#news К вопросу о том, что, вероятно, ждёт осиротевших юзеров с закрытого Breached. Голландская полиция рассылает пользователям RaidForums письма с о том, что им стоило бы удалить украденные данные и прекратить заниматься незаконными делишками. Тысячи имейлов и сотни бумажных писем разослали счастливчикам с предупреждением, что за ними следят.
Юзеров форума отследили после анализа баз RaidForums с почтами и айпишниками на регистрацию, постинг и скачивание. Письма озаглавлены «Предупреждение от полиции пользователям RaidForums» и содержат грустное оповещение, что вы, товарищ аноним, уже совсем не аноним. Метод запугивания, полагаю, довольно эффективный. Мало кто будет рад получить от товарища майора ехидное письмо формата «Мы следим за тобой, киберпреступное ничтожество».
@tomhunter
Юзеров форума отследили после анализа баз RaidForums с почтами и айпишниками на регистрацию, постинг и скачивание. Письма озаглавлены «Предупреждение от полиции пользователям RaidForums» и содержат грустное оповещение, что вы, товарищ аноним, уже совсем не аноним. Метод запугивания, полагаю, довольно эффективный. Мало кто будет рад получить от товарища майора ехидное письмо формата «Мы следим за тобой, киберпреступное ничтожество».
@tomhunter
🔥9😁5
#news 27 апреля в Санкт-Петербурге пройдет очередная ежегодная конференция "Код ИБ". Руководитель департамента расследования T.Hunter Игорь Бедеров обсудит с участниками вопрос использования пробивочных ботов в OSINT. Являются ли они единственным и достаточным источником достоверной информации? Насколько безопасно их использование? Какие существуют новые методы и приемы интернет-разведки? Приходите, будет интересно!
Регистрация по ссылке: http://codeib.ru/r/32S
Как это было в прошлом году: https://youtu.be/W7Ajwc97y4U
@tomhunter
Регистрация по ссылке: http://codeib.ru/r/32S
Как это было в прошлом году: https://youtu.be/W7Ajwc97y4U
@tomhunter
❤6🔥4🤔1💩1
#news LockBit, судя по всему, работает над энкриптором под MacOS. На VirusTotal обнаружили архив c образцом зловреда под яблочные системы. Что, собственно, делает LockBit первой крупной рансомварь-группировкой, нацелившейся на Макось. Разработка рассчитана и под новые Маки на Apple Silicon, и под старые версии.
Между тем обнаруженное исследователями – это пока очень ранние тестовые билды, набитые отсылками на VMware ESXi и расширения файлов под Windows. Более того, энкриптор крашится из-за бага на переполнение буфера, не подписан и не учитывает TCC/SIP. Так что сначала злоумышленникам предстоит придумать как обойти TCC и заверить энкриптор, прежде чем он пойдёт в работу. Представитель LockBit заявил журналистам, что рансомварь под Макось в активной разработке. Но пока неясно, увидим ли мы от этого какой-то выхлоп в будущем. В таком случае целями части группировки, увы, станут простые юзеры и малый бизнес. Подробнее об энкрипторе по ссылке.
@tomhunter
Между тем обнаруженное исследователями – это пока очень ранние тестовые билды, набитые отсылками на VMware ESXi и расширения файлов под Windows. Более того, энкриптор крашится из-за бага на переполнение буфера, не подписан и не учитывает TCC/SIP. Так что сначала злоумышленникам предстоит придумать как обойти TCC и заверить энкриптор, прежде чем он пойдёт в работу. Представитель LockBit заявил журналистам, что рансомварь под Макось в активной разработке. Но пока неясно, увидим ли мы от этого какой-то выхлоп в будущем. В таком случае целями части группировки, увы, станут простые юзеры и малый бизнес. Подробнее об энкрипторе по ссылке.
@tomhunter
🔥6❤2🤔1💩1
#news Вновь к вопросу о дивном мире китайский приложений, следящих за юзерами. Как выяснили исследователи, в Pinduoduo был эксплойт уязвимости CVE-2023-20963 в Android Framework на повышение привилегий без участия юзера. Дальше приложение маркетплейса скачивало дополнительные вредоносные модули для шпионажа за пользователем и доступа к его уведомлениям и файлам.
