#news Весь прошлый год ежемесячно всплывали новости о сливах наших личных данных, и вот неутешительный итог: суммарно утечки затронули 99,8 миллионов уникальных e-mail и 109,7 миллионов телефонных номеров. Из расчёта, что у большинства есть лишь один номер телефона, исследователи делают вывод, что утекли данные 75% всех жителей России. Звучит натянуто, но цифры, тем не менее, внушительные.
При этом за 2022-й исследователи насчитали 60 крупных утечек данных – для сравнения, суммарно за три года до этого был лишь 41 подобный случай. Остаётся утешить себя тем, что новые рекорды в 2023-м мы вряд ли увидим. На новый рекорд столько абонентов-то уже не наберётся.
@tomhunter
При этом за 2022-й исследователи насчитали 60 крупных утечек данных – для сравнения, суммарно за три года до этого был лишь 41 подобный случай. Остаётся утешить себя тем, что новые рекорды в 2023-м мы вряд ли увидим. На новый рекорд столько абонентов-то уже не наберётся.
@tomhunter
🔥7🤯4💯3😁1🎉1
#news Первый крупный криптоарест 2023-го в эфире: в США был арестован владелец биржи Bitzlato, Анатолий Легкодымов, он же Gandalf и Tolik. 40-летний уроженец России заправлял биржей с нулевой KYC-политикой и маркетингом с расчётом на киберпреступников в формате «вопросов не задаём». В итоге одна только Гидра успела пропустить через биржу больше 700 миллионов долларов.
Сама же Bitzlato на февраль 2022-го получила почти полмиллиарда долларов от маркетплейсов, скамов и рансомварь-атак. И половина из прошедших через неё $2,5 миллиардов была с нелегальных дел. Что ж, дальнейшей судьбе русского Гэндальфа и его волшебного ландромата не позавидуешь. Успел ли он маякнуть в чаты сообщникам «Бегите, глупцы?»
@tomhunter
Сама же Bitzlato на февраль 2022-го получила почти полмиллиарда долларов от маркетплейсов, скамов и рансомварь-атак. И половина из прошедших через неё $2,5 миллиардов была с нелегальных дел. Что ж, дальнейшей судьбе русского Гэндальфа и его волшебного ландромата не позавидуешь. Успел ли он маякнуть в чаты сообщникам «Бегите, глупцы?»
@tomhunter
😁11🔥2🤔1
#news PayPal запоздало сообщает о взломе: с 6 по 8 декабря злоумышленники получили доступ к 35,000 аккаунтов подстановкой учётных данных. Да, 35 тысяч сумрачных гениев использовали один утёкший пароль для кошелька и прочих ресурсов – почты, фейсбука, может, сайтов с тамагочи и рецептами на бесплатной версии WordPress.
Тем не менее, владельцам в какой-то мере повезло: компания утверждает, что вовремя заметила активность и сбросила пароли. Движения средств со счетов не было. Но у хакеров был доступ к именам, адресам, страховым и налоговым адресам жертв. А также истории переводов, данным привязанных карт и чекам. Пострадавшие счастливчики получат от PayPal два года защиты идентичности по программе от кредитного бюро Equifax. Что, конечно, хороший жест. Но я бы ещё FAQ по установке пароля к кошельку на почту прислал.
@tomhunter
Тем не менее, владельцам в какой-то мере повезло: компания утверждает, что вовремя заметила активность и сбросила пароли. Движения средств со счетов не было. Но у хакеров был доступ к именам, адресам, страховым и налоговым адресам жертв. А также истории переводов, данным привязанных карт и чекам. Пострадавшие счастливчики получат от PayPal два года защиты идентичности по программе от кредитного бюро Equifax. Что, конечно, хороший жест. Но я бы ещё FAQ по установке пароля к кошельку на почту прислал.
@tomhunter
🔥10😁3❤1
2023-й полностью вступил в свои права, так что время напоследок оглянуться на ушедший год и самые крупные новости инфобеза сезона 2022, чтобы морально подготовиться к тому, что нас ждёт в этом году. Прошлый же был богат на громкие аресты, падения зубров киберпреступного рынка, всевозможные взломы и прочие увлекательные события. Всем желающим вспомнить всё примечательное из мира инфобеза оставшегося позади года, добро пожаловать на наш Хабр!
