#news Пятничная новость о рекордах на DDoS-фронтах. Cloudflare отчитался об атаке на 2.5 террабита в секунду и на 26 миллионов запросов на пике. Компания сообщает, что это крупнейшая по битрейту атака из ими зарегистрированных. А шла она… по майнкрафт-серверу.
Жертвой атаки ботнета Mirai стал популярный портал в манящий мир кубов Wynncraft на сотни тысяч игроков. К счастью для них, Cloudflare полностью погасил дудос, так что герои кирки даже ничего не заметили. Ну а с прочими трендами от мира DDoS-атак можно ознакомиться в их традиционном квартальном отчёте.
@tomhunter
Жертвой атаки ботнета Mirai стал популярный портал в манящий мир кубов Wynncraft на сотни тысяч игроков. К счастью для них, Cloudflare полностью погасил дудос, так что герои кирки даже ничего не заметили. Ну а с прочими трендами от мира DDoS-атак можно ознакомиться в их традиционном квартальном отчёте.
@tomhunter
😁13🔥3🤯2
#news Нидерландские безопасники демонстрируют смекалочку в работе с рансомварщиками. Группировка DeadBolt шифрует сетевые накопители от QNAP по всему миру, требуя $6 тысяч в битках. После создания платежа они автоматически высылают ключ ответной транзакцией.
Герои нашей истории успели отправить им 155 платежей от имени обратившихся в полицию жертв взлома, получили ключи дешифрования и… отменили транзакции. Воспользовались моментом, когда биткоин-блокчейн был загружен, и их платежи с минимальной комиссией прошли не сразу. Увы, одураченные злоумышленники ввели двойное подтверждение, так что трюк повторно не провернуть. Но почти миллион долларов хитрецам удалось сэкономить.
@tomhunter
Герои нашей истории успели отправить им 155 платежей от имени обратившихся в полицию жертв взлома, получили ключи дешифрования и… отменили транзакции. Воспользовались моментом, когда биткоин-блокчейн был загружен, и их платежи с минимальной комиссией прошли не сразу. Увы, одураченные злоумышленники ввели двойное подтверждение, так что трюк повторно не провернуть. Но почти миллион долларов хитрецам удалось сэкономить.
@tomhunter
🔥15😁7💯3🤯1
#news На днях закончилась поддержка версий 6.7.0 и 6.5.0 ESXi серверов от VMware, и в Lansweeper посчитали, сколькие из их клиентов сидят на устаревших версиях. Результаты занятные: только на четверти серверов актуальный софт с регулярными обновлениями.
Между тем их виртуалки регулярно становятся целью рансомварь-группировок вроде Hive и Black Basta. Так что для больше чем половины юзеров ESXi, погружающихся в мутные воды нерегулярных апдейтов, новость неутешительная. Отдельный привет отчаянным, сидящим на версиях, поддержка которых закончилась несколько лет назад, — такими оказались каждый шестой. Как принять хаос, ESXi-версия.
@tomhunter
Между тем их виртуалки регулярно становятся целью рансомварь-группировок вроде Hive и Black Basta. Так что для больше чем половины юзеров ESXi, погружающихся в мутные воды нерегулярных апдейтов, новость неутешительная. Отдельный привет отчаянным, сидящим на версиях, поддержка которых закончилась несколько лет назад, — такими оказались каждый шестой. Как принять хаос, ESXi-версия.
@tomhunter
🔥6🤯2
#news Рансомварь Venus всплыла в очередной кампании и активно шифрует устройства под винду по всему миру – счётчик на ID Ransomware тикает каждый день. Целью атаки становятся публично доступные удалённые рабочие столы, причём даже с нестандартными портами.
Рансомварь довольно стандартная, но злоумышленники отличаются особой подлостью – на местах сообщают, что, даже получив выкуп, они лишь вымогают больше денег и в итоге не шлют декриптор. Другой вопрос, впрочем, почему в 2022-м у кого-то ещё есть доступные всем и каждому RD. Ты ведь засунул все свои удалённые рабочие столы под VPN, юзернейм?
@tomhunter
Рансомварь довольно стандартная, но злоумышленники отличаются особой подлостью – на местах сообщают, что, даже получив выкуп, они лишь вымогают больше денег и в итоге не шлют декриптор. Другой вопрос, впрочем, почему в 2022-м у кого-то ещё есть доступные всем и каждому RD. Ты ведь засунул все свои удалённые рабочие столы под VPN, юзернейм?