Напомню, месяц назад Гугл убрал приложение из Play Store из-за наличия в нём малвари. И хотя Pinduoduo используют в основном в Китае, другое приложение компании для маркетплейса Temu – самое скачиваемое в яблочном магазине США уже который месяц. Как вредонос попал в приложение, вопрос открытый: от намеренного распространения разработчиками для коммерческого шпионажа до атаки на цепочку поставок. Так или иначе, случай довольно занятный.
@tomhunter
Напомню, месяц назад Гугл убрал приложение из Play Store из-за наличия в нём малвари. И хотя Pinduoduo используют в основном в Китае, другое приложение компании для маркетплейса Temu – самое скачиваемое в яблочном магазине США уже который месяц. Как вредонос попал в приложение, вопрос открытый: от намеренного распространения разработчиками для коммерческого шпионажа до атаки на цепочку поставок. Так или иначе, случай довольно занятный.
@tomhunter
🔥5🤯3❤1
#news Продолжая тему китайских хакеров, у одной из группировок на госзаказе, APT41, обнаружили в атаках опенсорс-инструмент для пентеста от Гугла, Google Command and Control. Он не требует особого сетапа и стучит только по доменам самого Гугла, что делает обнаружение более сложным. Так что китайцы приспособили его под C2-сервера, отправляющие на скомпрометированные устройства команды через Google Sheets. И с Google Drive для скачивания зловреда и облаком для похищения данных.
Помимо этого, в ходу у злоумышленников засветился и другой легитимный софт, Action1 для удалённого управления. Несколько группировок используют его для доставки малвари, причём до ста рабочих точек софт бесплатный. Сплошные удобства! Это всё, собственно, к тому, что будет после Cobalt Strike. С учётом того, что его обнаруживает уже каждая собака, вопрос альтернатив для киберпреступников встаёт всё острее. Увы, здесь им на помощь опять приходит вполне себе легальный софт.
@tomhunter
Помимо этого, в ходу у злоумышленников засветился и другой легитимный софт, Action1 для удалённого управления. Несколько группировок используют его для доставки малвари, причём до ста рабочих точек софт бесплатный. Сплошные удобства! Это всё, собственно, к тому, что будет после Cobalt Strike. С учётом того, что его обнаруживает уже каждая собака, вопрос альтернатив для киберпреступников встаёт всё острее. Увы, здесь им на помощь опять приходит вполне себе легальный софт.
@tomhunter
❤6😁2🔥1🤯1
#news Полиция ищет «казанского Брейвика» — админа Telegram-канала, который пообещал сегодня утром устроить массовое убийство в школе, мечети и ТЦ - сообщает Baza.
Специалисты T.Hunter проанализировали новость и констатировали, что никакого «казанского Брейвика» не существует в природе, а администратором одноименного канала является уроженец Украины Ярослав Овсюк, который уже брал на себя ответственность за расстрел в школе в Ижевске в 2022 году. По данным открытых источников Овсюк может находиться на территории Польши. Деструктивный канал был заблокирован.
@tomhunter
Специалисты T.Hunter проанализировали новость и констатировали, что никакого «казанского Брейвика» не существует в природе, а администратором одноименного канала является уроженец Украины Ярослав Овсюк, который уже брал на себя ответственность за расстрел в школе в Ижевске в 2022 году. По данным открытых источников Овсюк может находиться на территории Польши. Деструктивный канал был заблокирован.
@tomhunter
🔥15🤡3❤1😁1🤔1
#news У Брайана Кребса вновь классика OSINT-расследований по владельцам киберпреступных сервисов. На этот раз лицо появилось у Faceless, работающего на малвари прокси-сервиса, который уже семь лет обеспечивает анонимностью злоумышленников. Ну а владельцем Faceless является MrMurza, наш соотечественник, на которого Кребс, предположительно, нарыл всю подноготную.
