#news Твиттер выпустил официальное заявление по следам недавней утечки личных данных пользователей, в которой было заявлено 5.5 миллионов пострадавших аккаунтов. И звучит оно не особо воодушевляюще.
Сколько аккаунтов оказалось скомпрометировано по следам эксплойта уязвимости, они не знают. Ну и в сущности заявление сводится к «Нам очень жаль, если ваш аккаунт был псевдоанонимным: мы понимаем, что утечка может для вас иметь неприятные последствия. Советуем использовать только одноразовые мобильники, потому что мы сами себе не доверяем». Условному иранскому или саудитскому диссиденту теперь не позавидуешь.
@tomhunter
Сколько аккаунтов оказалось скомпрометировано по следам эксплойта уязвимости, они не знают. Ну и в сущности заявление сводится к «Нам очень жаль, если ваш аккаунт был псевдоанонимным: мы понимаем, что утечка может для вас иметь неприятные последствия. Советуем использовать только одноразовые мобильники, потому что мы сами себе не доверяем». Условному иранскому или саудитскому диссиденту теперь не позавидуешь.
@tomhunter
😁10🤬1
По следам жаркого июля традиционно разбираем самые горячие новости ушедшего месяца. Из интересного сегодня занимательный метод кражи данных с не подключённых к сети машин, рекордная по масштабам и нелепости утечка личных данных из Китая, небольшой Митрегейт, инновации в бизнес-схемах эффективных менеджеров от мира киберпреступности и другие любопытные события. За подробностями добро пожаловать на наш Хабр!
🔥9❤2
#news Ещё один криптомиксер попал под санкции США: ожидаемая судьба постигла Tornado Cash. Теперь все операции с ним в штатах и для их граждан запрещены, а его владельцам в Америке придётся несладко. Между тем его основатели — наши соотечественники.
В принципе, ничего удивительного: через эту криптолавочку последние месяцы отмывали сотни миллионов чуть ли не со всех громких краж с блокчейнов. Отмывали северокорейцы из Lazarus. Так что а-та-та от штатов было просто вопросом времени. Смарт-контракты смарт-контрактами, но у Дяди Сэма свои геополитические интересы. Что ему этот ваш блокчейн.
@tomhunter
В принципе, ничего удивительного: через эту криптолавочку последние месяцы отмывали сотни миллионов чуть ли не со всех громких краж с блокчейнов. Отмывали северокорейцы из Lazarus. Так что а-та-та от штатов было просто вопросом времени. Смарт-контракты смарт-контрактами, но у Дяди Сэма свои геополитические интересы. Что ему этот ваш блокчейн.
@tomhunter
🔥7😁5🤯1
#news В списке сливов данных от российских компаний весна-лето 2022 вновь пополнение. В сети оказалась база программы лояльности Tele2. 7,5 миллионов строк с номерами, именами и ящиками участников. По словам компании, взломали их поставщика BSS, сами они не при делах, да и ничего конфиденциального там всё равно нет.
В даркнете сейчас, к слову, рекорды по числу слитых российских баз — добили пять десятков. Тем временем грядущий закон об утечках сильно смягчили и сделали двухэтапным после совещания с крупными компаниями. Видимо, чтобы те могли отрицать новые взломы и съезжать на минимальных штрафах. Смекалочка!
@tomhunter
В даркнете сейчас, к слову, рекорды по числу слитых российских баз — добили пять десятков. Тем временем грядущий закон об утечках сильно смягчили и сделали двухэтапным после совещания с крупными компаниями. Видимо, чтобы те могли отрицать новые взломы и съезжать на минимальных штрафах. Смекалочка!
@tomhunter
🤔9🤬4😢3
#news Неожиданное следствие СВО. Мессенджер Telegram за полгода увеличил аудиторию в России на 66% — с 25 млн в январе до 41,5 млн человек в сутки в июле. Основной скачок случился в марте — сразу до 40,6 млн по сравнению с 27,5 млн в феврале.
@tomhunter
@tomhunter
🤔12🔥2💩2
#news Облачные сервисы Twilio и Cloudflare подверглись фишинговой атаке по смс. В обеих компаниях работники клюнули на наживку и слили свои учётки и пароли на подставных сайтах. У первых злоумышленники получили доступ к системам и «некоторым данным пользователей». А у Cloudflare обошлось, так как у них в ходу физические ключи безопасности.