@tomhunter
😁9💯4
#news Призрак REvil бродит по сети: в тактике и коде группировки Ransom Cartel нашли схожести с малварью нашумевших в прошлом году рансомварщиков. Группировка возникла в декабре, через пару месяцев после ухода REvil в тень.
Двойной шантаж, крупные суммы выкупа, сайт с утечками для давления на жертв – всё при них. Но главное, код. Та же схема шифрования, схожая структура конфигурации, но нет исходного движка для обфускации и части значений конфигурации. Так что, скорее всего, в Ransom Cartel влились бывшие члены REvil с доступом к части старых инструментов. Между тем весной другие её участники всплывали с малварью, собранной из исходников группировки, и ключами к их старым сайтам. Так или иначе дело REvil живёт и не даёт покоя ностальгирующим по прошлогодним успехам банды молодых и шальных рансомварщиков.
@tomhunter
Двойной шантаж, крупные суммы выкупа, сайт с утечками для давления на жертв – всё при них. Но главное, код. Та же схема шифрования, схожая структура конфигурации, но нет исходного движка для обфускации и части значений конфигурации. Так что, скорее всего, в Ransom Cartel влились бывшие члены REvil с доступом к части старых инструментов. Между тем весной другие её участники всплывали с малварью, собранной из исходников группировки, и ключами к их старым сайтам. Так или иначе дело REvil живёт и не даёт покоя ностальгирующим по прошлогодним успехам банды молодых и шальных рансомварщиков.
@tomhunter
🔥10🤔4😁1💩1
Социальная инженерия в 2022 году: все еще актуальна? Рассмотрим эту тему в новой статье на Хабре.
Основными типами атак социальной инженерии остается фишинг, приманка, Tailgating и Quid Pro Quo. Стоит оговориться, что специалисты выделяют гораздо больше типов соц. инженерии. В статье поговорим о самых распространённых типах атак и особенностях техник до и после 2022 года. Приятного чтения 😊
Основными типами атак социальной инженерии остается фишинг, приманка, Tailgating и Quid Pro Quo. Стоит оговориться, что специалисты выделяют гораздо больше типов соц. инженерии. В статье поговорим о самых распространённых типах атак и особенностях техник до и после 2022 года. Приятного чтения 😊
❤11
#news Майкрософт сообщил об утечке данных клиентов. Согласно обнаружившим её безопасникам, затронуты 65,000 компаний по всему миру. Среди утёкшего имена и телефоны, почтовые адреса и содержание писем, плюс приложенные файлы, среди которых всевозможные документы. Полмиллиона юзеров, 111 стран, 133 тысячи проектов, 335 тысяч писем, 2.4 терабайта данных. Нехило.
Сегодня никаких заковыристых уязвимостей – к утечке привёл неверно настроенный сервер Azure Blob Storage. Майкрософт заявляет, что SOCRadar серьёзно преувеличивают проблему, да и парсить данные и делать по ним поиск не надо – это не в интересах клиентов. Так же, оказывается, уведомлять регуляторов тоже не в их интересах – делать это в компании не собираются, мол по регламенту ЕС и так сойдёт. В общем, с учётом того, как Мелкософт давит на раструбивших об утечке безопасников, быть героями этой истории они явно не рады. Кто бы мог подумать.
@tomhunter
Сегодня никаких заковыристых уязвимостей – к утечке привёл неверно настроенный сервер Azure Blob Storage. Майкрософт заявляет, что SOCRadar серьёзно преувеличивают проблему, да и парсить данные и делать по ним поиск не надо – это не в интересах клиентов. Так же, оказывается, уведомлять регуляторов тоже не в их интересах – делать это в компании не собираются, мол по регламенту ЕС и так сойдёт. В общем, с учётом того, как Мелкософт давит на раструбивших об утечке безопасников, быть героями этой истории они явно не рады. Кто бы мог подумать.
@tomhunter
🔥9😁5🤯5
#news Иногда проблемы инфобезопасности кроются весьма глубоко. Точнее, на морском дне: на юге Франции ночью были повреждены три оптоволоконных кабеля. Ремонт задержался в связи с расследованием. В то же время было повреждено оптоволокно на севере Шотландии, и Шетландские острова с их 23к жителями остались без связи с внешним миром. На самом архипелаге серьёзные проблемы с коммуникациями: не работают банки, не принимают карты, барахлит мобильная и широкополосная связь.