MrMurza активен на многих российских киберпреступных площадках как минимум с 2012-го года. По цепочке профилей, сообщений, ящиков и паролей Кребс вышел на некоего Дениса Викторовича Панкова. На товарища нашлись и фото, и дата рождения, и открытые ИП, и авто в Подмосковье. Герой истории постил о проксях и брутфорсе на хакерских форумах под ником Gaihnik25, был забанен в WoT за ботоводство и искал любовь на
@tomhunter
MrMurza активен на многих российских киберпреступных площадках как минимум с 2012-го года. По цепочке профилей, сообщений, ящиков и паролей Кребс вышел на некоего Дениса Викторовича Панкова. На товарища нашлись и фото, и дата рождения, и открытые ИП, и авто в Подмосковье. Герой истории постил о проксях и брутфорсе на хакерских форумах под ником Gaihnik25, был забанен в WoT за ботоводство и искал любовь на
dating.ru под игривым прозвищем Дэнчик. В общем, жил активной полноценной жизнью. На вопросы Кребса по всем адресам товарищ, увы, не ответил, но, должно быть, знатно удивился. Подробнее о Дэнчике читайте в отчёте.@tomhunter
😁13🔥4❤1
#news Март 2023-го побил рекорд по числу рансомварь-атак – за месяц исследователи отследили 459 инцидентов, что почти в два раза больше в сравнении с предыдущим месяцем. Виной тому стала CVE-2023-0669, уязвимость в софте для управления файлообменом GoAnywhere. Которая, собственно, позволила отличиться группировке Clop, укравшей данные 130 компаний всего за 10 дней.
С такими выдающимися результатами группировка вышла на первое место, обойдя в марте фаворитов рансомварь-мира LockBit. Самым же атакуемым сектором стали промышленные предприятия, на которые приходится треть от атак. Второе и третье место примерно поровну досталось компаниям в потребительском и технологическом секторах. В целом, мартовские рекорды служат хорошим напоминанием о том, что нужно не расслабляться, вовремя накатывать патчи и мониторить свои сети. Рансомварщик никогда не спит!
@tomhunter
С такими выдающимися результатами группировка вышла на первое место, обойдя в марте фаворитов рансомварь-мира LockBit. Самым же атакуемым сектором стали промышленные предприятия, на которые приходится треть от атак. Второе и третье место примерно поровну досталось компаниям в потребительском и технологическом секторах. В целом, мартовские рекорды служат хорошим напоминанием о том, что нужно не расслабляться, вовремя накатывать патчи и мониторить свои сети. Рансомварщик никогда не спит!
@tomhunter
❤7🔥2💯1
#news Спустя почти полтора месяца после обнаружения уязвимости, из-за которой март стал рекордным по рансомварь-атакам, производитель GoAnywhere MFT, компания Forta, выходит на связь. И делится подробностями об эксплойте. Так, в конце января компания обнаружила подозрительную активность в облаке. С помощью эксплойта злоумышленники создавали пользовательские аккаунты в клиентских средах. А затем закидывали Netcat и Errors.jsp для бэкдоров, доступа и скачивания файлов.
Между тем компания обнаружила, что ту же уязвимость в локальных конфигах для взлома их клиентов использовали с середины января. То есть эксплойт был в активном ходу две недели, прежде чем в Forta это заметили. Компания сообщает, что отработала по всем пострадавшим клиентам для защиты их инстансов. Увы, слегка запоздало. Рекордные рансомварь-надои марта у Clop с LockBit тому подтверждение.
@tomhunter
Между тем компания обнаружила, что ту же уязвимость в локальных конфигах для взлома их клиентов использовали с середины января. То есть эксплойт был в активном ходу две недели, прежде чем в Forta это заметили. Компания сообщает, что отработала по всем пострадавшим клиентам для защиты их инстансов. Увы, слегка запоздало. Рекордные рансомварь-надои марта у Clop с LockBit тому подтверждение.