🔥7❤3
#news Новинка в копилку вложений с малварью – теперь зловред затесался и в OneNote. Макросы он не поддерживает, вместо этого OneNote в свою очередь позволяет вставлять вложения в свои файлы. Ну а так как они выглядят, как иконки файлов, злоумышленники прячут их под большой плашкой «Кликни меня». А под ней уже VBS-файлы в ряд для запуска скриптов, подтягивающих малварь.
Плашку об опасности открытия вложений OneNote выдаёт, но пользователи-то как всегда. Вектор атаки в ходу с середины декабря. Так что если вы ещё не блокируете .one-файлы на своих шлюзах электронной почты, сейчас самое время. Эй, юзер! Мы вложили вложения в твои вложения, чтобы ты мог качать малварь, пока качаешь малварь! Но лучше не стоит.
@tomhunter
Плашку об опасности открытия вложений OneNote выдаёт, но пользователи-то как всегда. Вектор атаки в ходу с середины декабря. Так что если вы ещё не блокируете .one-файлы на своих шлюзах электронной почты, сейчас самое время. Эй, юзер! Мы вложили вложения в твои вложения, чтобы ты мог качать малварь, пока качаешь малварь! Но лучше не стоит.
@tomhunter
❤6🔥2😁2
#news В клиенте для ПК GTA Online обнаружилась критическая уязвимость, удостоившаяся CVE. А эксплойты к ней выдал разработчик чита North GTA online. 20 января сверхразум добавил в версию 2.0.0 возможности обнулять баланс любых игроков онлайн, корраптить аккаунты и банить их. На следующий день товарищ раскаялся и фичи убрал, но уже было поздно.
Форум Rockstar завален репортами, а RCE-уязвимость вполне может идти дальше игрового клиента — злоумышленники сейчас активно ищут возможность её использовать. Так что если среди вас есть любители криминального симулятора, до выхода фикса лучше его не запускать.
@tomhunter
Форум Rockstar завален репортами, а RCE-уязвимость вполне может идти дальше игрового клиента — злоумышленники сейчас активно ищут возможность её использовать. Так что если среди вас есть любители криминального симулятора, до выхода фикса лучше его не запускать.
@tomhunter
🔥8🤔4😁2💯1
#news Майкрософт планирует добавить автоматическую блокировку для всех XLL-файлов, скачиваемых из интернета. К марту фича будет доступна повсеместно, чтобы закрыть вектор атаки, в качестве которого выступали эти файлы в последние годы.
XLL-ки светились в атаках с середины 2017-го года в качестве инструмента доставки всевозможной малвари. Несмотря на то, что в обычных вложениях их не встретишь, злоумышленники вполне успешно использовали их в фишинговых атаках. И за последние пару лет их стали засылать многократно чаще, так что блокировка весьма своевременная. Всё равно юзера не заставишь запомнить, что XLL-файлы только для админа, и на них не надо кликать. Спасибо, Майкрософт.
@tomhunter
XLL-ки светились в атаках с середины 2017-го года в качестве инструмента доставки всевозможной малвари. Несмотря на то, что в обычных вложениях их не встретишь, злоумышленники вполне успешно использовали их в фишинговых атаках. И за последние пару лет их стали засылать многократно чаще, так что блокировка весьма своевременная. Всё равно юзера не заставишь запомнить, что XLL-файлы только для админа, и на них не надо кликать. Спасибо, Майкрософт.
@tomhunter
🔥8🤔1🎉1
#news iOS 16.3 и Макось 13.2 радуют юзеров долгожданной поддержкой электронных ключей. С подключением через USB-C-переходник или NFC. Для активации понадобятся два ключа – один про запас. И фишинговые атаки для кражи Apple ID и 2FA-паролей резко потеряют для юзера актуальность.
Как ни странно, вместе с обновлением не выпустили единственно совместимые ключи всего по 999 баксов за штуку. Мануал приводит несколько подходящих от Yubico и FEITAN, работает тот же Google Titan. Может, Apple Pro SecKey торжественно представят осенью. А пока любители яблочных поделий могут наслаждаться лёгким послаблением проприетарного режима и улучшенной безопасностью.