Обрыв кабелей во Франции же привёл к проблем в работе приложений, особенно заморских, потере пакетов и росту времени отклика сайтов. Если подводное кабели в наши смутные дни продолжат совершенно случайно выходить из строя, мы рискуем застать простои в экономике посерьёзнее ковидных. В общем, если коллеги за океаном в один прекрасный день не придут на регулярный созвон, собака может оказаться зарыта там же, где и перерезанное оптоволокно.
@tomhunter
Обрыв кабелей во Франции же привёл к проблем в работе приложений, особенно заморских, потере пакетов и росту времени отклика сайтов. Если подводное кабели в наши смутные дни продолжат совершенно случайно выходить из строя, мы рискуем застать простои в экономике посерьёзнее ковидных. В общем, если коллеги за океаном в один прекрасный день не придут на регулярный созвон, собака может оказаться зарыта там же, где и перерезанное оптоволокно.
@tomhunter
🤔15🔥6🤯3🤬1
#news Главный прокурор Техаса продолжает бодаться с Гуглом за инфобезопасность жителей штата. На этот раз он подал иск к компании за незаконный сбор биометрии техасцев аж с 2015-го года. Согласно иску, Гугл нарушил соответствующий закон штата, используя тайком собранную биометрию в коммерческих целях. Посмотрим, убережёт ли их на этот раз всесильное пользовательское соглашение.
Неутомимый товарищ Пакстон уже не раз судился с империей цифрового зла из-за слежки за юзерами, а также монополии и обманчивых практик в рекламе. Отчаянному техасскому инфобез-ковбою остаётся только пожелать удачи в его многолетней борьбе с лишающим нас последних намёков на приватность бигтехом.
@tomhunter
Неутомимый товарищ Пакстон уже не раз судился с империей цифрового зла из-за слежки за юзерами, а также монополии и обманчивых практик в рекламе. Отчаянному техасскому инфобез-ковбою остаётся только пожелать удачи в его многолетней борьбе с лишающим нас последних намёков на приватность бигтехом.
@tomhunter
🔥14❤2😁2🤬1
#news Во Франции тоже взъелись на любителей пособирать биометрию: пресловутую Clearview AI оштрафовали на $20 миллионов вслед за Италией и Грецией. Регулятор обязал компанию прекратить собирать данные на территории страны и удалить всё имеющееся в течение двух месяцев. В ином случае им грозит штраф в $100 тысяч в сутки и до упора.
Напомню, Clearview AI печально известна тем, что скрапит публичные фото и видео в сети для сбора базы биометрии лиц и личностей, в которой уже больше 20 миллиардов изображений. Затем она идёт на продажу всем желающим, включая правоохранительные органы и сомнительные конторки. Так что старое-доброе правило «Не грузи в сеть то, что не готов видеть в публичном доступе» теперь должно учитывать ещё и пронырливые шпионские ИИ.
@tomhunter
Напомню, Clearview AI печально известна тем, что скрапит публичные фото и видео в сети для сбора базы биометрии лиц и личностей, в которой уже больше 20 миллиардов изображений. Затем она идёт на продажу всем желающим, включая правоохранительные органы и сомнительные конторки. Так что старое-доброе правило «Не грузи в сеть то, что не готов видеть в публичном доступе» теперь должно учитывать ещё и пронырливые шпионские ИИ.
@tomhunter
🔥13💯3❤1😁1
#news В Бразилии арестовали ещё одного потенциального члена Lapsus$. Судя по всему, очередное несовершеннолетнее дарование. В тех краях за прошедший год группировка успела отличиться взломом бразильского Министерства Здравоохранения и атаками на десятки других правительственных сайтов.
Арест стал итогом операции «Чёрное облако», и в открытом деле ворох обвинений от очевидных взломов и участия в преступной группировке до отмывания денег и склонения малолетних к преступлениям. ФБР также активно ищет остальных членов подростковой банды. Так что прочим открывшим для себя фильм «Хакеры» юным взломщикам из Германии, России и Турции стоит, так сказать, не ждать, а готовиться.
