#news У аналитиков Гугла любопытный отчёт об одной коммерческой спайварь-компании из Испании. За полупустым сайтом скрываются ушлые ребята, чьи «решения по обеспечению безопасности» – это фреймворки с эксплойтами под старые нулевые дни в Хроме, Файрфоксе и Винде. Со всем функционалом для доставки малвари, видимо, под запросы клиента. Техдетали по ссылке.
Как пишут в отчёте, расцвет коммерческой индустрии слежки несёт угрозу безопасности, так как даёт государству инструменты для шпионажа за журналистами и диссидентами. Корпоративное зло борется с госконкурентами за право за нами следить, в общем. Такой вот пятничный киберпанк вам в ленту.
@tomhunter
Как пишут в отчёте, расцвет коммерческой индустрии слежки несёт угрозу безопасности, так как даёт государству инструменты для шпионажа за журналистами и диссидентами. Корпоративное зло борется с госконкурентами за право за нами следить, в общем. Такой вот пятничный киберпанк вам в ленту.
@tomhunter
😁8🔥4💩3
#news Облачный хостинг Rackspace переживает не лучшие времена. Уже три дня лежат хостящиеся у них сервисы Microsoft Exchange, клиенты по полдня висят на звонках в техподдержку, не могут толком восстановить почту при миграции на 365 и ничего не знают о происходящем. Компания не сообщает ни о причинах, ни об утраченных данных или утечках, ни о сроках восстановления.
Между тем в Rackspace подтвердили, что у них был, что называется, ИБ-инцидент. А вот насчёт него уже есть занятные спекуляции: в ход могла пойти ProxyNotShell. Один безопасник через Shodan нашёл у компании Exchange-сервер, предположительно, не патченный с августа. Тогда на месте ответственного за сервер инженера я бы уже паковал чемоданы для поспешного отъезда куда-нибудь в Аргентину. Так, на всякий случай.
@tomhunter
Между тем в Rackspace подтвердили, что у них был, что называется, ИБ-инцидент. А вот насчёт него уже есть занятные спекуляции: в ход могла пойти ProxyNotShell. Один безопасник через Shodan нашёл у компании Exchange-сервер, предположительно, не патченный с августа. Тогда на месте ответственного за сервер инженера я бы уже паковал чемоданы для поспешного отъезда куда-нибудь в Аргентину. Так, на всякий случай.
@tomhunter
🔥10😁5
#news У Кребса увлекательные приключения двух русских, судящихся с Гуглом из-за ботнета Glupteba. Преступную деятельность они отрицали, но от предписания суда на её запрет морозились. Были готовы пойти на сделку и разобрать ботнет, но когда надо было это доказать, выяснилось, доступа у них якобы почти год как нет. А адвокат об этом знал и врал в суде.
Потом наши шельмецы пытались договориться с Гуглом приватно: биткоин-адреса ботнета (которых у них нет, но если согласитесь, будут), обещание больше не шалить (без признания прежних шалостей) и небольшой бонус. По миллиону долларов каждому и $110 тысяч на расходы адвокату. Гугл вымогательство не оценил и сообщил суду. Судья тоже это не оценил, закрыл дело в пользу Гугла и наказал адвокату выплачивать судебные издержки компании вместе с подзащитными. Ибо задолбал. Потрясающая история, готовый сценарий для комедии из 90-х с Джимом Керри: Лжец, снова лжец и ботнет.
@tomhunter
Потом наши шельмецы пытались договориться с Гуглом приватно: биткоин-адреса ботнета (которых у них нет, но если согласитесь, будут), обещание больше не шалить (без признания прежних шалостей) и небольшой бонус. По миллиону долларов каждому и $110 тысяч на расходы адвокату. Гугл вымогательство не оценил и сообщил суду. Судья тоже это не оценил, закрыл дело в пользу Гугла и наказал адвокату выплачивать судебные издержки компании вместе с подзащитными. Ибо задолбал. Потрясающая история, готовый сценарий для комедии из 90-х с Джимом Керри: Лжец, снова лжец и ботнет.
