#news Март 2023-го побил рекорд по числу рансомварь-атак – за месяц исследователи отследили 459 инцидентов, что почти в два раза больше в сравнении с предыдущим месяцем. Виной тому стала CVE-2023-0669, уязвимость в софте для управления файлообменом GoAnywhere. Которая, собственно, позволила отличиться группировке Clop, укравшей данные 130 компаний всего за 10 дней.
С такими выдающимися результатами группировка вышла на первое место, обойдя в марте фаворитов рансомварь-мира LockBit. Самым же атакуемым сектором стали промышленные предприятия, на которые приходится треть от атак. Второе и третье место примерно поровну досталось компаниям в потребительском и технологическом секторах. В целом, мартовские рекорды служат хорошим напоминанием о том, что нужно не расслабляться, вовремя накатывать патчи и мониторить свои сети. Рансомварщик никогда не спит!
@tomhunter
С такими выдающимися результатами группировка вышла на первое место, обойдя в марте фаворитов рансомварь-мира LockBit. Самым же атакуемым сектором стали промышленные предприятия, на которые приходится треть от атак. Второе и третье место примерно поровну досталось компаниям в потребительском и технологическом секторах. В целом, мартовские рекорды служат хорошим напоминанием о том, что нужно не расслабляться, вовремя накатывать патчи и мониторить свои сети. Рансомварщик никогда не спит!
@tomhunter
❤7🔥2💯1
#news Спустя почти полтора месяца после обнаружения уязвимости, из-за которой март стал рекордным по рансомварь-атакам, производитель GoAnywhere MFT, компания Forta, выходит на связь. И делится подробностями об эксплойте. Так, в конце января компания обнаружила подозрительную активность в облаке. С помощью эксплойта злоумышленники создавали пользовательские аккаунты в клиентских средах. А затем закидывали Netcat и Errors.jsp для бэкдоров, доступа и скачивания файлов.
Между тем компания обнаружила, что ту же уязвимость в локальных конфигах для взлома их клиентов использовали с середины января. То есть эксплойт был в активном ходу две недели, прежде чем в Forta это заметили. Компания сообщает, что отработала по всем пострадавшим клиентам для защиты их инстансов. Увы, слегка запоздало. Рекордные рансомварь-надои марта у Clop с LockBit тому подтверждение.
@tomhunter
Между тем компания обнаружила, что ту же уязвимость в локальных конфигах для взлома их клиентов использовали с середины января. То есть эксплойт был в активном ходу две недели, прежде чем в Forta это заметили. Компания сообщает, что отработала по всем пострадавшим клиентам для защиты их инстансов. Увы, слегка запоздало. Рекордные рансомварь-надои марта у Clop с LockBit тому подтверждение.
@tomhunter
🔥3😁2🤯1
#news На криптокошелёк ФБК (признан экстремистской организацией) сегодня пришёл самый большой разовый донат за всю историю — 100 тысяч евро (3.81427174 в BTC). Отправитель оказался связанным с LocalBitcoins - одноранговой платформой обмена биткойнами, базирующейся в Хельсинки, Финляндия. Команда Навального ранее уже использовала площадку LocalBitcoins в Латвии для вывода биткоинов. Только в этот раз финансовый поток пошел, почему то, вспять...
@tomhunter
@tomhunter
🤔16❤3🔥2🤯1🎉1🤡1
#news Любопытные подробности недавней атаки по 3CX от Lazarus. Северокорейские криптостахановцы в очередной раз отличились: к атаке на цепочку поставок привела… другая их атака на цепочку поставок. А началось всё с того, что Lazarus скомпрометировали установщик софта для трейдинга X_Trader, который в 2022-м установил сотрудник 3CX. А его взломанный компьютер уже привёл к пошедшей через софт 3CX атаке. Исследователи из Mandiant пишут, что видят такое впервые.