@tomhunter
Как ни странно, вместе с обновлением не выпустили единственно совместимые ключи всего по 999 баксов за штуку. Мануал приводит несколько подходящих от Yubico и FEITAN, работает тот же Google Titan. Может, Apple Pro SecKey торжественно представят осенью. А пока любители яблочных поделий могут наслаждаться лёгким послаблением проприетарного режима и улучшенной безопасностью.
@tomhunter
😁11🔥4
#news GoTo вслед за LastPass сообщает о промежуточных итогах расследования после взлома облака в ноябре. Результаты неутешительные: злоумышленники стянули зашифрованные бэкапы пользовательских данных и ключ шифрования к их части.
Затронуты аккаунты Central и Pro: имена и хешированные пароли юзеров, инфа по деплойменту, инициализации и двухфакторке, а также по покупке – имейлы, телефоны, расчётные адреса и последние четыре цифры с карт. Сколько пользователей затронуты, и какой стандарт шифрования у бэкапов, компания не сообщает. Следов доступа к своей девелоперской среде в GoTo пока не обнаружили. Но пользователей их сервиса это вряд ли особо утешит.
@tomhunter
Затронуты аккаунты Central и Pro: имена и хешированные пароли юзеров, инфа по деплойменту, инициализации и двухфакторке, а также по покупке – имейлы, телефоны, расчётные адреса и последние четыре цифры с карт. Сколько пользователей затронуты, и какой стандарт шифрования у бэкапов, компания не сообщает. Следов доступа к своей девелоперской среде в GoTo пока не обнаружили. Но пользователей их сервиса это вряд ли особо утешит.
@tomhunter
🔥4🤯1
#news В прошлую пятницу Riot Games сообщила о взломе: злоумышленники стянули исходники League of Legends, Teamfight Tactics и античит-софта Packman. Позавчера компания сообщила, что платить $10 миллионов выкупа отказалась. Ну а теперь украденные 72 гига исходников выставили на аукцион со стартовой ценой в миллион долларов.
Хакеры утверждают, что попали в системы компании с помощью социнженерии по СМС по одному из сотрудников. И провели в их сетях 36 часов, прежде чем были обнаружены, а изначальной их целью были исходники к античит-софту Vanguard. Сами же исходники в лучшем случае станут благодатной почвой для новых читов к игре, а в худшем – для эксплойта RCE-уязвимостей. Вот только окупит ли миллион баксов потенциальная возможность впарить детишкам очередной чит к LoL?
@tomhunter
Хакеры утверждают, что попали в системы компании с помощью социнженерии по СМС по одному из сотрудников. И провели в их сетях 36 часов, прежде чем были обнаружены, а изначальной их целью были исходники к античит-софту Vanguard. Сами же исходники в лучшем случае станут благодатной почвой для новых читов к игре, а в худшем – для эксплойта RCE-уязвимостей. Вот только окупит ли миллион баксов потенциальная возможность впарить детишкам очередной чит к LoL?
@tomhunter
🔥7🤔3😁2🎉1
#news Ещё не отгремел январь, а у нас взяты новые высоты по утечкам. Вновь отличился «Яндекс». И не пользовательскими данными, а своими исходниками. В сеть слили архивы с кодом проектов компании — большая часть сервиса с комментариями и документацией. Почти 45 гигов на Питоне, C++, Go и TypeScript, плюс методы работы по Protocol Buffers, YAML и JSON.
В компании подтвердили подлинность данных, но отрицают, что это результат взлома. Похоже, слит приватный git-репозиторий компании, а дата на всех файлах – 24.02.2022 – как бы намекает. Хакеры утверждают, что стянули данные в прошлом июле. Ну а с учётом интересного содержимого архивов, юзеров продуктов от «Яндекса» ждёт нескучный год. Добро пожаловать, добро пожаловать в 2023-й! Сами вы его выбрали или его выбрали за вас, это лучший год из оставшихся.