Кто стоит за атакой, пока неизвестно. На скринах примеры полученных сообщений aka гениальной социнженерии. Как мало всё-таки нужно злоумышленнику для своих тёмных дел! «Good day sir, please login», и готово.
@tomhunter
Кто стоит за атакой, пока неизвестно. На скринах примеры полученных сообщений aka гениальной социнженерии. Как мало всё-таки нужно злоумышленнику для своих тёмных дел! «Good day sir, please login», и готово.
@tomhunter
😁15🤡2❤1
#news Как выглядит рансомварь-атака на компанию, у которой удача на единичке? За две недели три разных группировки заходят в их системы и дружно шифруют файлы. Уникальный в своей курьёзности случай.
У неназванного автопоставщика был неверно настроен файрвол, и начальный доступ ушёл на продажу. За дело взялись LockBit, Hive и BlackCat. Из-за того, что две атаки шли с разницей в пару часов, с работавшими параллельно энкрипторами часть файлов оказалась зашифрована аж пять раз. А через пару недель зашла третья группировка, стёрла теневые копии и почистила журнал событий. Вопрос на миллион: сколько раз компании теперь платить выкуп?
@tomhunter
У неназванного автопоставщика был неверно настроен файрвол, и начальный доступ ушёл на продажу. За дело взялись LockBit, Hive и BlackCat. Из-за того, что две атаки шли с разницей в пару часов, с работавшими параллельно энкрипторами часть файлов оказалась зашифрована аж пять раз. А через пару недель зашла третья группировка, стёрла теневые копии и почистила журнал событий. Вопрос на миллион: сколько раз компании теперь платить выкуп?
@tomhunter
😁26🤡5🔥2🤔2
Новая интересная статья, которая посвящена разбору уязвимости Dirty Pipe и непосредственно эксплоита, позволяющего ею воспользоваться для локального повышения привилегий. Напомним, что уязвимость Dirty Pipe была обнаружена в ядре Linux исследователем Максом Келлерманном. Будем надеяться, что данная статья поможет изучить какие-нибудь более сложные уязвимости/ эксплоиты или погрузиться в исходный код ядра Linux :)
🔥11
#news Cisco подтвердила, что в конце мая их взломали. Хакеры из Yanluowang вытянули данные доступа одного из сотрудников, завалив его 2FA-запросами и фишинговыми звонками под видом техподдержки. Пока их не выкинули из системы, злоумышленники стянули 2.75GB данных.
Вчера инфа о взломе появилась на сайте группировки. Компания заявила, что ничего серьёзного не украли. Между тем взломщики утверждают, что у них на руках конфиденциальные документы, дампы баз и инженерные чертежи. Но судя по молчанию в ответ на заботливое «Как дела?» от хакеров, с выкупом совсем не сложилось.
@tomhunter
Вчера инфа о взломе появилась на сайте группировки. Компания заявила, что ничего серьёзного не украли. Между тем взломщики утверждают, что у них на руках конфиденциальные документы, дампы баз и инженерные чертежи. Но судя по молчанию в ответ на заботливое «Как дела?» от хакеров, с выкупом совсем не сложилось.
@tomhunter
🔥6😁4🤔1
#news Находчивому умельцу из Бельгии удалось взломать терминал Starlink. С помощью атаки на внедрение уязвимости он закоротил тарелку, обошёл её защиту и пропатчил загрузчик, получив тем самым рут-права. Причём сделал он это с помощью собранной на коленке платы за 25 баксов — мод-чипа, подключённого к вскрытой тарелке Starlink. Такие вот очумелые ручки.
Анонс своего выступления на Black Hat с докладом хитрец запостил со взломанного же терминала. И ответка от компании тоже хороша: они опубликовали отчёт на шесть страниц о своих инфобез-стандартах и призвали исследователей слать им баги. А заодно поздравили спеца и указали на ограничения найденной им уязвимости.