Напомню, тогда десктопное приложение 3CX шло с малварью, позволявшей северокорейским злоумышленникам запускать произвольный код. А за масштабной атакой скрывались хирургические действия по установке бэкдоров в криптокомпании. И неизвестно, попали ли скомпрометированные версии X_Trader в какие-либо ещё компании. Между тем северокорейцам надо отдать должное – не перестают удивлять. Эй, приятель, мы слышали, тебе нравятся атаки на цепочку поставок…
@tomhunter
Напомню, тогда десктопное приложение 3CX шло с малварью, позволявшей северокорейским злоумышленникам запускать произвольный код. А за масштабной атакой скрывались хирургические действия по установке бэкдоров в криптокомпании. И неизвестно, попали ли скомпрометированные версии X_Trader в какие-либо ещё компании. Между тем северокорейцам надо отдать должное – не перестают удивлять. Эй, приятель, мы слышали, тебе нравятся атаки на цепочку поставок…
@tomhunter
🔥13😁1🤯1
#news Исследователи купили поддержанные корпоративные роутеры, чтобы проверить, чистят ли их должным образом перед перепродажей. Результаты занятные: большая часть роутеров шла с конфигами на подключение к сети, её структурой, клиентской информацией и всей прочей сетевой подноготной.
Так, из 16 роутеров почистили только пять, ещё на двух ограничили доступ. И на 8 из 9 роутеров со всеми конфигами бонусом шли ключи аутентификации и хэши. Ну а среди корпоративных секретиков были полные списки приложений, хостящихся локально и в облаке, данные доступа под VPN и прочие токены. Роутеры счастливчиков были из сетей сервис-провайдеров, а один и вовсе от MSSP, на бумаге обеспечивающего защиту информации в сетях сотен клиентов в разных секторах. А на деле с инфобезом у них как-то не задалось. Ну уж в такой-то компании пару команд для сброса роутера можно было не полениться вбить, прежде чем сдавать его в утиль...
@tomhunter
Так, из 16 роутеров почистили только пять, ещё на двух ограничили доступ. И на 8 из 9 роутеров со всеми конфигами бонусом шли ключи аутентификации и хэши. Ну а среди корпоративных секретиков были полные списки приложений, хостящихся локально и в облаке, данные доступа под VPN и прочие токены. Роутеры счастливчиков были из сетей сервис-провайдеров, а один и вовсе от MSSP, на бумаге обеспечивающего защиту информации в сетях сотен клиентов в разных секторах. А на деле с инфобезом у них как-то не задалось. Ну уж в такой-то компании пару команд для сброса роутера можно было не полениться вбить, прежде чем сдавать его в утиль...
@tomhunter
😁19🔥4🤯2❤1
#news На VirusTotal запустили новую фичу по анализу кода на основе языковой модели. Работающий на Google Cloud Security AI Workbench Code Insight анализирует файлы на предмет вредоносного поведения, причём работает независимо от антивирусного скана. Что позволяет выловить зловред и в ложноотрицательных результатах.
Пока новая фича работает только по некоторым PowerShell-файлам и пропускает ранее анализированные и слишком большие файлы для экономии ресурсов. Кроме того, точность результатов может варьироваться. Тем не менее, интеграция языковой модели в анализ кода уже сейчас позволит улучшить обнаружение угроз. На скрине пример обнаружения искусственным уже-не-болванчиком инфостилера в файле, который ни один из антивирусов на VirusTotal не задетектил. А здесь Code Insight описывает бота для кражи токенов в Discord. То ли ещё будет!
@tomhunter
Пока новая фича работает только по некоторым PowerShell-файлам и пропускает ранее анализированные и слишком большие файлы для экономии ресурсов. Кроме того, точность результатов может варьироваться. Тем не менее, интеграция языковой модели в анализ кода уже сейчас позволит улучшить обнаружение угроз. На скрине пример обнаружения искусственным уже-не-болванчиком инфостилера в файле, который ни один из антивирусов на VirusTotal не задетектил. А здесь Code Insight описывает бота для кражи токенов в Discord. То ли ещё будет!
@tomhunter
🔥9😁1🤯1
#news В сети начали разгонять слив записи телефонного разговора между якобы миллиардером Романом Троценко и его другом Николаем Матушевским, где они жалуются на Кремль. Пользуясь случаем расскажу о тех инструментах, которые могут быть использованы для проверки достоверности подобных аудиозаписей...
1️⃣ Получение метаданных видео
Для этого воспользуйтесь сервисом YouTube Metadata, который позволяет собрать все статистические и публичные данные о видеоролике, размещенном на YouTube.
2️⃣ Извлечение аудиодорожки
Количество сервисов, предназначенных для этого, зашкаливает. Попробую порекомендовать OnlyMP3, поскольку он работает из браузера.