@tomhunter
🔥3😁2🤯1
#news На криптокошелёк ФБК (признан экстремистской организацией) сегодня пришёл самый большой разовый донат за всю историю — 100 тысяч евро (3.81427174 в BTC). Отправитель оказался связанным с LocalBitcoins - одноранговой платформой обмена биткойнами, базирующейся в Хельсинки, Финляндия. Команда Навального ранее уже использовала площадку LocalBitcoins в Латвии для вывода биткоинов. Только в этот раз финансовый поток пошел, почему то, вспять...
@tomhunter
@tomhunter
🤔16❤3🔥2🤯1🎉1🤡1
#news Любопытные подробности недавней атаки по 3CX от Lazarus. Северокорейские криптостахановцы в очередной раз отличились: к атаке на цепочку поставок привела… другая их атака на цепочку поставок. А началось всё с того, что Lazarus скомпрометировали установщик софта для трейдинга X_Trader, который в 2022-м установил сотрудник 3CX. А его взломанный компьютер уже привёл к пошедшей через софт 3CX атаке. Исследователи из Mandiant пишут, что видят такое впервые.
Напомню, тогда десктопное приложение 3CX шло с малварью, позволявшей северокорейским злоумышленникам запускать произвольный код. А за масштабной атакой скрывались хирургические действия по установке бэкдоров в криптокомпании. И неизвестно, попали ли скомпрометированные версии X_Trader в какие-либо ещё компании. Между тем северокорейцам надо отдать должное – не перестают удивлять. Эй, приятель, мы слышали, тебе нравятся атаки на цепочку поставок…
@tomhunter
Напомню, тогда десктопное приложение 3CX шло с малварью, позволявшей северокорейским злоумышленникам запускать произвольный код. А за масштабной атакой скрывались хирургические действия по установке бэкдоров в криптокомпании. И неизвестно, попали ли скомпрометированные версии X_Trader в какие-либо ещё компании. Между тем северокорейцам надо отдать должное – не перестают удивлять. Эй, приятель, мы слышали, тебе нравятся атаки на цепочку поставок…
@tomhunter
🔥13😁1🤯1
#news Исследователи купили поддержанные корпоративные роутеры, чтобы проверить, чистят ли их должным образом перед перепродажей. Результаты занятные: большая часть роутеров шла с конфигами на подключение к сети, её структурой, клиентской информацией и всей прочей сетевой подноготной.
Так, из 16 роутеров почистили только пять, ещё на двух ограничили доступ. И на 8 из 9 роутеров со всеми конфигами бонусом шли ключи аутентификации и хэши. Ну а среди корпоративных секретиков были полные списки приложений, хостящихся локально и в облаке, данные доступа под VPN и прочие токены. Роутеры счастливчиков были из сетей сервис-провайдеров, а один и вовсе от MSSP, на бумаге обеспечивающего защиту информации в сетях сотен клиентов в разных секторах. А на деле с инфобезом у них как-то не задалось. Ну уж в такой-то компании пару команд для сброса роутера можно было не полениться вбить, прежде чем сдавать его в утиль...
@tomhunter
Так, из 16 роутеров почистили только пять, ещё на двух ограничили доступ. И на 8 из 9 роутеров со всеми конфигами бонусом шли ключи аутентификации и хэши. Ну а среди корпоративных секретиков были полные списки приложений, хостящихся локально и в облаке, данные доступа под VPN и прочие токены. Роутеры счастливчиков были из сетей сервис-провайдеров, а один и вовсе от MSSP, на бумаге обеспечивающего защиту информации в сетях сотен клиентов в разных секторах. А на деле с инфобезом у них как-то не задалось. Ну уж в такой-то компании пару команд для сброса роутера можно было не полениться вбить, прежде чем сдавать его в утиль...
@tomhunter
😁19🔥4🤯2❤1
#news На VirusTotal запустили новую фичу по анализу кода на основе языковой модели. Работающий на Google Cloud Security AI Workbench Code Insight анализирует файлы на предмет вредоносного поведения, причём работает независимо от антивирусного скана. Что позволяет выловить зловред и в ложноотрицательных результатах.