@tomhunter
Анонс своего выступления на Black Hat с докладом хитрец запостил со взломанного же терминала. И ответка от компании тоже хороша: они опубликовали отчёт на шесть страниц о своих инфобез-стандартах и призвали исследователей слать им баги. А заодно поздравили спеца и указали на ограничения найденной им уязвимости.
@tomhunter
🔥18😁1
#news Злоключения Conti не закончились с их децентрализованным уходом под вывески других группировок. Штаты всё так же предлагают $10 миллионов за информацию о них. Только теперь благодаря недавним сливам Штирлица в их рядах поиск сузился до пяти ключевых членов. В наличии предполагаемое фото одного из Conti-воротил.
Ники у подозреваемых не очень отечественные за исключением неких Профессора и Решаева. Но вот шапочка на фото весьма характерная. На нём якобы изображён некто Target, офис-менеджер группировки с опытом работы в органах. «Это член Conti известный как Target?» — интересуется госдепартамент США. Что ж, узнаем в следующих сериях.
@tomhunter
Ники у подозреваемых не очень отечественные за исключением неких Профессора и Решаева. Но вот шапочка на фото весьма характерная. На нём якобы изображён некто Target, офис-менеджер группировки с опытом работы в органах. «Это член Conti известный как Target?» — интересуется госдепартамент США. Что ж, узнаем в следующих сериях.
@tomhunter
🤔9😁7🤯2
#news Конец недели принёс занятный прецедент из мира криптомиксеров. В Нидерландах арестовали разработчика Tornado Cash, недавно попавшего под санкции США. Некоего Алексея Перцева подозревают в отмывании денег и организации нелегальных финансовых потоков. Тех самых, которые северокорейские и прочие хакеры прогоняли через их платформу. И новые аресты, похоже, на подходе.
Вот тебе и блокчейн. Как видно, разглагольствования в Твиттере про смарт-контракты и децентрализацию не особо помогают: в глазах старомодной Фемиды и зубров из высоких кабинетов ты не проводник цифрового будущего, а всего-навсего северокорейский ландромат.
@tomhunter
Вот тебе и блокчейн. Как видно, разглагольствования в Твиттере про смарт-контракты и децентрализацию не особо помогают: в глазах старомодной Фемиды и зубров из высоких кабинетов ты не проводник цифрового будущего, а всего-навсего северокорейский ландромат.
@tomhunter
🤯10😁5🤬2💩1
#news Исследователи насчитали в сети более 9000 незапароленных VNC-серверов в открытом доступе. Между тем среди них есть системы по контролю на промышленном производстве — SCADA, HMI и рабочие станции.
При этом в отчёт не вошли сервера с паролями в духе «111» — тогда бы их число многократно выросло. И за месяц в Cyble отследили более 6 миллионов запросов по дефолтному VNC-порту 5900. Пока безопасники учат офисных хомячков не кликать куда не следует, на производстве всем желающим разыграть восстание машин предоставляют удобные интерфейсы.
@tomhunter
При этом в отчёт не вошли сервера с паролями в духе «111» — тогда бы их число многократно выросло. И за месяц в Cyble отследили более 6 миллионов запросов по дефолтному VNC-порту 5900. Пока безопасники учат офисных хомячков не кликать куда не следует, на производстве всем желающим разыграть восстание машин предоставляют удобные интерфейсы.
@tomhunter
😁10
#news В новой версии банковского трояна SOVA под Андроид появился рансомварь-модуль. Меньше чем за полгода малварь трижды сменила версию и теперь нацелена на 200 всевозможных банковских и крипто- приложений по всему миру.
Появление в нём рансомвари, пожалуй, самая интересная часть, так как это пока редкость. С учётом того, что на телефонах хранят всё больше важной информации, их шифрование становится всё более привлекательным рынком. И его солидную часть займут такие стремительно эволюционирующие пионеры, как SOVA. Хоть курсы мобильного инфобеза для самых маленьких юзеров открывай.
@tomhunter
Появление в нём рансомвари, пожалуй, самая интересная часть, так как это пока редкость. С учётом того, что на телефонах хранят всё больше важной информации, их шифрование становится всё более привлекательным рынком. И его солидную часть займут такие стремительно эволюционирующие пионеры, как SOVA. Хоть курсы мобильного инфобеза для самых маленьких юзеров открывай.