3️⃣ Анализ аудиодорожки
Проанализировать запись, а также выявить в ней места склейки, поможет программа Аudacity. Она ставится на компьютер и условно бесплатна.
@tomhunter
1️⃣ Получение метаданных видео
Для этого воспользуйтесь сервисом YouTube Metadata, который позволяет собрать все статистические и публичные данные о видеоролике, размещенном на YouTube.
2️⃣ Извлечение аудиодорожки
Количество сервисов, предназначенных для этого, зашкаливает. Попробую порекомендовать OnlyMP3, поскольку он работает из браузера.
3️⃣ Анализ аудиодорожки
Проанализировать запись, а также выявить в ней места склейки, поможет программа Аudacity. Она ставится на компьютер и условно бесплатна.
@tomhunter
🔥10💩3🤡2🤔1
#news В древнем протоколе SLP обнаружили уязвимость, которая может привести к масштабным DDoS-атакам на амплификацию. Уязвимость CVE-2023-29552 позволяет злоумышленникам регистрировать сервисы на SLP-сервере и разогнать размер UDP-пакетов, забив буфер. Тем самым запрос может быть раздут в 2,200 раз, превратив крошечный пакет в массивную ответочку по цели.
Иными словами, у старичка SLP потенциал на крупнейшую DDoS-атаку на амплификацию с минимальными ресурсами. Исследователи насчитали ~54 тысяч уязвимых устройств в 2 тысячах организаций, причём они под стать самому SLP. Релизы ESXi c закончившейся общей поддержкой, роутеры от Planex, IMM от IBM… Где-то на Урале стоит старенький офисный принтер от Konica Minolta и ещё не знает, что может не только бумагу жевать, но и мощной DDoS-атакой вдарить.
@tomhunter
Иными словами, у старичка SLP потенциал на крупнейшую DDoS-атаку на амплификацию с минимальными ресурсами. Исследователи насчитали ~54 тысяч уязвимых устройств в 2 тысячах организаций, причём они под стать самому SLP. Релизы ESXi c закончившейся общей поддержкой, роутеры от Planex, IMM от IBM… Где-то на Урале стоит старенький офисный принтер от Konica Minolta и ещё не знает, что может не только бумагу жевать, но и мощной DDoS-атакой вдарить.
@tomhunter
😁23🔥2
#news Пара тысяч серверов Apache Superset уязвимы к атакам на обход аутентификации и удалённое исполнение кода. А причина проста: на них стоит дефолтный ключ Flask, и злоумышленники могут через эксплойт зайти под администратором на эти сервера.
При этом у проблемы занятная хронология. В октябре 2021-го безопасники из Horizon3 сообщили о ней Apache. Пару месяцев спустя компания добавила в логи предупреждение о том, что надо бы сменить дефолтные ключи. Год спустя Horizon3 опять связались с Apache и сообщили, что почти две трети серверов всё так же уязвимы. Безопасники начали рассылать компаниям письма с настойчивыми просьбами сменить конфиг. Ну а в этом апреле в Apache не выдержали и выпустили новую версию Superset, в которой сервер с дефолтным ключом просто не запустится. Ибо по-другому не понимают. Внимание, вопрос: сколько гневных жалоб на незапускающиеся сервера получит техподдержка?
@tomhunter
При этом у проблемы занятная хронология. В октябре 2021-го безопасники из Horizon3 сообщили о ней Apache. Пару месяцев спустя компания добавила в логи предупреждение о том, что надо бы сменить дефолтные ключи. Год спустя Horizon3 опять связались с Apache и сообщили, что почти две трети серверов всё так же уязвимы. Безопасники начали рассылать компаниям письма с настойчивыми просьбами сменить конфиг. Ну а в этом апреле в Apache не выдержали и выпустили новую версию Superset, в которой сервер с дефолтным ключом просто не запустится. Ибо по-другому не понимают. Внимание, вопрос: сколько гневных жалоб на незапускающиеся сервера получит техподдержка?
@tomhunter
😁10❤2
#news Атомными бывают не только кошельки, но и инфостилеры: под macOS засветился новый вредонос Atomic, он же AMOS. Распространяют его через Телеграм в виде dmg-файла за солидный ценник в 1000 долларов в месяц. Веб-панель между тем висит на ru-домене.