@tomhunter
😁8🤡3🔥2
#news Пока новый AI-инструмент OpenGPT гремит в сети стандартным набором страшилок и проблематичных ответов, спецы из Bleeping Computer поигрались с ним через призму инфобеза. Получилось занятно: так, AI-бот с лёгкостью написал фишинговое письмо и даже простенькую JS-малварь.
Письмо от лица банка получилось вполне убедительным и без привычных ошибок зарубежного фишера. И зловред для поиска данных с банковских карточек услужливый бот написал для потенциальных скрипт-кидди в считанные секунды. Такими темпами гений-из-машины не только оставит сотни тысяч людей без работы, но и рискует стать впечатляющим подспорьем на киберпреступном поприще. Вопрос на засыпку: вытеснит ли кремниевый злоумышленник нигерийских королей BEC-атак из бизнеса?
@tomhunter
Письмо от лица банка получилось вполне убедительным и без привычных ошибок зарубежного фишера. И зловред для поиска данных с банковских карточек услужливый бот написал для потенциальных скрипт-кидди в считанные секунды. Такими темпами гений-из-машины не только оставит сотни тысяч людей без работы, но и рискует стать впечатляющим подспорьем на киберпреступном поприще. Вопрос на засыпку: вытеснит ли кремниевый злоумышленник нигерийских королей BEC-атак из бизнеса?
@tomhunter
😁14🔥3🤯3
С уходом осени по традиции подводим итоги ноября в подборке самых ярких инфобез-новостей прошлого месяца. Сегодня у нас в программе пара сервисов с многолетней историей, по чью цифровую душу нагрянуло ФБР, громкие аресты видных фигур двух крупных киберпреступных группировок, а также, само собой, наиболее примечательные взломы из финального аккорда осеннего сезона. За подробностями добро пожаловать на Хабр!
❤6🔥1
#news В Rackspace помялись пару дней и подтвердили предсказуемое: за отключением хостящихся у них ME-серверов стояла рансомварь-атака. Но сколько клиентов затронуты, кто их взломал и как, сколько времени займёт восстановление и украдены ли данные – об этом ни слова. Будут и дальше цедить инфу по ложечке, пытаясь сохранить лицо.
Тем временем одной юридической фирме в Калифорнии такие заходы не понравились, и они решили засудить Rackspace под шумок. Возмущены дырявыми системами и слабой поддержкой клиентов. Не то чтобы это необычно для земли свободных быть осуждёнными, но звоночек для компании тревожный. Особенно если завтра взломавшие их злоумышленники ехидно выставят данные на продажу.
@tomhunter
Тем временем одной юридической фирме в Калифорнии такие заходы не понравились, и они решили засудить Rackspace под шумок. Возмущены дырявыми системами и слабой поддержкой клиентов. Не то чтобы это необычно для земли свободных быть осуждёнными, но звоночек для компании тревожный. Особенно если завтра взломавшие их злоумышленники ехидно выставят данные на продажу.
@tomhunter
🔥7😢1
#news У злоумышленников набирает популярность даркнет-сервис, позволяющий подсаживать вредоносный код в легитимные приложения под Андроид. Разработчики утверждают, что их сборки не детектируются при работе и обходят защиту Google Play. Основное требование к приложению – чтобы его можно было декомпилировать apktool.
Для обхода обнаружения вредонос грузится под видом плагина после установки. Вредоносный код небольшими кусками байндится к исходному, отсюда меткое название дроппера – Zombinder. В сетевых дебрях уже замечены инфостилеры Ermac и Xenomorph, подсаженные к полудюжине приложений. Так между чат-ботами, пишущими за тебя фишинговые письма, и подобными сервисами порог вхождения для начинающих мамкиных киберпреступников становится совсем низким.
@tomhunter
Для обхода обнаружения вредонос грузится под видом плагина после установки. Вредоносный код небольшими кусками байндится к исходному, отсюда меткое название дроппера – Zombinder. В сетевых дебрях уже замечены инфостилеры Ermac и Xenomorph, подсаженные к полудюжине приложений. Так между чат-ботами, пишущими за тебя фишинговые письма, и подобными сервисами порог вхождения для начинающих мамкиных киберпреступников становится совсем низким.
