#news В Штатах возбудили уголовное дело на нашего соотечественника, Михаила Павловича Матвеева, также известного как Wazawaka и BorisElcin. Его обвиняют в участии в трёх рансомварь-группировках, Hive, LockBit и Babuk. Названный ключевой фигурой в развитии российской рансомвари, Матвеев также попал под санкции за участие в атаках на организации и критическую инфраструктуру в США.
Между тем товарищ Wazawaka, известный брокер начального доступа, и не скрывает свою киберпреступную деятельность, раздаёт интервью, делится эксплойтами онлайн и утверждает, что никто его в России не тронет, пока он следует золотому правилу киберпреступника «Не гадь там, где живёшь». Матвеев также расширил его до «Отдыхай на родине и не выезжай за границу». Ну а пока за его поимку назначены уже знаковые в этой сфере «до 10 миллионов долларов», и можно делать ставки, не бросит ли его однажды родина, как то было, например, с REvil. Подробнее о Матвееве читайте в прошлогоднем отчёте от Кребса.
@tomhunter
Между тем товарищ Wazawaka, известный брокер начального доступа, и не скрывает свою киберпреступную деятельность, раздаёт интервью, делится эксплойтами онлайн и утверждает, что никто его в России не тронет, пока он следует золотому правилу киберпреступника «Не гадь там, где живёшь». Матвеев также расширил его до «Отдыхай на родине и не выезжай за границу». Ну а пока за его поимку назначены уже знаковые в этой сфере «до 10 миллионов долларов», и можно делать ставки, не бросит ли его однажды родина, как то было, например, с REvil. Подробнее о Матвееве читайте в прошлогоднем отчёте от Кребса.
@tomhunter
🔥9🤯3
#news Запущенные Гуглом новые домены верхнего уровня разожгли горячие дискуссии в инфобез-сообществе. А всё потому что среди них оказались .zip и .mov. Как считают некоторые специалисты, это создаёт ненужные риски и простор для фишинговых атак. На .zip-домене регистрируют образовательные страницы на тему того, почему .zip-домена не должно быть. Запрашивают удаление новых доменов из Public Suffix List Мозиллы, демонстрируют фишинговые страницы под видом ссылок на легитимные файлы с Гитхаба... В общем, страсти кипят.
Между тем пока часть безопасников посмеивается над «раздутой .zip-угрозой», злоумышленники тоже не дремлют. Например, уже обнаружились фишинговые страницы для кражи данных доступа Microsoft по чудесному адресу microsoft-office[.]zip. И гиперссылки, оканчивающиеся на .zip, которые теперь расползутся по сети, явно не поспособствуют безопасности среднего юзера. Так что ирония может быть преждевременной.
@tomhunter
Между тем пока часть безопасников посмеивается над «раздутой .zip-угрозой», злоумышленники тоже не дремлют. Например, уже обнаружились фишинговые страницы для кражи данных доступа Microsoft по чудесному адресу microsoft-office[.]zip. И гиперссылки, оканчивающиеся на .zip, которые теперь расползутся по сети, явно не поспособствуют безопасности среднего юзера. Так что ирония может быть преждевременной.
@tomhunter
❤5🔥2🤔2🤯1💯1
#news К чудным новинкам рансомвари. В сетевых дебрях замечены MalasLocker, шифрующие сервера Zimbra и крадущие с них почту. Примечательны они не только редким в таких случаях инструментом для шифрования Age. Вместо выкупа злоумышленники якобы просят у жертв… пожертвовать деньги в благотворительный фонд по их выбору.
На сайте с утечками группировки выложен пространный манифест, полный ресентимента про классовую борьбу с корпорациями, неравенством и ужасами колониализма в Африке, Латинской Америке и Палестине. И с восхитительными заходами про то, что рансомварь не должна быть инструментом исключительно финансово мотивированных российских группировок. В общем, фабрики рабочим, энкрипторы угнетённым. Пока скучные рансомварщики из России застряли в диком капитализме, где-то на другом конце света товарищи из MalasLocker живут в тёплом ламповом мире Shadowrun. Где энкриптор – это инструмент освободительной цифровой борьбы. Такой вот сентиментальный рансомварь-хактивизм.