@tomhunter
Арест стал итогом операции «Чёрное облако», и в открытом деле ворох обвинений от очевидных взломов и участия в преступной группировке до отмывания денег и склонения малолетних к преступлениям. ФБР также активно ищет остальных членов подростковой банды. Так что прочим открывшим для себя фильм «Хакеры» юным взломщикам из Германии, России и Турции стоит, так сказать, не ждать, а готовиться.
@tomhunter
😁12🔥2
#news Хактивизм берёт новые высоты: в Иране хакеры сливают в общий доступ секретные документы касаемо иранской ядерной программы. Взлом стал ответом на жестокое подавление протестов в стране – активисты угрожали опубликовать инфу, если правительство не освободит политзаключённых. Их требования власти проигнорировали. И вот результат.
Контракты и строительные чертежи, стратегические планы, данные инженеров и сотрудников, паспорта и визы определённых иностранных специалистов, детали по сотрудничеству с ними, техотчёты и документация, сто тысяч имейлов… Всё это в ближайшее время будет греметь в новостях со срывами покровов и занятными подробностями. Так что запасайтесь попкорном, будет весело и немного страшно.
@tomhunter
Контракты и строительные чертежи, стратегические планы, данные инженеров и сотрудников, паспорта и визы определённых иностранных специалистов, детали по сотрудничеству с ними, техотчёты и документация, сто тысяч имейлов… Всё это в ближайшее время будет греметь в новостях со срывами покровов и занятными подробностями. Так что запасайтесь попкорном, будет весело и немного страшно.
@tomhunter
🔥22💩8🤯4🎉2
#news Исследователи изучили почти 50 тысяч репозиториев с проверками концепций на Гитхабе. И каждый десятый оказался с малварью без учёта просто фейков и пранков. Всевозможные вредоносные скрипты, кража инфы, трояны удалённого доступа – зловред на любой вкус.
И это ещё только проба пера: детектор команды не обнаруживает малварь с продвинутой обфускацией. Между тем авторы исследования не просто развлекаются – они надеются, что это наконец побудит Гитхаб взяться за разработку автоматизированного решения для борьбы с вредоносом на платформе. Экие оптимисты.
@tomhunter
И это ещё только проба пера: детектор команды не обнаруживает малварь с продвинутой обфускацией. Между тем авторы исследования не просто развлекаются – они надеются, что это наконец побудит Гитхаб взяться за разработку автоматизированного решения для борьбы с вредоносом на платформе. Экие оптимисты.
@tomhunter
🔥12😁6💩2
В T.Hunter открыто несколько вакансий в отдел расследований для специалистов по моделированию, сбору и анализу данных электронно-цифрового следа (OSINT). Работа строго в офисах в Москве и Санкт-Петербурге. Никакой удаленки. Будьте готовы к тестовому заданию.
Резюме слать на igor.b@tomhunter.ru (тема письма: РЕЗЮМЕ)
P.S. Те, кто ранее присылал резюме через Telegram, просьба продублировать на почту.
Резюме слать на igor.b@tomhunter.ru (тема письма: РЕЗЮМЕ)
P.S. Те, кто ранее присылал резюме через Telegram, просьба продублировать на почту.
🔥7❤3😁2💩2
#news В идущей рансомварь-кампании злоумышленники используют JavaScript-файлы для заражения домашних машин. И её успешность, похоже, объясняется тем, что файлы обходят веб-метку безопасности на винде. Файлы подписаны искажённой цифровой подписью и, получая метку при скачивании, не отображают предупреждение при открытии файла.
Исследователям удалось воспроизвести нулевой день, и появился он в десятке и старше – что-то не так с новой фичей SmartScreen. При переключении на легаси-MoTW, баг не срабатывает. В последней винде подписанные таким образом файлы обходят защиту при открытии только из архива, в десятке – в любом виде. Как выяснилось, эксплойт работает с любыми файлами с цифровой подписью, в том числе и экзешниками – достаточно изменить пару байтов hex-редактором, чтобы исказить подпись. Так что натасканный на окошко с предупреждением юзер Павлова рискует остаться в простаках.