@tomhunter
🔥11💯4🤯1
#news Приз за самый оригинальный вектор атаки этого лета получает некто devfather777. Злоумышленник загрузил дюжину тайпсквот-пакетов с малварью на репозиторий Python. При установке которых компьютер подключается к ботнету… ддосящему российский сервер Counter-Strike 1.6.
Причём малварь на C++ относительно новая — её обнаруживают только 11 из 69 антивирусов на VirusTotal. И что ещё занятней, в ней использован алгоритм генерации домена на случай, если не подтянется конфигурация с захардкоженного URL. Когда тебя нагнули на Dust 2, а ты вернулся с дудосом… Ну что, сынок, где теперь твой слонобой?
@tomhunter
Причём малварь на C++ относительно новая — её обнаруживают только 11 из 69 антивирусов на VirusTotal. И что ещё занятней, в ней использован алгоритм генерации домена на случай, если не подтянется конфигурация с захардкоженного URL. Когда тебя нагнули на Dust 2, а ты вернулся с дудосом… Ну что, сынок, где теперь твой слонобой?
@tomhunter
😁24❤2
#news Рансомварь-группировка Clop взломала компанию по водоснабжению в Англии, стянув 5TB данных. Переговоры по выкупу несмотря на рекордную жару якобы зашли в тупик, и злоумышленники начали публиковать инфу. Но есть нюанс…
В заявлении группировки указана совсем не та компания, которую они взломали и чьи документы выложили в открытый доступ. Упомянутая назвала взлом уткой, а взломанная продолжает работу. Похоже, в клоповой бухгалтерии всё перепутали, и ребята шантажировали немножко не туда. Ну, со всей этой публичностью выкупа неудачливым взломщикам уже точно не видать. Неловко вышло.
@tomhunter
В заявлении группировки указана совсем не та компания, которую они взломали и чьи документы выложили в открытый доступ. Упомянутая назвала взлом уткой, а взломанная продолжает работу. Похоже, в клоповой бухгалтерии всё перепутали, и ребята шантажировали немножко не туда. Ну, со всей этой публичностью выкупа неудачливым взломщикам уже точно не видать. Неловко вышло.
@tomhunter
😁21
#news Второй крупнейший банк Мексики нанял одну базирующуюся в Сингапуре инфобез-компанию для работы с последствиями взлома. Обычно в таких случаях утёкшие данные тихонько выкупают. Что сделали эти большие оригиналы? Начали строчить на Breached претензии и угрожать DMCA. Претензии. На хакерский форум. «Удали или пожалеешь!».
Администратор форума товарищ Pompompurin такие заходы не оценил, выкупил у хакера слитую базу и выложил в открытый доступ. 11 миллионов клиентов. И банк, и безопасники сделали вид, что ничего не произошло. Дорогая сингапурская компания! Я, э-э-э, изрядно озадачен.
@tomhunter
Администратор форума товарищ Pompompurin такие заходы не оценил, выкупил у хакера слитую базу и выложил в открытый доступ. 11 миллионов клиентов. И банк, и безопасники сделали вид, что ничего не произошло. Дорогая сингапурская компания! Я, э-э-э, изрядно озадачен.
@tomhunter
😁40💩3🤯1🎉1
#OSINT Уголовка-административка... Изучим классический трабл любой службы безопасности - как получить данные об уголовных и административных нарушениях проверяемого физлица. Добавлю от себя - еще и не нарушить законодательство, при такой проверке.
Легальных источников для проверки нарушений россиян не так много. В первую очередь, это данные судов общей юрисдикции, содержащиеся в сервисах ГАС Правосудие и СудАкт. Опускаемся на уровень ниже и находим отдельные порталы решений мировых судов по Москве и Санкт-Петербургу. У всех этих порталов есть основная беда - сложность идентификации участников судебного производства, которых могут записывать по полным ФИО, а также по фамилии и инициалам. Решается эта проблема только сужением поиска по конкретному городу, суду или статье.
Кроме этого, часть административных нарушений доступна на сайтах ГИБДД и ФССП. Чаще всего, это нарушения правил дорожного движения. Для запроса на сайте ГИБДД вам потребуется госномер автомобиля и СТС. У ФССП все проще - ФИО и дата рождения.