@tomhunter
На сайте с утечками группировки выложен пространный манифест, полный ресентимента про классовую борьбу с корпорациями, неравенством и ужасами колониализма в Африке, Латинской Америке и Палестине. И с восхитительными заходами про то, что рансомварь не должна быть инструментом исключительно финансово мотивированных российских группировок. В общем, фабрики рабочим, энкрипторы угнетённым. Пока скучные рансомварщики из России застряли в диком капитализме, где-то на другом конце света товарищи из MalasLocker живут в тёплом ламповом мире Shadowrun. Где энкриптор – это инструмент освободительной цифровой борьбы. Такой вот сентиментальный рансомварь-хактивизм.
@tomhunter
❤10😁5🔥1
#news Блокчейн-компания LayerZero Labs запустила рекордную BB-программу на платформе Immunefi. Белошляпочников с проверками концепции к критическим уязвимостям в блокчейнах и смарт-контрактах ждут выплаты до 15 миллионов долларов. Сумма делает программу крупнейшей в истории.
В категорию критических попали эксплойты под безвозвратную блокировку, утрату или кражу пользовательских средств, а также флешинг. Максимальные выплаты идут в первой группе за уязвимости в платформах Ethereum, BNB Chain, Avalanche, Polygon, Arbitrum, Optimism, и Fantom. Во вторую попадают все прочие блокчейны, поддерживаемые LayerZero. Выплаты, что характерно, можно получить в стейблкойнах. Кроме того, перед их получением нужно будет пройти проверку Министерства Финансов США на предмет присутствия в санкционных списках. Что-то мне подсказывает, большие специалисты по блокчейнам из КНДР этому пункту будут очень не рады.
@tomhunter
В категорию критических попали эксплойты под безвозвратную блокировку, утрату или кражу пользовательских средств, а также флешинг. Максимальные выплаты идут в первой группе за уязвимости в платформах Ethereum, BNB Chain, Avalanche, Polygon, Arbitrum, Optimism, и Fantom. Во вторую попадают все прочие блокчейны, поддерживаемые LayerZero. Выплаты, что характерно, можно получить в стейблкойнах. Кроме того, перед их получением нужно будет пройти проверку Министерства Финансов США на предмет присутствия в санкционных списках. Что-то мне подсказывает, большие специалисты по блокчейнам из КНДР этому пункту будут очень не рады.
@tomhunter
😁5🔥3🤯1
#news Cisco сообщила о четырёх критических уязвимостях в своих свитчах. Несложный эксплойт позволяет злоумышленникам исполнять произвольный код с рут-правами на скомпрометированных устройствах. И дальше полный набор: все четыре уязвимости на 9.8 баллов, эксплойтятся по отдельности, участия юзера не требуют, и к ним в сети уже есть проверки концепции.
Уязвимости связаны с неверной валидацией запросов, отправляемых в веб-интерфейсы свитчей. Что, собственно, позволяет злоумышленникам отправить вредоносный запрос для атаки. В свитчах серии 250, 350, 350X и 550X, включая бизнес-модели, уязвимости исправлены в свежих версиях прошивки. А вот устаревшие модели серий 200, 300 и 500, увы, останутся без патчей, так как у них уже закончилась поддержка. Так что этих старичков уж точно пора отключать от сети. Подробнее об уязвимостях в отчёте Cisco.
@tomhunter
Уязвимости связаны с неверной валидацией запросов, отправляемых в веб-интерфейсы свитчей. Что, собственно, позволяет злоумышленникам отправить вредоносный запрос для атаки. В свитчах серии 250, 350, 350X и 550X, включая бизнес-модели, уязвимости исправлены в свежих версиях прошивки. А вот устаревшие модели серий 200, 300 и 500, увы, останутся без патчей, так как у них уже закончилась поддержка. Так что этих старичков уж точно пора отключать от сети. Подробнее об уязвимостях в отчёте Cisco.
@tomhunter
🔥6😢3😁2
#news Пятничная новость об очередном малолетнем боге хакинга. В США предъявлены обвинения ответственному за взлом сайта для ставок DraftKings в ноябре 2022-го. Им оказался 18-летний паренёк Джозеф Гаррисон из Висконсина. На его устройствах нашли софт для атак на подстановку учётных данных, 700 конфигов под них и файлы с 40 миллионами учёток.