Малварь написана на Go и при запуске выдаёт фейковое окно под кражу системного пароля. А затем тянет пароли с Keychain, файлы с Desktop и Documents, плюс данные, куки и кредитки из браузеров. А заодно и данные с 50 криптоприложений и кошельков. В веб-панели брутфорсер под MetaMask, установщик дополнительных dmg, функционал под крипту и отправка логов в Телеграм. Свежая версия от 25 апреля, так что малварь в активной разработке и продолжает тренд криптостилеров под MacOS, которых становится всё больше. Подробнее об Atomic c IoCs и прочим читайте в отчёте.
@tomhunter
Малварь написана на Go и при запуске выдаёт фейковое окно под кражу системного пароля. А затем тянет пароли с Keychain, файлы с Desktop и Documents, плюс данные, куки и кредитки из браузеров. А заодно и данные с 50 криптоприложений и кошельков. В веб-панели брутфорсер под MetaMask, установщик дополнительных dmg, функционал под крипту и отправка логов в Телеграм. Свежая версия от 25 апреля, так что малварь в активной разработке и продолжает тренд криптостилеров под MacOS, которых становится всё больше. Подробнее об Atomic c IoCs и прочим читайте в отчёте.
@tomhunter
🔥8❤2🤯2🤔1
#news Гугл опубликовал отчёт по вредоносу в своём магазине приложений за 2022-й год. Так, компания забанила 173 тысячи аккаунтов, распространявших малварь и мошеннические приложения. А также заблокировала почти 1,5 миллиона вредоносных приложений, прежде чем они попали в магазин. Цифры примерно соответствуют 2021-му: на 200к больше забаненных приложений, чуть меньше девелоперских аккаунтов. И то благодаря вводу верификации разработчиков по почте и телефону.
Компания также сообщает, что предотвратила мошеннических транзакций на $2 миллиарда, а за последние 3 года заблокировала доступ полумиллиона приложений к рискованным разрешениям на устройствах. Между тем 14 версия Андроида выйдет с новыми фичами на улучшение безопасности. Ключевой названа блокировка вредоноса с эксплойтами под старые уровни API. Возможно, число историй формата «Юзеры установили приложение со смешными фильтрами и малварью миллион раз» в этом году всё же чуть уменьшится.
@tomhunter
Компания также сообщает, что предотвратила мошеннических транзакций на $2 миллиарда, а за последние 3 года заблокировала доступ полумиллиона приложений к рискованным разрешениям на устройствах. Между тем 14 версия Андроида выйдет с новыми фичами на улучшение безопасности. Ключевой названа блокировка вредоноса с эксплойтами под старые уровни API. Возможно, число историй формата «Юзеры установили приложение со смешными фильтрами и малварью миллион раз» в этом году всё же чуть уменьшится.
@tomhunter
❤5🔥2😁1
#news Немного социнженерии от рансомварщиков. В конце марта Western Digital взломали злоумышленники из BlackCat. Группировка стянула корпоративные данные якобы на 10TB и требует выкуп, заявив, что будет пинать компанию, пока она не выдержит. Сегодняшний пинок от BlackCat – это 29 скриншотов имейлов, документов и видеозвонков того, как компания обсуждала взлом и что с ним делать. То есть доступ у них ещё какое-то время был.
Группировка также заявила, что у них на руках личные данные юзеров с полным бэкапом SAP-бэкофиса компании, и продолжает сыпать угрозами. Между тем Western Digital не спешит выходить с ними на связь. Но когда взломавшие вас злоумышленники с попкорном читают черновики заявления для прессы и переписку о сливших инфу о взломе сотрудниках – это всё же как-то неловко.
@tomhunter
Группировка также заявила, что у них на руках личные данные юзеров с полным бэкапом SAP-бэкофиса компании, и продолжает сыпать угрозами. Между тем Western Digital не спешит выходить с ними на связь. Но когда взломавшие вас злоумышленники с попкорном читают черновики заявления для прессы и переписку о сливших инфу о взломе сотрудниках – это всё же как-то неловко.
@tomhunter
😁12🔥2
Опубликовал на Хабре небольшую статью, в которой мы поговорим об использовании Google Таблиц в исследованиях OSINT. Встроенный инструментарий позволяет проводить расследования по ФИО цели, месте проживания, ИНН и/или адресу электронной почты. Об этом и двух функциях Google Таблиц, превращающих их в простой в использовании инструмент OSINT-исследователя, читайте на нашем Хабре!