@tomhunter
🔥8🤔2
#news Новые методы шантажа и проникновения в системы у рансомварщиков не иссякают. Так, группировке Venus не везёт на выплаты по взломам. Поэтому они экспериментируют с подлогом имейлов в ящики топ-менеджеров в американских компаниях с помощью pst-файлов в Outlook. А в них переписка об инсайдерской торговле – до 20 лет тюрьмы. Расчёт на выкуп в обмен на отказ от публикации подложных писем, грозящих серьёзным скандалом.
А вот у CLOP, наоборот, проблемы с доступом к сетям, так что новый вектор атаки – засылка малвари в больницы под видом медицинских документов потенциального пациента для онлайн-консультации. Судя по их перехваченной переписке, метод сработал уже дважды. Что сказать, киберпреступная голь на выдумки хитра.
@tomhunter
А вот у CLOP, наоборот, проблемы с доступом к сетям, так что новый вектор атаки – засылка малвари в больницы под видом медицинских документов потенциального пациента для онлайн-консультации. Судя по их перехваченной переписке, метод сработал уже дважды. Что сказать, киберпреступная голь на выдумки хитра.
@tomhunter
🔥7🤬1
#news Мог ли декабрь обойтись без новостей об утечках от российских компаний? Конечно, нет. Сегодня в эфире свежак от «Вкусвилл»: почти 250к уникальных номеров и столько же ящиков, инфа по заказам с 5 по 7 декабря, последние цифры номеров карт. Имена, адреса и карточки полностью якобы не утекли, и на том спасибо.
Пока в компании продолжается внутреннее расследование по следам «закрытой в первые часы» уязвимости, можно погадать над тем, какие санкции их ждут. В ноябре, например, по коллективному иску к «Яндекс.Еде» 13 случайным счастливчикам из 20 присудили компенсацию. Аж по 5 тысяч рублей. Главное, после этого было ненароком не отпраздновать победу сэндвичем из «Вкусвилл» с доставкой на дом.
@tomhunter
Пока в компании продолжается внутреннее расследование по следам «закрытой в первые часы» уязвимости, можно погадать над тем, какие санкции их ждут. В ноябре, например, по коллективному иску к «Яндекс.Еде» 13 случайным счастливчикам из 20 присудили компенсацию. Аж по 5 тысяч рублей. Главное, после этого было ненароком не отпраздновать победу сэндвичем из «Вкусвилл» с доставкой на дом.
@tomhunter
😁14🔥3
#news Неугомонный Мордекай Гури опубликовал новую работу по краже данных с не подключённых к сети компьютеров. На этот раз подсаженная на машину малварь не мигает индикаторами, а регулирует нагрузку на процессор и его частоту. За счёт этого блок питания излучает низкочастотную электромагнитную волну, которая и передаёт информацию.
Атака получила ехидное название COVID-bit в силу того, что работает на расстоянии до двух метров. На ПК с приемлемой частотой битовых ошибок удалось добиться скорости до килобита в секунду. А вот блоки питания ноутбуков генерируют более слабый сигнал. Приёмником может быть смартфон с рамочной антенной, причём он может находиться и за стеной от компьютера. Любители шпионской инфобез-романтики могут ознакомиться с техдеталями по ссылке.
@tomhunter
Атака получила ехидное название COVID-bit в силу того, что работает на расстоянии до двух метров. На ПК с приемлемой частотой битовых ошибок удалось добиться скорости до килобита в секунду. А вот блоки питания ноутбуков генерируют более слабый сигнал. Приёмником может быть смартфон с рамочной антенной, причём он может находиться и за стеной от компьютера. Любители шпионской инфобез-романтики могут ознакомиться с техдеталями по ссылке.
@tomhunter
🔥26❤3💯1
#news У Uber очередная утечка данных. На этот раз им досталось по касательной после взлома Teqtivity, обслуживающей их IT-активы компании. В слитых архивах сотни тысяч имейлов сотрудников, отчёты, прочая корпоративная инфа. Плюс исходники Teqtivity для работы с сервисами Uber. Всего 20 миллионов записей.