После взлома аккаунтов на DraftKings юное дарование с соучастниками продавали их под вывод средств. Всего были украдены около $600 тысяч c 1,600 аккаунтов. Тем же методом были взломаны аналогичная платформа FanDuel и сайт сети фастфуд-ресторанов Chick-Fil-A. Аккаунты шли с молотка через магазин Гаррисона, а в его телефоне нашли скриншот без даты с упоминанием более 200 тысяч транзакций на сумму больше $2 миллионов. Плюс переписку с подельниками о взломе DraftKings. Ну и традиционное для его лет «Взломы – это весело и увлекательно, полиция меня не поймает, я неуязвим». В общем, очередной скрипт-кидди столкнулся с суровой реальностью. Увы и ах.
@tomhunter
После взлома аккаунтов на DraftKings юное дарование с соучастниками продавали их под вывод средств. Всего были украдены около $600 тысяч c 1,600 аккаунтов. Тем же методом были взломаны аналогичная платформа FanDuel и сайт сети фастфуд-ресторанов Chick-Fil-A. Аккаунты шли с молотка через магазин Гаррисона, а в его телефоне нашли скриншот без даты с упоминанием более 200 тысяч транзакций на сумму больше $2 миллионов. Плюс переписку с подельниками о взломе DraftKings. Ну и традиционное для его лет «Взломы – это весело и увлекательно, полиция меня не поймает, я неуязвим». В общем, очередной скрипт-кидди столкнулся с суровой реальностью. Увы и ах.
@tomhunter
😁14🔥5
#news Принтеры от HP начали уходить в BSOD по всему миру. Затронуты полдюжины моделей серии HP OfficeJet 902x. А виной тому кривая прошивка от HP, обновление которой выпустили ранее в этом месяце. Причём накатывается она автоматически на подключённых к интернету принтерах.
Получившие забагованное обновление устройства выдают синий экран, на этом их дальнейшая работоспособность ограничивается. Форум HP уже пару недель завален тредами с десятками страниц жалоб, а вот решения у фирмы всё ещё нет. Между тем поддержка HP сообщает некоторым юзерам, что принтеры придётся отправлять к ним на обслуживание, либо они вышлют замену. Ну а пока единственной рекомендацией остаётся отключить принтер от интернета, чтобы криворукий производитель ненароком не превратил его в кирпич. В общем, HP, как обычно, держит марку.
@tomhunter
Получившие забагованное обновление устройства выдают синий экран, на этом их дальнейшая работоспособность ограничивается. Форум HP уже пару недель завален тредами с десятками страниц жалоб, а вот решения у фирмы всё ещё нет. Между тем поддержка HP сообщает некоторым юзерам, что принтеры придётся отправлять к ним на обслуживание, либо они вышлют замену. Ну а пока единственной рекомендацией остаётся отключить принтер от интернета, чтобы криворукий производитель ненароком не превратил его в кирпич. В общем, HP, как обычно, держит марку.
@tomhunter
😁8🤯4🔥2
#news Скучали по сливам данных юзеров из России? В открытом доступе всплыли данные пользователей сети лабораторий «Ситилаб». ФИО, логины, почты, хешированные пароли, телефоны. Примерно по полмиллиона уникальных ящиков и телефонов. А также сканы анализов, паспортов, договоров и чеков – в сэмле 1,000 pdf-ок с ними.
Между тем это якобы лишь 1.7ТБ от 14ТБ внутренних данных, стянутых злоумышленниками после взлома. База свежая, актуальна на 18 мая, и почтовые ящики бьются по форме восстановления на сайте «Ситилаб». Компания же пока не спешит давать комментарии касаемо произошедшего. Но опасаться им особо нечего: если вы думали, что за год в плане ответственности за сливы что-то изменилось, то нет. Так, пару недель назад VK выписали минимальный штраф в 60 тысяч рублей за утечку данных 3,5 миллионов пользователей почты Mail[.]ru. А за небольшой слив, не дотягивающий и до миллиона, можно на первый раз просто пальчиком погрозить.
@tomhunter
Между тем это якобы лишь 1.7ТБ от 14ТБ внутренних данных, стянутых злоумышленниками после взлома. База свежая, актуальна на 18 мая, и почтовые ящики бьются по форме восстановления на сайте «Ситилаб». Компания же пока не спешит давать комментарии касаемо произошедшего. Но опасаться им особо нечего: если вы думали, что за год в плане ответственности за сливы что-то изменилось, то нет. Так, пару недель назад VK выписали минимальный штраф в 60 тысяч рублей за утечку данных 3,5 миллионов пользователей почты Mail[.]ru. А за небольшой слив, не дотягивающий и до миллиона, можно на первый раз просто пальчиком погрозить.