Наконец, доркинг (использование расширенных поисковых операторов) для поиска через Яндекс и Google. Доркинг может позволить вам искать факты нарушений как на конкретном сайте, например, СудАкте, так и по всему Интернету. Удачи!
@tomhunter
Легальных источников для проверки нарушений россиян не так много. В первую очередь, это данные судов общей юрисдикции, содержащиеся в сервисах ГАС Правосудие и СудАкт. Опускаемся на уровень ниже и находим отдельные порталы решений мировых судов по Москве и Санкт-Петербургу. У всех этих порталов есть основная беда - сложность идентификации участников судебного производства, которых могут записывать по полным ФИО, а также по фамилии и инициалам. Решается эта проблема только сужением поиска по конкретному городу, суду или статье.
Кроме этого, часть административных нарушений доступна на сайтах ГИБДД и ФССП. Чаще всего, это нарушения правил дорожного движения. Для запроса на сайте ГИБДД вам потребуется госномер автомобиля и СТС. У ФССП все проще - ФИО и дата рождения.
Наконец, доркинг (использование расширенных поисковых операторов) для поиска через Яндекс и Google. Доркинг может позволить вам искать факты нарушений как на конкретном сайте, например, СудАкте, так и по всему Интернету. Удачи!
@tomhunter
❤10
#news Опубликован эксплойт для критической уязвимости в однокристальных системах RTL819x от Realtek. CVE-2022-27255 — занятный зверь. Участия юзера или админского интерфейса в эксплойт не требует, достаточно одного UDP-пакета на айпишник устройства. А там и бэкдоры, и перехват трафика, и произвольный код, и падение устройства.
Потенциально затронуты миллионы устройств от роутеров до усилителей сигнала. Между тем патчей от многих производителей всё ещё нет. Остаётся надеяться, что эксплойт не пустят червём гулять по сети. Иначе в считанные минуты станет очень неприятно.
@tomhunter
Потенциально затронуты миллионы устройств от роутеров до усилителей сигнала. Между тем патчей от многих производителей всё ещё нет. Остаётся надеяться, что эксплойт не пустят червём гулять по сети. Иначе в считанные минуты станет очень неприятно.
@tomhunter
🔥11
#news Немного инсайтов в работу северокорейской Lazarus. Они продолжают фишинг по крупным криптокомпаниям и финтеху. На скрине пример их заманухи августа якобы от Coinbase. В новой кампании злоумышленники используют как вредонос под винду, так и подписанную в конце июля малварь под маки и на старых, и на новых процах. Хорошо знают свою целевую аудиторию, в общем.
Северокорейские стахановцы не успокаиваются в своих амбициях выполнить пятилетку по взломам за три года. Помимо ставок на новых жертв можно погадать, какой криптомиксер падёт следующим, когда смарт-контракт от цифровых парий из КНДР постучится им в соломенный блокчейн.
@tomhunter
Северокорейские стахановцы не успокаиваются в своих амбициях выполнить пятилетку по взломам за три года. Помимо ставок на новых жертв можно погадать, какой криптомиксер падёт следующим, когда смарт-контракт от цифровых парий из КНДР постучится им в соломенный блокчейн.
@tomhunter
❤13🔥2💩1
#news Группировка LockBit стояла за взломом инфобез-компании Entrust в июне. На сайте злоумышленников начался суточный отчёт до публикации стянутых данных. Всех данных, а это означает, что компания, видимо, даже не стала вступать с ними в переговоры.
Ранее Entrust заявляли, что никакие критичные системы атакой не были затронуты, так как у них всё важное в отдельных, отключённых от интернета сетях. Так что отказ от сотрудничества со взломщиками в таком случае разумнее всего: быть взломанной для ИБ-компании — хуже удара по репутации не придумаешь.
@tomhunter
Ранее Entrust заявляли, что никакие критичные системы атакой не были затронуты, так как у них всё важное в отдельных, отключённых от интернета сетях. Так что отказ от сотрудничества со взломщиками в таком случае разумнее всего: быть взломанной для ИБ-компании — хуже удара по репутации не придумаешь.
@tomhunter
🔥13