Между тем хакер c шуточками и отсылочками к Lapsus$ опубликовал четыре архива с MDM-данными Uber, Uber Eats, Teqtivity и TripActions. Но, похоже, помимо стянутого у Tequtivity в архивах ничего интересного, и в Uber заявляют, что ни с Lapsus$, ни с недавним взломом утечка не связана, и их системы не затронуты. Тем не менее, со сливом рабочих имейлов Uber их сотрудников теперь ждёт увлекательная фишинг-игра «Обмани меня, если сможешь» со злоумышленниками, которые не прочь повторить сентябрьские успехи юных дарований из Lapsus$. Скучающие подростки их уже ломали. Кто следующий?
@tomhunter
Между тем хакер c шуточками и отсылочками к Lapsus$ опубликовал четыре архива с MDM-данными Uber, Uber Eats, Teqtivity и TripActions. Но, похоже, помимо стянутого у Tequtivity в архивах ничего интересного, и в Uber заявляют, что ни с Lapsus$, ни с недавним взломом утечка не связана, и их системы не затронуты. Тем не менее, со сливом рабочих имейлов Uber их сотрудников теперь ждёт увлекательная фишинг-игра «Обмани меня, если сможешь» со злоумышленниками, которые не прочь повторить сентябрьские успехи юных дарований из Lapsus$. Скучающие подростки их уже ломали. Кто следующий?
@tomhunter
🔥6🤔2
#news Можно посмеиваться над героическими дудосами Killnet, от которых основной выхлоп – это новостные заголовки. Но вот их оппоненты по патриотическому цеху и здесь отличились: как сообщают, проукраинская группировка NLB выложила в открытый доступ базу «Московской Электронной Школы».
В актуальной на август 2021-го базе 17 с небольшим миллионов строк данных на учителей, родителей и их детей, включая 3,3 миллиона уникальных телефонов. А также ФИО, даты рождения, почтовые ящики и СНИЛСы. Между тем в соответствующей пресс-службе утверждают, что информация об утечке не соответствует действительности. Увы, отрицание действительности не мешает людям находить в базе свои данные.
@tomhunter
В актуальной на август 2021-го базе 17 с небольшим миллионов строк данных на учителей, родителей и их детей, включая 3,3 миллиона уникальных телефонов. А также ФИО, даты рождения, почтовые ящики и СНИЛСы. Между тем в соответствующей пресс-службе утверждают, что информация об утечке не соответствует действительности. Увы, отрицание действительности не мешает людям находить в базе свои данные.
@tomhunter
🔥18😁3😢2💩1
#news Гугл выложил в свободный доступ OSV Scanner для скана опенсорсовых зависимостей в проектах на предмет уязвимостей. Инструмент подтягивает инфу c OSV.dev, крупнейшей базы уязвимостей в опенсорсе. Сканер проверяет код в зависимостях, включая транзитивные, и сообщает, если нужно обновление.
В дальнейшем планируют улучшить поддержку для уязвимостей в C/C++, добавить функционал для планирования сканов и инфу по минимальной необходимой версии для устранения уязвимости. Инструмент доступен на Гитхабе для всех желающих избавиться от головной боли и возни с каждым новым билдом.
@tomhunter
В дальнейшем планируют улучшить поддержку для уязвимостей в C/C++, добавить функционал для планирования сканов и инфу по минимальной необходимой версии для устранения уязвимости. Инструмент доступен на Гитхабе для всех желающих избавиться от головной боли и возни с каждым новым билдом.
@tomhunter
🔥20🤡2
#news Минюст в Штатах положил 48 популярных доменов для DDoS-услуг формата «booter/stresser» и арестовал шестерых владельцев. В их числе сетевой зубр
Доббс примечателен тем, что все эти годы прикрывался мнимой легальностью своих услуг. Товарищ даже раздавал интервью и рассказывал про цифровую подпись, которую каждый пользователь присылал, тем самым клятвенно обещая не использовать сервис для незаконных дел. Что ж, теперь ему предстоит проверить ценность этой юридической лазейки в суде. Судя по открытому делу, прикрыться фиговым листом условий пользования владельцам сервисов не удастся даже при наличии расписавшихся на нём юзеров.