@tomhunter
🤬9😁6❤2🔥2
На нашем Хабре новая статья. В ней мы рассмотрим как создать свой сервис для исследования криптовалют. Что-нибудь слышали про «Прозрачный блокчейн»? По данным СМИ, сумма, потраченная на создание этого российского программного продукта, составляет около 2 миллиардов рублей. Довольно много, не находите? Давайте в рамках небольшого эксперимента попробуем воспроизвести этот функционал и даже расширить его подручными средствами… За подробностями добро пожаловать на Хабр!
@tomhunter
@tomhunter
❤11🔥5
#news Телефоны на Андроид оказались уязвимы к брутфорс-атакам. И нет, они не на подбор PIN-кода – исследователи брутфорснули устройства через отпечатки пальцев. Для этого оказалось достаточно базы отпечатков и оборудования за 15 баксов. При этом на iOS защита оказалась прочнее, но все протестированные Android и HarmonyOS устройства перед брутфорсом сдались.
На изученных моделях удалось обойти защиту на ограничение числа попыток разблокирования и проверку на реальный палец. Так, на телефонах с одним зарегистрированным отпечатком уходит от 3 до 14 часов на взлом. Если же в базе устройства их несколько, время сокращается до 3 часов и вплоть до лишь 40 минут. Брутфорс по базе отпечатков, само собой, не подразумевает полного совпадения – достаточно продавить коэффициент ложного пропуска. Так что если уязвимость не закроют, у телефонных воров и товарища майора рискует появиться удобное подспорье. Подробнее об атаке в исследовании.
@tomhunter
На изученных моделях удалось обойти защиту на ограничение числа попыток разблокирования и проверку на реальный палец. Так, на телефонах с одним зарегистрированным отпечатком уходит от 3 до 14 часов на взлом. Если же в базе устройства их несколько, время сокращается до 3 часов и вплоть до лишь 40 минут. Брутфорс по базе отпечатков, само собой, не подразумевает полного совпадения – достаточно продавить коэффициент ложного пропуска. Так что если уязвимость не закроют, у телефонных воров и товарища майора рискует появиться удобное подспорье. Подробнее об атаке в исследовании.
@tomhunter
🔥8🤯3
#news В Великобритании признали виновным очередного безопасника, пытавшегося шантажировать работодателя от лица киберпреступников. В феврале 2018-го Эшли Лайлз работал в компании в Оксфорде, которая пострадала от рансомварь-атаки. Будучи частью команды, разбиравшейся с инцидентом, наш герой решил подзаработать. И подменил криптоадрес, предоставленный злоумышленниками, своим.
Он также создал почтовый ящик, похожий на оригинальный от атакующих, и начал давить на работодателя, чтобы ускорить выплату выкупа. Увы, вести переговоры с киберпреступниками компания не собиралась. А внутреннее расследование показало, что Лайлз недавно больше 300 раз лазил в почту члена совета директоров. Со своего домашнего айпишника. Поняв, что всё пропало, наш горе-безопасник почистил устройства, но после штурма его дома полицией инфу удалось восстановить. Видимо, опсек в список обязанностей товарища Лайлза на рабочем месте не входил. Один балл за находчивость, до 14 лет тюрьмы за попытку.
@tomhunter
Он также создал почтовый ящик, похожий на оригинальный от атакующих, и начал давить на работодателя, чтобы ускорить выплату выкупа. Увы, вести переговоры с киберпреступниками компания не собиралась. А внутреннее расследование показало, что Лайлз недавно больше 300 раз лазил в почту члена совета директоров. Со своего домашнего айпишника. Поняв, что всё пропало, наш горе-безопасник почистил устройства, но после штурма его дома полицией инфу удалось восстановить. Видимо, опсек в список обязанностей товарища Лайлза на рабочем месте не входил. Один балл за находчивость, до 14 лет тюрьмы за попытку.
@tomhunter
😁16❤3🔥3
#news GitLab рекомендует срочно патчить обнаруженную критическую уязвимость. Всего ничего по CVSS – 10 баллов из 10. Она затрагивает GitLab Community Edition и Enterprise Edition версии 16.0.0.
