли сервера с паролями в духе «111» — тогда бы их число многократно выросло. И за месяц в Cyble отследили более 6 миллионов запросов по дефолтному VNC-порту 5900. Пока безопасники учат офисных хомячков не кликать куда не следует, на производстве всем желающим разыграть восстание машин предоставляют удобные интерфейсы.
@tomhunter
😁10
#news В новой версии банковского трояна SOVA под Андроид появился рансомварь-модуль. Меньше чем за полгода малварь трижды сменила версию и теперь нацелена на 200 всевозможных банковских и крипто- приложений по всему миру.
Появление в нём рансомвари, пожалуй, самая интересная часть, так как это пока редкость. С учётом того, что на телефонах хранят всё больше важной информации, их шифрование становится всё более привлекательным рынком. И его солидную часть займут такие стремительно эволюционирующие пионеры, как SOVA. Хоть курсы мобильного инфобеза для самых маленьких юзеров открывай.
@tomhunter
Появление в нём рансомвари, пожалуй, самая интересная часть, так как это пока редкость. С учётом того, что на телефонах хранят всё больше важной информации, их шифрование становится всё более привлекательным рынком. И его солидную часть займут такие стремительно эволюционирующие пионеры, как SOVA. Хоть курсы мобильного инфобеза для самых маленьких юзеров открывай.
@tomhunter
🔥11💯4🤯1
#news Приз за самый оригинальный вектор атаки этого лета получает некто devfather777. Злоумышленник загрузил дюжину тайпсквот-пакетов с малварью на репозиторий Python. При установке которых компьютер подключается к ботнету… ддосящему российский сервер Counter-Strike 1.6.
Причём малварь на C++ относительно новая — её обнаруживают только 11 из 69 антивирусов на VirusTotal. И что ещё занятней, в ней использован алгоритм генерации домена на случай, если не подтянется конфигурация с захардкоженного URL. Когда тебя нагнули на Dust 2, а ты вернулся с дудосом… Ну что, сынок, где теперь твой слонобой?
@tomhunter
Причём малварь на C++ относительно новая — её обнаруживают только 11 из 69 антивирусов на VirusTotal. И что ещё занятней, в ней использован алгоритм генерации домена на случай, если не подтянется конфигурация с захардкоженного URL. Когда тебя нагнули на Dust 2, а ты вернулся с дудосом… Ну что, сынок, где теперь твой слонобой?
@tomhunter
😁24❤2
#news Рансомварь-группировка Clop взломала компанию по водоснабжению в Англии, стянув 5TB данных. Переговоры по выкупу несмотря на рекордную жару якобы зашли в тупик, и злоумышленники начали публиковать инфу. Но есть нюанс…
В заявлении группировки указана совсем не та компания, которую они взломали и чьи документы выложили в открытый доступ. Упомянутая назвала взлом уткой, а взломанная продолжает работу. Похоже, в клоповой бухгалтерии всё перепутали, и ребята шантажировали немножко не туда. Ну, со всей этой публичностью выкупа неудачливым взломщикам уже точно не видать. Неловко вышло.
@tomhunter
В заявлении группировки указана совсем не та компания, которую они взломали и чьи документы выложили в открытый доступ. Упомянутая назвала взлом уткой, а взломанная продолжает работу. Похоже, в клоповой бухгалтерии всё перепутали, и ребята шантажировали немножко не туда. Ну, со всей этой публичностью выкупа неудачливым взломщикам уже точно не видать. Неловко вышло.
@tomhunter
😁21