Пока новая фича работает только по некоторым PowerShell-файлам и пропускает ранее анализированные и слишком большие файлы для экономии ресурсов. Кроме того, точность результатов может варьироваться. Тем не менее, интеграция языковой модели в анализ кода уже сейчас позволит улучшить обнаружение угроз. На скрине пример обнаружения искусственным уже-не-болванчиком инфостилера в файле, который ни один из антивирусов на VirusTotal не задетектил. А здесь Code Insight описывает бота для кражи токенов в Discord. То ли ещё будет!
@tomhunter
Пока новая фича работает только по некоторым PowerShell-файлам и пропускает ранее анализированные и слишком большие файлы для экономии ресурсов. Кроме того, точность результатов может варьироваться. Тем не менее, интеграция языковой модели в анализ кода уже сейчас позволит улучшить обнаружение угроз. На скрине пример обнаружения искусственным уже-не-болванчиком инфостилера в файле, который ни один из антивирусов на VirusTotal не задетектил. А здесь Code Insight описывает бота для кражи токенов в Discord. То ли ещё будет!
@tomhunter
🔥9😁1🤯1
#news В сети начали разгонять слив записи телефонного разговора между якобы миллиардером Романом Троценко и его другом Николаем Матушевским, где они жалуются на Кремль. Пользуясь случаем расскажу о тех инструментах, которые могут быть использованы для проверки достоверности подобных аудиозаписей...
1️⃣ Получение метаданных видео
Для этого воспользуйтесь сервисом YouTube Metadata, который позволяет собрать все статистические и публичные данные о видеоролике, размещенном на YouTube.
2️⃣ Извлечение аудиодорожки
Количество сервисов, предназначенных для этого, зашкаливает. Попробую порекомендовать OnlyMP3, поскольку он работает из браузера.
3️⃣ Анализ аудиодорожки
Проанализировать запись, а также выявить в ней места склейки, поможет программа Аudacity. Она ставится на компьютер и условно бесплатна.
@tomhunter
1️⃣ Получение метаданных видео
Для этого воспользуйтесь сервисом YouTube Metadata, который позволяет собрать все статистические и публичные данные о видеоролике, размещенном на YouTube.
2️⃣ Извлечение аудиодорожки
Количество сервисов, предназначенных для этого, зашкаливает. Попробую порекомендовать OnlyMP3, поскольку он работает из браузера.
3️⃣ Анализ аудиодорожки
Проанализировать запись, а также выявить в ней места склейки, поможет программа Аudacity. Она ставится на компьютер и условно бесплатна.
@tomhunter
🔥10💩3🤡2🤔1
#news В древнем протоколе SLP обнаружили уязвимость, которая может привести к масштабным DDoS-атакам на амплификацию. Уязвимость CVE-2023-29552 позволяет злоумышленникам регистрировать сервисы на SLP-сервере и разогнать размер UDP-пакетов, забив буфер. Тем самым запрос может быть раздут в 2,200 раз, превратив крошечный пакет в массивную ответочку по цели.
Иными словами, у старичка SLP потенциал на крупнейшую DDoS-атаку на амплификацию с минимальными ресурсами. Исследователи насчитали ~54 тысяч уязвимых устройств в 2 тысячах организаций, причём они под стать самому SLP. Релизы ESXi c закончившейся общей поддержкой, роутеры от Planex, IMM от IBM… Где-то на Урале стоит старенький офисный принтер от Konica Minolta и ещё не знает, что может не только бумагу жевать, но и мощной DDoS-атакой вдарить.
@tomhunter
Иными словами, у старичка SLP потенциал на крупнейшую DDoS-атаку на амплификацию с минимальными ресурсами. Исследователи насчитали ~54 тысяч уязвимых устройств в 2 тысячах организаций, причём они под стать самому SLP. Релизы ESXi c закончившейся общей поддержкой, роутеры от Planex, IMM от IBM… Где-то на Урале стоит старенький офисный принтер от Konica Minolta и ещё не знает, что может не только бумагу жевать, но и мощной DDoS-атакой вдарить.
@tomhunter
😁23🔥2
#news Пара тысяч серверов Apache Superset уязвимы к атакам на обход аутентификации и удалённое исполнение кода. А причина проста: на них стоит дефолтный ключ Flask, и злоумышленники могут через эксплойт зайти под администратором на эти сервера.