@tomhunter
В компании подтвердили подлинность данных, но отрицают, что это результат взлома. Похоже, слит приватный git-репозиторий компании, а дата на всех файлах – 24.02.2022 – как бы намекает. Хакеры утверждают, что стянули данные в прошлом июле. Ну а с учётом интересного содержимого архивов, юзеров продуктов от «Яндекса» ждёт нескучный год. Добро пожаловать, добро пожаловать в 2023-й! Сами вы его выбрали или его выбрали за вас, это лучший год из оставшихся.
@tomhunter
😁16🔥3🤡2
#news ФБР отжало сайты Hive в дарквебе. В прошлом июле бюро проникло на их сервера у хостера в Калифорнии и полгода следило за операциями. За время операции агенты разослали 1,300 декрипторов жертвам группировки и сохранили им как минимум $130 миллионов. Помимо этого, в руках у ФБР оказались переписки злоумышленников, хэши малвари и информация по 250 сообщникам Хайва.
На этом проблемы Hive не заканчиваются. ФБР предлагает $10 миллионов за инфу о связях группировки с иностранными правительствами. Какими, догадаетесь сами. Ну а пока Hive отправляется в нокаут. Любители чертовски хорошего кофе разворошили улей на отличненько.
@tomhunter
На этом проблемы Hive не заканчиваются. ФБР предлагает $10 миллионов за инфу о связях группировки с иностранными правительствами. Какими, догадаетесь сами. Ну а пока Hive отправляется в нокаут. Любители чертовски хорошего кофе разворошили улей на отличненько.
@tomhunter
🔥13🎉2💩1
На нашем Хабре новая статья. Сегодня мы поговорим про платформу Fragment, блокчейн-технологию TON и идентификацию пользователей. Интересно узнать, как эта связка позволяет деанонимизировать юзеров в Telegram? Тогда добро пожаловать на наш Хабр!
@tomhunter
@tomhunter
🔥11💩6
#news Начинайте неделю с увлекательных утечек: в Штатах слили No Fly List – список людей, которым запрещено летать самолётами. В сливе два файла от 2019-го года: чуть больше 1,5 миллионов строк для тех, кому полёты не светят вовсе, и 250 тысяч счастливчиков, которые проходят дополнительный осмотр.
Утекли файлы с неверно настроенного AWS-сервера авиалинии CommuteAir; базы слил швейцарский хакер под ником maia arson crimew. В списках ФИО, возможные псевдонимы и дата рождения. Данные не засекречены, но для чужих глаз, естественно, не предназначены, и в публичном доступе всплыли впервые. Так, в No Fly List засветился небезызвестный товарищ Виктор Бут с 16 псевдонимами. Но так как файлы слегка устаревшие, увы, все пополнившие его за прошлый год имена мы не узнаем.
@tomhunter
Утекли файлы с неверно настроенного AWS-сервера авиалинии CommuteAir; базы слил швейцарский хакер под ником maia arson crimew. В списках ФИО, возможные псевдонимы и дата рождения. Данные не засекречены, но для чужих глаз, естественно, не предназначены, и в публичном доступе всплыли впервые. Так, в No Fly List засветился небезызвестный товарищ Виктор Бут с 16 псевдонимами. Но так как файлы слегка устаревшие, увы, все пополнившие его за прошлый год имена мы не узнаем.
@tomhunter
🔥8🤯3❤1
#news В полку инфостилеров пополнение: в сети продвигают Titan Stealer на Golang. Впервые он был замечен в ноябре прошлого года, а сейчас пошёл в народ. Кража данных с браузеров, кошельков, Steam, Telegram, скриншоты, куки, логи, стянутые файлы – функционал стандартный. Вредонос инджектится в AppLaunch.exe через process hollowing.
Малварь идёт в виде билдера для сборки под запросы клиента, в комплекте веб-панель для доступа к стянутым данным. И судя по рекламирующему Titan Stealer русскоязычному каналу, разработка отечественная. Народные умельцы начали предлагать пожизненную подписку на своё поделие за скромные 800 баксов, так что можно порадоваться за предприимчивых соотечественников. Ну а хэши, домены, IoCs и прочие подробности по ссылке.