@tomhunter
IPStresser.com и его админ Джон Доббс, заправлявший сайтом 13 лет. На счету сервиса за эти годы 30 миллионов DDoS-атак и два миллиона зарегистрированных юзеров.Доббс примечателен тем, что все эти годы прикрывался мнимой легальностью своих услуг. Товарищ даже раздавал интервью и рассказывал про цифровую подпись, которую каждый пользователь присылал, тем самым клятвенно обещая не использовать сервис для незаконных дел. Что ж, теперь ему предстоит проверить ценность этой юридической лазейки в суде. Судя по открытому делу, прикрыться фиговым листом условий пользования владельцам сервисов не удастся даже при наличии расписавшихся на нём юзеров.
@tomhunter
🔥7😁3🤯1😢1🎉1
О том, что устройства IoT небезопасны, говорят едва ли не с момента появления Интернета вещей. Но и до сих пор многие «умные» приборы и техника не имеют надлежащей защиты от взлома. Или же такая защита компрометируется самими пользователями. Поговорим об этом в нашей новой статье на хабре )
❤5🔥3
#news Гитхаб выкатил бесплатное сканирование публичных репозиториев на предмет затесавшихся в код ключей, токенов и прочих учётных данных. Ранее оно было доступно только по подписке Enterprise Cloud. Фича вышла в публичную бету, и на Гитхабе рассчитывают сделать её доступной для всех пользователей к концу января 2023-го. Помимо этого, к концу следующего года обязательной для всех сделают двухфакторку.
Сканер проверяет репозитории по более чем 200 форматам токенов и шлёт предупреждения. Так что защита от нечаянных и очень неловких утечек данных теперь в паре кликов в настройках. Включи сканер, юзернейм! Вдруг у тебя где-то в коде ненароком затерялся AWS-ключ.
@tomhunter
Сканер проверяет репозитории по более чем 200 форматам токенов и шлёт предупреждения. Так что защита от нечаянных и очень неловких утечек данных теперь в паре кликов в настройках. Включи сканер, юзернейм! Вдруг у тебя где-то в коде ненароком затерялся AWS-ключ.
@tomhunter
🔥13😁4
#news Вишенка на торте эпичных разбирательств двух россиян с Гуглом, после того как в декабре 2021-го компания положила ботнет Glupteba. Он снова онлайн в новом формате. Выбить в суде у Гугла инфу о том, как они снесли ботнет не удалось, поэтому новый собран по тому же принципу, но от слова «избыточность». Больше запасных адресов, аж в десять раз больше С2-серверов в Торе, и сам ботнет массивнее предыдущего.
А вот собирать его начали в июне этого года, как раз пока наши соотечественники шантажировали Гугл и выбивали два миллиона баксов и бонус для адвоката в обмен на биткоин-адреса от старого ботнета. Смекалочке и наглости стоящих за Glupteba товарищей остаётся только позавидовать.
@tomhunter
А вот собирать его начали в июне этого года, как раз пока наши соотечественники шантажировали Гугл и выбивали два миллиона баксов и бонус для адвоката в обмен на биткоин-адреса от старого ботнета. Смекалочке и наглости стоящих за Glupteba товарищей остаётся только позавидовать.
@tomhunter
😁17🔥4
#news Epic Games ставит рекорды, да только вот в виде штрафов от FTC. $275 миллионов за сбор персональных данных детей (имена, ящики и ники) без уведомления родителей и $245 миллионов рефанда за сомнительные интерфейсные решения, приводившие к нежелательным покупкам в Fortnite. Обе суммы для отрасли рекордные.
По итогам разбирательств компании пришлось удалить собранные данные, подтянуть настройки приватности, отключив детям младше 18 текстовый и голосовой чаты по дефолту, скрыть их профили и прочее по мелочи. А также изменить интерфейс для покупок и ввести 24-часовой рефанд. В общем, радостная новость для всех родителей, чьи детишки склонны выжимать кредитку досуха на костюмчики в Fortnite и заводить в игре странных друзей.