@tomhunter
Исследователям удалось воспроизвести нулевой день, и появился он в десятке и старше – что-то не так с новой фичей SmartScreen. При переключении на легаси-MoTW, баг не срабатывает. В последней винде подписанные таким образом файлы обходят защиту при открытии только из архива, в десятке – в любом виде. Как выяснилось, эксплойт работает с любыми файлами с цифровой подписью, в том числе и экзешниками – достаточно изменить пару байтов hex-редактором, чтобы исказить подпись. Так что натасканный на окошко с предупреждением юзер Павлова рискует остаться в простаках.
@tomhunter
😁11🔥4
#news На просторах сети масштабная тайпсквот-кампания под Винду и Андроид. Исследователи насчитали больше двухсот доменов, мимикрирующих под популярный софт. В активе у злоумышленников двадцать семь брендов от Тиктока и Пейпала до криптокошельков и браузеров. Вплоть до фейкового сайта Notepad++, доставляющего юзеру 700 метров раздутого для обхода анализа вредоноса Vidar Stealer.
На малварь они тоже не поскупились: банковский троян ERMAC, удалённый доступ, кража инфы, кошельков, nft и сид-фраз, кейлоггер – проверяют, от чего будет больше толку. Так что у невнимательных юзеров есть возможность ненароком поучаствовать в эксперименте с подбором вредоноса поэффективнее.
@tomhunter
На малварь они тоже не поскупились: банковский троян ERMAC, удалённый доступ, кража инфы, кошельков, nft и сид-фраз, кейлоггер – проверяют, от чего будет больше толку. Так что у невнимательных юзеров есть возможность ненароком поучаствовать в эксперименте с подбором вредоноса поэффективнее.
@tomhunter
🔥13🤯2
#news Пока новое воплощение Racoon Stealer набирает обороты, один из злоумышленников оказался в местах не столь отдалённых. Согласно раскрытым документам, украинца Марка Соколовского, он же raccoonstealer, Photix, и black21jack77777, арестовали в Нидерландах ещё в марте, его ждёт экстрадиция в Штаты. Его называют одним из ключевых администраторов малвари.
Причём параллельно с арестом ФБР с друзьями отжали инфраструктуру енота-воришки и его старую версию. Напомню, весной авторы малвари утверждали совсем иное. Похоже, тогда они свернулись по гораздо более прозаичным причинам. Между тем у ФБР на руках часть украденных Racoon Stealer данных в количестве 50 млн. единиц - имейлы, кредитки, криптоадреса и прочее от миллионов жертв со всего мира. Любители чертовски хорошего кофе подняли сайт, где все желающие могут проверить, не затесался ли в архив с наворованным енотом его имейл.
@tomhunter
Причём параллельно с арестом ФБР с друзьями отжали инфраструктуру енота-воришки и его старую версию. Напомню, весной авторы малвари утверждали совсем иное. Похоже, тогда они свернулись по гораздо более прозаичным причинам. Между тем у ФБР на руках часть украденных Racoon Stealer данных в количестве 50 млн. единиц - имейлы, кредитки, криптоадреса и прочее от миллионов жертв со всего мира. Любители чертовски хорошего кофе подняли сайт, где все желающие могут проверить, не затесался ли в архив с наворованным енотом его имейл.
@tomhunter
🔥12😁3❤2
#news Очередной чудесный пример из серии «Как не надо заниматься инфобезом». Крупнейший агрегатор билетов See Tickets с охватом в 6-9 миллионов посещений в месяц сообщает, что в их системах был скиммер, кравший данные карт юзеров. На протяжение 2,5 лет. О взломе им сообщили в апреле 2021-го, до января компания решала проблему и под конец года уведомляет пользователей. Что сказать, своевременно.
Между тем пишут, в одном только Техасе 90 тысяч жертв скиммера, так что счёт может идти на сотни тысяч. Утекли ФИО, адреса и вся инфа с банковских карт. И никаких мер по защите данных компания не предложила, только пожелала юзерам держаться и хорошего настроения. Билеты вижу. Прорехи эпических масштабов в своих системах не вижу.
@tomhunter
Между тем пишут, в одном только Техасе 90 тысяч жертв скиммера, так что счёт может идти на сотни тысяч. Утекли ФИО, адреса и вся инфа с банковских карт. И никаких мер по защите данных компания не предложила, только пожелала юзерам держаться и хорошего настроения. Билеты вижу. Прорехи эпических масштабов в своих системах не вижу.