@tomhunter
@tomhunter
❤8🔥2😢1
#news Европол провёл крупную операцию «SpecTor» по аресту наркоторговцев с даркнет-маркета «Monopoly Market». 288 арестов в Штатах, Великобритании, Германии и других европейских странах, 50 миллионов евро в разных валютах и почти тонна конфискованных веществ.
«Monopoly Market» внезапно закрылся в декабря 2021-го, что породило спекуляции о перехвате его инфраструктуры полицией. Часть юзеров была уверена, что перехвачен был только экзит-скам маркета. Европол между тем не раскрывал подробностей и подтвердил перехват серверов только по следам операции. И тактика по оставлению злоумышленников из даркнета в темноте принесла свои плоды – SpecTor стала самым успешным ударом по даркнет-рынку наркотиков за последние три года. Ну а аресты и ехидные заявления Европола спустя полтора года о том, что все ваши базы на барыг и юзеров принадлежат нам, добавят седых волос пользователям прочих перехваченных спецслужбами площадок. Да, товарищи с RaidForums и Breached, это касается и вас.
@tomhunter
«Monopoly Market» внезапно закрылся в декабря 2021-го, что породило спекуляции о перехвате его инфраструктуры полицией. Часть юзеров была уверена, что перехвачен был только экзит-скам маркета. Европол между тем не раскрывал подробностей и подтвердил перехват серверов только по следам операции. И тактика по оставлению злоумышленников из даркнета в темноте принесла свои плоды – SpecTor стала самым успешным ударом по даркнет-рынку наркотиков за последние три года. Ну а аресты и ехидные заявления Европола спустя полтора года о том, что все ваши базы на барыг и юзеров принадлежат нам, добавят седых волос пользователям прочих перехваченных спецслужбами площадок. Да, товарищи с RaidForums и Breached, это касается и вас.
@tomhunter
🔥8😁2😢2🤔1
#news ФБР перехватило девять криптообменных площадок, отмывавших деньги для скамеров и прочих киберпреступников, включая рансомварь-группировки. Сервера находились в Штатах, Украине и нескольких других европейских странах. А сами сайты отличались околонулевой KYC-политикой и были рассчитаны на англо- и русскоязычную публику. Заглушка на сайтах на двух языках как бы намекает.
Перехват площадок усложнит финансовые операции рансомварщикам, а сервера в руках у ФБР сулят дальнейшие аресты среди владельцев и клиентов отключённых сервисов. Полный список по ссылке. Между тем это уже не первый в этом году удар по теневым криптобменникам: в марте на дно ушёл ChipMixer, а в январе был перехвачен Bitzlato, и владельцам обоих грозят солидные сроки. Так что месседж для Дикого Криптовалютного Запада, забитого ландроматами разной степени сомнительности, вполне понятный. Услуг ex-Conti, LockBit и прочим замечательным людям лучше не оказывать.
@tomhunter
Перехват площадок усложнит финансовые операции рансомварщикам, а сервера в руках у ФБР сулят дальнейшие аресты среди владельцев и клиентов отключённых сервисов. Полный список по ссылке. Между тем это уже не первый в этом году удар по теневым криптобменникам: в марте на дно ушёл ChipMixer, а в январе был перехвачен Bitzlato, и владельцам обоих грозят солидные сроки. Так что месседж для Дикого Криптовалютного Запада, забитого ландроматами разной степени сомнительности, вполне понятный. Услуг ex-Conti, LockBit и прочим замечательным людям лучше не оказывать.
@tomhunter
🔥6🤔2
#news В эфире претендент на самое идиотское киберпреступление года. На выходных у производителя FPV-очков Orqa устройства начали массово превращаться в кирпич при запуске. Как утверждает компания, это результат малвари в прошивке, которую несколько лет назад подсадил внештатный сотрудник. А сделал он это из расчёта, что воспользуется паникой и запросит солидный выкуп.
Кустарная рансомварь представляет из себя баг в прошивке в коде даты/времени. В сущности бомба с таймером, которая должна была сработать несколько лет спустя и поставить подросшую к тому моменту компанию в неловкое положение. Увы, шалость не удалась, запаниковал сам вымогатель и выложил фикс в открытый доступ, судя по всему, присочинив историю про «истёкшую лицензию». Между тем компания уже готовит свой фикс и судебный иск. Не «вымогательство», а «плата за лицензию». Не «тюремный срок», а «вынужденный переезд в закрытый санаторий».