@tomhunter
По итогам разбирательств компании пришлось удалить собранные данные, подтянуть настройки приватности, отключив детям младше 18 текстовый и голосовой чаты по дефолту, скрыть их профили и прочее по мелочи. А также изменить интерфейс для покупок и ввести 24-часовой рефанд. В общем, радостная новость для всех родителей, чьи детишки склонны выжимать кредитку досуха на костюмчики в Fortnite и заводить в игре странных друзей.
@tomhunter
🔥12😁2
#news Любопытная тактика для запутывания исследователей замечена у авторов малвари Raspberry Robin. Если их зловред обнаруживает, что запущен в песочнице, он засылает фейковый дроппер. Тот, в свою очередь, качает адварь Browser Assistant, чтобы создать впечатление, что это и есть вредоносная нагрузка.
Реальная же малварь с серверами в Торе и без этих трюков скрывается за десятью слоями обфускации. Что занятно, в методах группировки нашли схожести с LockBit’овскими – в частности ICM-калибровку для эскалации привилегий и ThreadHideFromDebugger для антиотладки. Так что между двумя группировками может быть связь, но делать выводы рано. Пока же авторы Raspberry Robin ведут разведку боем, чтобы оценить, насколько эффективны их новые методы.
@tomhunter
Реальная же малварь с серверами в Торе и без этих трюков скрывается за десятью слоями обфускации. Что занятно, в методах группировки нашли схожести с LockBit’овскими – в частности ICM-калибровку для эскалации привилегий и ThreadHideFromDebugger для антиотладки. Так что между двумя группировками может быть связь, но делать выводы рано. Пока же авторы Raspberry Robin ведут разведку боем, чтобы оценить, насколько эффективны их новые методы.
@tomhunter
🔥15🤯2
#news Okta закрывает год ещё одним ИБ-инцидентом: ранее в этом месяце стянули их исходники с Гитхаба. Клиентские данные не затронуты, взломали их репозитории для Workforce Identity Cloud. Как сообщают в компании, на конфиденциальность своего кода они не полагаются, так что утечка проблем не несёт.
Компания выбрала занятный подход к сообщению об утечке: в руки журналистов попало «конфиденциальное» письмо, разосланное по админам, а официальное сообщение ещё только на подходе. Видимо, решили перестраховаться: после того как Okta забыла сообщить о взломе от Lapsus$ в январе, кривляния юных взломщиков в сети парой месяцев позже обошлись компании в 20 процентов стоимости акций. Ну, это неловкое происшествие их чему-то явно научило.
@tomhunter
Компания выбрала занятный подход к сообщению об утечке: в руки журналистов попало «конфиденциальное» письмо, разосланное по админам, а официальное сообщение ещё только на подходе. Видимо, решили перестраховаться: после того как Okta забыла сообщить о взломе от Lapsus$ в январе, кривляния юных взломщиков в сети парой месяцев позже обошлись компании в 20 процентов стоимости акций. Ну, это неловкое происшествие их чему-то явно научило.
@tomhunter
🤯3🔥2
#news В Штатах судят двух граждан за сговор с русскими хакерами. Но в этот раз всё скромно: товарищи взломали диспетчерскую службу такси аэропорта имени Кеннеди и двигали таксистов в очереди на заезд за скромные 10 баксов. Так как обычно они ждут в очереди часами, услуга была довольно популярной – в среднем по 2,500 запросов в неделю на протяжение двух лет.
Причём здесь русские хакеры? Обвиняемые перевели в Россию не меньше $100,000 оплаты за софт. Видимо, малварь, которую использовали для взлома системы. Переписка с пресловутыми хакерами тоже чудесная: «Пентагон, знаю, взламывали. А службу такси взломать можно?» Оказалось, можно! Но можно и присесть на 10 лет. И только вездесущие хакеры за океаном злодейски смеются и довольно потирают руки.
@tomhunter
Причём здесь русские хакеры? Обвиняемые перевели в Россию не меньше $100,000 оплаты за софт. Видимо, малварь, которую использовали для взлома системы. Переписка с пресловутыми хакерами тоже чудесная: «Пентагон, знаю, взламывали. А службу такси взломать можно?» Оказалось, можно! Но можно и присесть на 10 лет. И только вездесущие хакеры за океаном злодейски смеются и довольно потирают руки.
@tomhunter
😁19