Уязвимость обхода пути CVE-2023-2825 позволяет неавторизованному злоумышленнику получить доступ к произвольным файлам на сервере. Что может оказаться и проприетарным кодом, и данными доступа, и токенами, и прочими приватными файлами. Под угрозой репы, в которых в публичных проектах есть вложения, вложенные как минимум в пять групп. Уязвимость, собственно, связана с тем, как GitLab обрабатывает пути для таких вложений. Единственное решение проблемы – накатить обновление, и разработчик настойчиво призывает с этим не медлить. В конце концов, не каждый день уязвимость выбивает десяточку по CVSS.
@tomhunter
Уязвимость обхода пути CVE-2023-2825 позволяет неавторизованному злоумышленнику получить доступ к произвольным файлам на сервере. Что может оказаться и проприетарным кодом, и данными доступа, и токенами, и прочими приватными файлами. Под угрозой репы, в которых в публичных проектах есть вложения, вложенные как минимум в пять групп. Уязвимость, собственно, связана с тем, как GitLab обрабатывает пути для таких вложений. Единственное решение проблемы – накатить обновление, и разработчик настойчиво призывает с этим не медлить. В конце концов, не каждый день уязвимость выбивает десяточку по CVSS.
@tomhunter
😁7❤1🔥1
#news Rheinmetall подтвердила рансомварь-атаку по своим системам. Она произошла 14 апреля и затронула, как утверждает компания, только гражданский сектор её бизнеса. Военный же, задействованный в известных событиях, якобы не пострадал ввиду строгого разделения IT-инфраструктуры в компании.
Ну а за атакой, как водится, стояли вездесущие русские хакеры. А именно рансомварщики из русскоязычной группировки BlackBasta. На сайте злоумышленников опубликован сэмпл с чертежами, соглашениями о неразглашении, сканами паспортов и закупочными ведомостями. Rheinmetall подробностями атаки не делится помимо упомянутой выше оговорки о гражданском секторе. Ну а охваченные патриотическим порывом товарищи из BlackBasta могут порадоваться успеху и тихонько надеяться, что не станут разменной монетой в политических игрищах, как было с REvil.
@tomhunter
Ну а за атакой, как водится, стояли вездесущие русские хакеры. А именно рансомварщики из русскоязычной группировки BlackBasta. На сайте злоумышленников опубликован сэмпл с чертежами, соглашениями о неразглашении, сканами паспортов и закупочными ведомостями. Rheinmetall подробностями атаки не делится помимо упомянутой выше оговорки о гражданском секторе. Ну а охваченные патриотическим порывом товарищи из BlackBasta могут порадоваться успеху и тихонько надеяться, что не станут разменной монетой в политических игрищах, как было с REvil.
@tomhunter
🔥8❤5😁2🤔1
#news В эфире снова спайварь Pegasus, отличившаяся новым же пробитым дном. Вышел большой отчёт по заражениям им в Армении с октября 2020-го по декабрь 2022-го. Спайварь нашли на устройствах журналистов, правозащитников и политиков. И активность совпала с пиками обострений и переговорами во время армяно-азербайджанского конфликта. Иными словами, перед нами, видимо, первое применение Pegasus в военной зоне.
Косвенные данные свидетельствуют о том, что заказчиком был Азербайджан. Исследователи допускают, что армянское правительство тоже заинтересовано в слежке за правозащитниками, но у него под это дело, судя по всему, подписка только на другую – что иронично, тоже израильскую – спайварь Predator. В общем, товарищи из NSO Group продолжают класть своего пегаса на международное гуманитарное право и дошли до того, что обслуживают интересы правительств в военных конфликтах. По крайней мере, их рекламные буклеты не врут: «национальную безопасность» они действительно укрепляют. В этот раз азербайджанскую.
@tomhunter
Косвенные данные свидетельствуют о том, что заказчиком был Азербайджан. Исследователи допускают, что армянское правительство тоже заинтересовано в слежке за правозащитниками, но у него под это дело, судя по всему, подписка только на другую – что иронично, тоже израильскую – спайварь Predator. В общем, товарищи из NSO Group продолжают класть своего пегаса на международное гуманитарное право и дошли до того, что обслуживают интересы правительств в военных конфликтах. По крайней мере, их рекламные буклеты не врут: «национальную безопасность» они действительно укрепляют. В этот раз азербайджанскую.