@tomhunter
Кустарная рансомварь представляет из себя баг в прошивке в коде даты/времени. В сущности бомба с таймером, которая должна была сработать несколько лет спустя и поставить подросшую к тому моменту компанию в неловкое положение. Увы, шалость не удалась, запаниковал сам вымогатель и выложил фикс в открытый доступ, судя по всему, присочинив историю про «истёкшую лицензию». Между тем компания уже готовит свой фикс и судебный иск. Не «вымогательство», а «плата за лицензию». Не «тюремный срок», а «вынужденный переезд в закрытый санаторий».
@tomhunter
😁21💩3🤡1
#news Исследователь перехватил больше дюжины PHP-пакетов на Packagist с сотнями миллионов установок. Форки пакетов с заменёнными GitHub-ссылками вели на его репозиторий, а сделано это было, собственно, для самопиара. Единственным изменением в оригиналах было описание. Товарищ был краток: «Pwned by neskafe3v1... Ищу работу на позиции Application Security, Penetration Tester, Cyber Security Specialist».
Доступ к аккаунтам герой истории получил с помощью ранее скомпрометированных на других площадках данных – на всех четырёх были простенькие пароли и отсутствовала двухфакторка. Между тем на Packagist таким экспериментам не очень рады – ни их, ни владельцев пакетов об экстравагантном поиске вакансий не уведомили. Но наш большой оригинал уверен, что работа его теперь непременно найдёт. Что ж, главное, чтобы она была не в даркнете. А то его подход к тому, так сказать, располагает.
@tomhunter
Доступ к аккаунтам герой истории получил с помощью ранее скомпрометированных на других площадках данных – на всех четырёх были простенькие пароли и отсутствовала двухфакторка. Между тем на Packagist таким экспериментам не очень рады – ни их, ни владельцев пакетов об экстравагантном поиске вакансий не уведомили. Но наш большой оригинал уверен, что работа его теперь непременно найдёт. Что ж, главное, чтобы она была не в даркнете. А то его подход к тому, так сказать, располагает.
@tomhunter
🔥9😁5🤔2
#news Вновь инновации социнженерии от рансомварщиков. Недавно группировка AvosLocker взломала системы небольшого частного университета Блюфилд в Штатах. Администрация вскоре сообщила, что волноваться не о чем и хищения персональных данных не было. Но 1 мая злоумышленники воспользовались системой аварийного оповещения вуза, чтобы встряхнуть университет, и разослали сотрудникам и студентам угрозы через смс и почту.
Вместо оповещений о чрезвычайных происшествиях, студенты получили от рансомварщиков уведомления, что те стянули 1,2TB, включая личные данные учащихся. Которые будут опубликованы, если университет не заплатит выкуп. Злоумышленники также призвали не верить администрации, скрывающей масштабы взлома, и связаться со СМИ. И опубликовали сэмпл с украденными данными, скинув ссылки на Tor Browser и свой сайт. Тактика, конечно, весьма оригинальная. Зачем давить на жертву самим, когда за тебя это может сделать орда паникующих, недовольных студентов.
@tomhunter
Вместо оповещений о чрезвычайных происшествиях, студенты получили от рансомварщиков уведомления, что те стянули 1,2TB, включая личные данные учащихся. Которые будут опубликованы, если университет не заплатит выкуп. Злоумышленники также призвали не верить администрации, скрывающей масштабы взлома, и связаться со СМИ. И опубликовали сэмпл с украденными данными, скинув ссылки на Tor Browser и свой сайт. Тактика, конечно, весьма оригинальная. Зачем давить на жертву самим, когда за тебя это может сделать орда паникующих, недовольных студентов.
@tomhunter
🔥16😁5❤1
#news На прошлой неделе ФБР перехватило домены Try2Check – одного из старейших киберпреступных сервисов для проверки валидности украденных кредитных карт. Запущенный в 2005-м году сервис пользовался доверием многочисленных кардинговых площадок и обрабатывал больше миллиона запросов в месяц. Он принёс владельцу не меньше $18 миллионов, и им был наш соотечественник. Денис Кульков, 43 года, Самара.