@tomhunter
😁14🔥2🤬1
#news Любопытный образчик масштабного фриджекинга для майнинга крипты. Злоумышленник использует тысячи бесплатных CI/CD-аккаунтов на GitHub, Heroku и Buddy. Linuxapp-контейнер в качестве C2-сервера, shell-скрипт для создания аккаунтов, репозиториев и Github Actions. Образы на Docker Hub для доставки майнера с обходом бот-защиты от VPN под каждый аккаунт до нескольких инструментов распознавания капчи. Больше техдеталей в отчёте.
Работа по автоматизации и обфускации проделана впечатляющая, но финансовый выхлоп от мелкой крипты невысок. Возможно, автор только тестирует систему. Если бы он переключился на майнинг Monero, по подсчётам исследователей, одна монетка обходилась бы сервисам больше чем в $100 тысяч. Либо это может быть заход на угон очередной DeFi-платформы через большинство в сети. Тогда сумрачный гений ещё всплывёт в новостях.
@tomhunter
Работа по автоматизации и обфускации проделана впечатляющая, но финансовый выхлоп от мелкой крипты невысок. Возможно, автор только тестирует систему. Если бы он переключился на майнинг Monero, по подсчётам исследователей, одна монетка обходилась бы сервисам больше чем в $100 тысяч. Либо это может быть заход на угон очередной DeFi-платформы через большинство в сети. Тогда сумрачный гений ещё всплывёт в новостях.
@tomhunter
🔥11🤯2🤡1
#news Британского хакера Дэниела Кея, он же Bestbuy, Spdrman и TheRealDeal, экстрадировали в штаты. Как утверждают обвинители, товарищ заправлял почившим в 2016-м дарквеб-форумом The Real Deal по продаже украденных у госконтор США данных, а также наркотиков и оружия. Он же был разработчиком малвари GovRAT.
Кей запомнился тем, что в 2016-м ненароком положил почти миллион роутеров в сети крупнейшего немецкого провайдера кривым Mirai-ботнетом, пока дудосил Либерию так, что интернет и мобильная связь отвалились по всей стране. Позже также упали сети нескольких провайдеров в Британии, где нашего антигероя и приняли в 2017-м, осудив почти на три года. Увы, Дядя Сэм вряд ли проявит к нему то же снисхождение, что и британское правосудие. Так что история ещё одного хакера заканчивается там, куда ведут все дороги особо отличившихся на этом поприще, – в американской тюрьме на долгий срок.
@tomhunter
Кей запомнился тем, что в 2016-м ненароком положил почти миллион роутеров в сети крупнейшего немецкого провайдера кривым Mirai-ботнетом, пока дудосил Либерию так, что интернет и мобильная связь отвалились по всей стране. Позже также упали сети нескольких провайдеров в Британии, где нашего антигероя и приняли в 2017-м, осудив почти на три года. Увы, Дядя Сэм вряд ли проявит к нему то же снисхождение, что и британское правосудие. Так что история ещё одного хакера заканчивается там, куда ведут все дороги особо отличившихся на этом поприще, – в американской тюрьме на долгий срок.
@tomhunter
❤12🔥3😁2🤔1
#news В сетевых дебрях замечен новый метод управления малварью. Вместо C2-серверов злоумышленники из The Cranefly используют IIS-логи. Их троян мониторит логи на предмет определённых строк (Wrde, Exco, Cllo), которых обычно в журнале нет, и парсит их для получения команд.
Одна строка для установки дополнительного зловреда, другая внедряет ОС-команду, третья засылает инструмент для отключения журнала логов. Метод даёт злоумышленникам солидный бонус к скрытности и опсеку: за логами мало кто следит, плюс такие команды можно засылать и через VPN. В общем, теперь придётся мониторить логи IIS не только на предмет веб-шеллов, но и засланных командных строк от продвинутых кибершпионов.
@tomhunter
Одна строка для установки дополнительного зловреда, другая внедряет ОС-команду, третья засылает инструмент для отключения журнала логов. Метод даёт злоумышленникам солидный бонус к скрытности и опсеку: за логами мало кто следит, плюс такие команды можно засылать и через VPN. В общем, теперь придётся мониторить логи IIS не только на предмет веб-шеллов, но и засланных командных строк от продвинутых кибершпионов.
@tomhunter
🔥19🤯2😁1