@tomhunter
Малварь идёт в виде билдера для сборки под запросы клиента, в комплекте веб-панель для доступа к стянутым данным. И судя по рекламирующему Titan Stealer русскоязычному каналу, разработка отечественная. Народные умельцы начали предлагать пожизненную подписку на своё поделие за скромные 800 баксов, так что можно порадоваться за предприимчивых соотечественников. Ну а хэши, домены, IoCs и прочие подробности по ссылке.
@tomhunter
🔥10❤4
#news Киберпреступные группировки всё больше перенимают черты обычного бизнеса. Так, в ход идут привлекательные месячные оклады: больше всех в этой среде получают разработчики, спецы по атакам и реверс-инжинирингу. Часть группировок (8% исследованных вакансий) даже предлагают оплачиваемые отпуска и больничные. И хотя риски тут очевидны, оклады до 20к долларов неизбежно манят в дарквеб безработных любителей больших денег и Shadowrun-романтики.
Рекрутинговые процессы не менее интересны. Некоторые внезапно ждут CV или портфолио, каждый четвёртый проводит собеседования. В одной вакансии нужно за 24 часа зашифровать DLL-ку, чтобы её не обнаруживали антивирусы. В другой за возню с тестовым обещают около 300 баксов в битках. С одной стороны, слать резюме на должность киберпреступника как-то странно. С другой, 300 баксов – это 300 баксов!
@tomhunter
Рекрутинговые процессы не менее интересны. Некоторые внезапно ждут CV или портфолио, каждый четвёртый проводит собеседования. В одной вакансии нужно за 24 часа зашифровать DLL-ку, чтобы её не обнаруживали антивирусы. В другой за возню с тестовым обещают около 300 баксов в битках. С одной стороны, слать резюме на должность киберпреступника как-то странно. С другой, 300 баксов – это 300 баксов!
@tomhunter
😁18🔥2
#news У Гитхаба в начале декабря стянули несколько сертификатов со взломанных репозиториев, два под винду и один маковский. Злоумышленник клонировал репозитории приложений Atom и Desktop с помощью скомпрометированного токена. Помимо сертификатов ничего не пострадало, но для подстраховки Гитхаб их отзовёт.
В итоге это затронет версии Desktop 3.0.2-3.1.2 под Макось и Atom 1.63.0-1.63.1. Desktop нужно обновить до свежей версии от 4 января, а вот Atom потребует даунгрейда. Так что если пользуетесь чем-то из этого, обратите внимание – уже второго февраля сертификаты, которыми они подписаны, отвалятся вместе с самими приложениями.
@tomhunter
В итоге это затронет версии Desktop 3.0.2-3.1.2 под Макось и Atom 1.63.0-1.63.1. Desktop нужно обновить до свежей версии от 4 января, а вот Atom потребует даунгрейда. Так что если пользуетесь чем-то из этого, обратите внимание – уже второго февраля сертификаты, которыми они подписаны, отвалятся вместе с самими приложениями.
@tomhunter
❤6🔥1
#news Майкрософт делится подробностями своей работы по рансомвари. Так, на конец 2022-го их специалисты остлеживают больше ста группировок и пятидесяти засылаемого ими вредоноса. Из интересного, злоумышленники понемногу отходят от фишинга и переключаются на другие методы компрометации систем.
Активнее всего группировки используют вредоносную рекламу, включая абьюз Google Ads. Другие засылают малварь под видом обновлений через FakeUpdates. Третьи и вовсе работают по свежим уязвимостям: к примеру, у Cuba и Play в качестве вектора атак эксплойты под Exchange Server. Между тем больше 60,000 серверов всё ещё не патчены под ProxyNotShell, а тысячи – под саму ProxyShell и ProxyLogon. Ну, действительно, зачем накатывать патчи, когда можно просто заплатить пару миллионов выкупа.
@tomhunter
Активнее всего группировки используют вредоносную рекламу, включая абьюз Google Ads. Другие засылают малварь под видом обновлений через FakeUpdates. Третьи и вовсе работают по свежим уязвимостям: к примеру, у Cuba и Play в качестве вектора атак эксплойты под Exchange Server. Между тем больше 60,000 серверов всё ещё не патчены под ProxyNotShell, а тысячи – под саму ProxyShell и ProxyLogon. Ну, действительно, зачем накатывать патчи, когда можно просто заплатить пару миллионов выкупа.