В базе закрытой в 2017-м криптобиржи BTC-e товарищ Nordex, управлявший Try2Check, нашёлся под реальным именем. Затем органы обнаружили его ICloud-аккаунт, получили к нему доступ через суд... А там у Кулькова лежали фото его паспорта. На том можно было и закончить, но Кребс по традиции нарыл на героя истории всю подноготную. Что иронично, в слитых российских базах. Явки, пароли, адреса, данные по регистрации авто – роскошной Ferrari со столичных улиц. Подробнее о Кулькове читайте по ссылке, ну а желающим помочь ему выехать в зону Европола Штаты предлагают бонус в $10 миллионов.
@tomhunter
В базе закрытой в 2017-м криптобиржи BTC-e товарищ Nordex, управлявший Try2Check, нашёлся под реальным именем. Затем органы обнаружили его ICloud-аккаунт, получили к нему доступ через суд... А там у Кулькова лежали фото его паспорта. На том можно было и закончить, но Кребс по традиции нарыл на героя истории всю подноготную. Что иронично, в слитых российских базах. Явки, пароли, адреса, данные по регистрации авто – роскошной Ferrari со столичных улиц. Подробнее о Кулькове читайте по ссылке, ну а желающим помочь ему выехать в зону Европола Штаты предлагают бонус в $10 миллионов.
@tomhunter
🔥6😁4🤯3❤1
#news Первые последствия недавнего взлома MSI: группировка выложила исходники в открытый доступ, и среди них ключи для прошивки самой MSI (57 штук) и от Intel Boot Guard (166 штук). Утёкшие ключи могут быть использованы злоумышленниками для подписи малвари в UEFI-буткитах. Ключевая проблема в том, что ключи зашиты в интеловское железо и сменить их нельзя. Так что одним взломом Intel Boot Guard превращается в тыкву – скомпрометированы модели на процессорах с 11 по 13 поколения.
Между тем исследователи ещё в процессе разбора слива и обнаружили в нём, например, интеловский OEM-ключ, которым подписаны устройства от HP, Lenovo, AOPEN, CompuLab... Иными словами, утечка затрагивает не только модели от самой MSI, но также и продукты компаний по всей индустрии. И её масштабы ещё только предстоит оценить. К слову,
@tomhunter
Между тем исследователи ещё в процессе разбора слива и обнаружили в нём, например, интеловский OEM-ключ, которым подписаны устройства от HP, Lenovo, AOPEN, CompuLab... Иными словами, утечка затрагивает не только модели от самой MSI, но также и продукты компаний по всей индустрии. И её масштабы ещё только предстоит оценить. К слову,
Fwhunt.run обнаруживает подписанные слитыми ключами прошивки. И этот пост написан со скомпрометированного устройства. Спасибо, MSI.@tomhunter
🔥8🤯4😢3❤1
#news Майкрософт сделал обязательной фичу по подтверждению входа в своём приложении Microsoft Authenticator. Для логина нужно будет вводить в приложении число, которое пользователь видит на другом устройстве при попытке входа. Сделано это, как водится, для борьбы с атаками: фича рассчитана на так называемые MFA fatigue attacks, в которых владельца аккаунта забрасывают MFA-запросами в расчёте, что он кликнет по ошибке или от раздражения.
С сегодняшнего дня фича включится у всех юзеров со входом через push-уведомления. Между тем решение своевременное: такие атаки привели ко многим громким взломам прошлого года – Cisco, Uber и самой Microsoft. Что занятно, ранее фича была опциональной, и её давно и настойчиво рекомендуют подключать разработчики приложений для аутентификации. В Майкрософт, видимо, приняли взлом от Lapsus$ близко к сердцу, так что безопасность больше не обсуждается.
@tomhunter
С сегодняшнего дня фича включится у всех юзеров со входом через push-уведомления. Между тем решение своевременное: такие атаки привели ко многим громким взломам прошлого года – Cisco, Uber и самой Microsoft. Что занятно, ранее фича была опциональной, и её давно и настойчиво рекомендуют подключать разработчики приложений для аутентификации. В Майкрософт, видимо, приняли взлом от Lapsus$ близко к сердцу, так что безопасность больше не обсуждается.
@tomhunter
🔥5🤡2😁1