При этом у проблемы занятная хронология. В октябре 2021-го безопасники из Horizon3 сообщили о ней Apache. Пару месяцев спустя компания добавила в логи предупреждение о том, что надо бы сменить дефолтные ключи. Год спустя Horizon3 опять связались с Apache и сообщили, что почти две трети серверов всё так же уязвимы. Безопасники начали рассылать компаниям письма с настойчивыми просьбами сменить конфиг. Ну а в этом апреле в Apache не выдержали и выпустили новую версию Superset, в которой сервер с дефолтным ключом просто не запустится. Ибо по-другому не понимают. Внимание, вопрос: сколько гневных жалоб на незапускающиеся сервера получит техподдержка?
@tomhunter
При этом у проблемы занятная хронология. В октябре 2021-го безопасники из Horizon3 сообщили о ней Apache. Пару месяцев спустя компания добавила в логи предупреждение о том, что надо бы сменить дефолтные ключи. Год спустя Horizon3 опять связались с Apache и сообщили, что почти две трети серверов всё так же уязвимы. Безопасники начали рассылать компаниям письма с настойчивыми просьбами сменить конфиг. Ну а в этом апреле в Apache не выдержали и выпустили новую версию Superset, в которой сервер с дефолтным ключом просто не запустится. Ибо по-другому не понимают. Внимание, вопрос: сколько гневных жалоб на незапускающиеся сервера получит техподдержка?
@tomhunter
😁10❤2
#news Атомными бывают не только кошельки, но и инфостилеры: под macOS засветился новый вредонос Atomic, он же AMOS. Распространяют его через Телеграм в виде dmg-файла за солидный ценник в 1000 долларов в месяц. Веб-панель между тем висит на ru-домене.
Малварь написана на Go и при запуске выдаёт фейковое окно под кражу системного пароля. А затем тянет пароли с Keychain, файлы с Desktop и Documents, плюс данные, куки и кредитки из браузеров. А заодно и данные с 50 криптоприложений и кошельков. В веб-панели брутфорсер под MetaMask, установщик дополнительных dmg, функционал под крипту и отправка логов в Телеграм. Свежая версия от 25 апреля, так что малварь в активной разработке и продолжает тренд криптостилеров под MacOS, которых становится всё больше. Подробнее об Atomic c IoCs и прочим читайте в отчёте.
@tomhunter
Малварь написана на Go и при запуске выдаёт фейковое окно под кражу системного пароля. А затем тянет пароли с Keychain, файлы с Desktop и Documents, плюс данные, куки и кредитки из браузеров. А заодно и данные с 50 криптоприложений и кошельков. В веб-панели брутфорсер под MetaMask, установщик дополнительных dmg, функционал под крипту и отправка логов в Телеграм. Свежая версия от 25 апреля, так что малварь в активной разработке и продолжает тренд криптостилеров под MacOS, которых становится всё больше. Подробнее об Atomic c IoCs и прочим читайте в отчёте.
@tomhunter
🔥8❤2🤯2🤔1
#news Гугл опубликовал отчёт по вредоносу в своём магазине приложений за 2022-й год. Так, компания забанила 173 тысячи аккаунтов, распространявших малварь и мошеннические приложения. А также заблокировала почти 1,5 миллиона вредоносных приложений, прежде чем они попали в магазин. Цифры примерно соответствуют 2021-му: на 200к больше забаненных приложений, чуть меньше девелоперских аккаунтов. И то благодаря вводу верификации разработчиков по почте и телефону.
Компания также сообщает, что предотвратила мошеннических транзакций на $2 миллиарда, а за последние 3 года заблокировала доступ полумиллиона приложений к рискованным разрешениям на устройствах. Между тем 14 версия Андроида выйдет с новыми фичами на улучшение безопасности. Ключевой названа блокировка вредоноса с эксплойтами под старые уровни API. Возможно, число историй формата «Юзеры установили приложение со смешными фильтрами и малварью миллион раз» в этом году всё же чуть уменьшится.