@tomhunter
🔥6❤1
#news Исследователи обнаружили малварь под Redis-сервера, которая прописывается в памяти и майнит Monero. Скрытный вредонос оставался незамеченным с 2021-го и заразил не меньше 1,200 серверов, а на его сэмплы ноль реакции на VirusTotal.
Малварь работает через процессы Redis, ничего не пишет на диск и стучит только по легитимным серверам, в основном тем же заражённым. Что занятно, во вредоносе нашлась записка, в которой злоумышленник называет его Headcrab’ом, добывающим базовый безусловный доход для людей с инвалидностью. А также ведёт в ней миниблог, где оставил заметку с критикой предыдущего поста этих же исследователей о другой Redis-малвари. И благодаря комменту они поняли, что накосячили с её принципами работы. Что сказать, хедкраб познавательный. И Монеро добудет, и разбор полётов устроит.
@tomhunter
Малварь работает через процессы Redis, ничего не пишет на диск и стучит только по легитимным серверам, в основном тем же заражённым. Что занятно, во вредоносе нашлась записка, в которой злоумышленник называет его Headcrab’ом, добывающим базовый безусловный доход для людей с инвалидностью. А также ведёт в ней миниблог, где оставил заметку с критикой предыдущего поста этих же исследователей о другой Redis-малвари. И благодаря комменту они поняли, что накосячили с её принципами работы. Что сказать, хедкраб познавательный. И Монеро добудет, и разбор полётов устроит.
@tomhunter
🔥12😁6
#news Продолжается сезон новинок из мира малвари в рекламе от Гугла. Так, в ней обнаружили относительно старый инфостилер Formbook, в котором использована KoiVM-виртуализация для обхода обнаружения. Для обфускации вредоноса фреймворк используют редко, и, видимо, новые трюки – побочный эффект отключения макросов в офисных приложениях.
Помимо вороха фич для обхода статического обнаружения и девиртуализации, малварь также ловко прячет свою инфраструктуру. Чтобы сбить с толку анализ трафика, инфостилер случайным образом стучится на 17 доменов из захардкоженного списка, из которых только один – её С2-сервер. И всей этой радостью юзер может обзавестись, просто загуглив Blender 3D. Доставка малвари до адресатов ещё никогда не была настолько удобной.
@tomhunter
Помимо вороха фич для обхода статического обнаружения и девиртуализации, малварь также ловко прячет свою инфраструктуру. Чтобы сбить с толку анализ трафика, инфостилер случайным образом стучится на 17 доменов из захардкоженного списка, из которых только один – её С2-сервер. И всей этой радостью юзер может обзавестись, просто загуглив Blender 3D. Доставка малвари до адресатов ещё никогда не была настолько удобной.
@tomhunter
🔥11
#news На выходных по ESXi-серверам ударила мощная рансомварь-атака. Злоумышленники использовали RCE-уязвимость двухлетней давности на переполнение памяти кучи. Уязвимы версии до 7.0 U3i, для блокировки атак на непатченных серверах нужно отключать SLP.
Между тем скомпрометированы уже оказались не менее 3,200 серверов по всему миру. Рансомварь шифрует .vmxf, .vmx, .vmdk, .vmsd, и .nvram-файлы и якобы стягивает зашифрованные данные, но по этому до конца не ясно. Судя по энкриптору, шифрование толковое, и на баги в нём надежды нет. Основан зловред на утёкших в 2021-м исходниках Babuk. Техдетали и подробности по ссылкам. Берегите свои виртуалки!
@tomhunter
Между тем скомпрометированы уже оказались не менее 3,200 серверов по всему миру. Рансомварь шифрует .vmxf, .vmx, .vmdk, .vmsd, и .nvram-файлы и якобы стягивает зашифрованные данные, но по этому до конца не ясно. Судя по энкриптору, шифрование толковое, и на баги в нём надежды нет. Основан зловред на утёкших в 2021-м исходниках Babuk. Техдетали и подробности по ссылкам. Берегите свои виртуалки!
@tomhunter
🔥11❤1💩1🤡1💯1