@tomhunter
Компания также сообщает, что предотвратила мошеннических транзакций на $2 миллиарда, а за последние 3 года заблокировала доступ полумиллиона приложений к рискованным разрешениям на устройствах. Между тем 14 версия Андроида выйдет с новыми фичами на улучшение безопасности. Ключевой названа блокировка вредоноса с эксплойтами под старые уровни API. Возможно, число историй формата «Юзеры установили приложение со смешными фильтрами и малварью миллион раз» в этом году всё же чуть уменьшится.
@tomhunter
❤5🔥2😁1
#news Немного социнженерии от рансомварщиков. В конце марта Western Digital взломали злоумышленники из BlackCat. Группировка стянула корпоративные данные якобы на 10TB и требует выкуп, заявив, что будет пинать компанию, пока она не выдержит. Сегодняшний пинок от BlackCat – это 29 скриншотов имейлов, документов и видеозвонков того, как компания обсуждала взлом и что с ним делать. То есть доступ у них ещё какое-то время был.
Группировка также заявила, что у них на руках личные данные юзеров с полным бэкапом SAP-бэкофиса компании, и продолжает сыпать угрозами. Между тем Western Digital не спешит выходить с ними на связь. Но когда взломавшие вас злоумышленники с попкорном читают черновики заявления для прессы и переписку о сливших инфу о взломе сотрудниках – это всё же как-то неловко.
@tomhunter
Группировка также заявила, что у них на руках личные данные юзеров с полным бэкапом SAP-бэкофиса компании, и продолжает сыпать угрозами. Между тем Western Digital не спешит выходить с ними на связь. Но когда взломавшие вас злоумышленники с попкорном читают черновики заявления для прессы и переписку о сливших инфу о взломе сотрудниках – это всё же как-то неловко.
@tomhunter
😁12🔥2
Опубликовал на Хабре небольшую статью, в которой мы поговорим об использовании Google Таблиц в исследованиях OSINT. Встроенный инструментарий позволяет проводить расследования по ФИО цели, месте проживания, ИНН и/или адресу электронной почты. Об этом и двух функциях Google Таблиц, превращающих их в простой в использовании инструмент OSINT-исследователя, читайте на нашем Хабре!
@tomhunter
@tomhunter
❤8🔥2😢1
#news Европол провёл крупную операцию «SpecTor» по аресту наркоторговцев с даркнет-маркета «Monopoly Market». 288 арестов в Штатах, Великобритании, Германии и других европейских странах, 50 миллионов евро в разных валютах и почти тонна конфискованных веществ.
«Monopoly Market» внезапно закрылся в декабря 2021-го, что породило спекуляции о перехвате его инфраструктуры полицией. Часть юзеров была уверена, что перехвачен был только экзит-скам маркета. Европол между тем не раскрывал подробностей и подтвердил перехват серверов только по следам операции. И тактика по оставлению злоумышленников из даркнета в темноте принесла свои плоды – SpecTor стала самым успешным ударом по даркнет-рынку наркотиков за последние три года. Ну а аресты и ехидные заявления Европола спустя полтора года о том, что все ваши базы на барыг и юзеров принадлежат нам, добавят седых волос пользователям прочих перехваченных спецслужбами площадок. Да, товарищи с RaidForums и Breached, это касается и вас.
@tomhunter
«Monopoly Market» внезапно закрылся в декабря 2021-го, что породило спекуляции о перехвате его инфраструктуры полицией. Часть юзеров была уверена, что перехвачен был только экзит-скам маркета. Европол между тем не раскрывал подробностей и подтвердил перехват серверов только по следам операции. И тактика по оставлению злоумышленников из даркнета в темноте принесла свои плоды – SpecTor стала самым успешным ударом по даркнет-рынку наркотиков за последние три года. Ну а аресты и ехидные заявления Европола спустя полтора года о том, что все ваши базы на барыг и юзеров принадлежат нам, добавят седых волос пользователям прочих перехваченных спецслужбами площадок. Да, товарищи с RaidForums и Breached, это касается и вас.
@tomhunter
🔥8😁2😢2🤔1