@tomhunter
🤯5❤4🔥2😁1😢1
#news К вопросу о спайвари Predator от израильской компании Intellexa. По ней на днях вышло исследование с детальным разбором функционала. Спайварь записывает звонки, собирает сообщения с мессенджеров, может скрывать приложения на заражённом телефоне и препятствовать их запуску. Плюс в ней произвольный код, нумерация каталогов и кастомные сертификаты на уровне пользователя.
Predator идёт со своим загрузчиком Alien. Что отличает его от копеечных инфостилеров, так это обход защиты SELinix. Alien также работает на ioctl-командах, которые SELinux не проверяет, и спайварь стягивает данные с устройства без нарушения прав доступа. Неизученными остались два модуля спайвари. Исследователи считают, что в них зарыты отслеживание геолокации, угон камеры телефона под произвольные фото и чтение/запись kernel space. Подробнее о Predator в отчёте от Cisco Talos.
@tomhunter
Predator идёт со своим загрузчиком Alien. Что отличает его от копеечных инфостилеров, так это обход защиты SELinix. Alien также работает на ioctl-командах, которые SELinux не проверяет, и спайварь стягивает данные с устройства без нарушения прав доступа. Неизученными остались два модуля спайвари. Исследователи считают, что в них зарыты отслеживание геолокации, угон камеры телефона под произвольные фото и чтение/запись kernel space. Подробнее о Predator в отчёте от Cisco Talos.
@tomhunter
🔥9❤3
#news Не прошло и месяца с появления zip-домена от Гугла, а у нас уже есть оригинальные примеры малвари на нём. Исследователь mr.d0x, автор атаки браузер-в-браузере, собрал фишинговый тулкит в виде нового фейкового окна в браузере, которое выглядит, как Winrar с открытым юзером zip-архивом. Для убедительности в окно вшита кнопка Scan, клик по которой, конечно, никаких угроз не выявляет.
Такой тулкит может быть с лёгкостью использован для кражи данных доступа и доставки малвари. Особенно если злоумышленник зарегистрирует соответствующий zip-домен, ссылку на который и Winrar-окно на нём средний юзер примет за чистую монету. Альтернативный вариант от mr.d0x выглядит как фейковое окно Windows File Explorer с zip-файлом. Немного креатива с CSS и HTML, и такие окошки будут выглядеть ещё более убедительно. В общем, Гугл своим zip-доменом приоткрыл занятный такой ящик Пандоры. Не удивлюсь, если мы уже совсем скоро услышим про фишинговые кампании и громкие взломы с zip-душком.
@tomhunter
Такой тулкит может быть с лёгкостью использован для кражи данных доступа и доставки малвари. Особенно если злоумышленник зарегистрирует соответствующий zip-домен, ссылку на который и Winrar-окно на нём средний юзер примет за чистую монету. Альтернативный вариант от mr.d0x выглядит как фейковое окно Windows File Explorer с zip-файлом. Немного креатива с CSS и HTML, и такие окошки будут выглядеть ещё более убедительно. В общем, Гугл своим zip-доменом приоткрыл занятный такой ящик Пандоры. Не удивлюсь, если мы уже совсем скоро услышим про фишинговые кампании и громкие взломы с zip-душком.
@tomhunter
🤯8❤3🔥2😁1🤡1
#news Очередная DeFi-криптоплатформа подверглась взлому. C Jimbos Protocol стянули 4,090 в эфире, что на сегодня составляет более $7,5 миллионов. Как обычно, атака на мгновенные займы: злоумышленник взял займ в $5,9 миллиона, пошатал стоимость токена и ушёл с эфиром. Контроль за проскальзыванием разработчики обещали, но не завезли.
Пикантности атаке добавляет то, что платформа запустила V2 своего протокола всего за три дня до атаки. В отличие от предыдущей «экспериментальной» версии эта была рассчитана на более надёжные инвестиции. Многие успели вложиться в их токен в расчёте на то, что в этот раз в выигрыше будет не криптоказино. Увы, по следам взлома цена Jimbo-токена моментально ушла на дно. Владельцы протокола теперь упрашивают взломщиков вернуть 90% украденного в обмен на отказ от преследования. Что иронично, Jimbos Protocol рекламировали себя как «твой любимый эксперимент с ликвидностью». Ну что сказать, эксперимент удался.
@tomhunter
Пикантности атаке добавляет то, что платформа запустила V2 своего протокола всего за три дня до атаки. В отличие от предыдущей «экспериментальной» версии эта была рассчитана на более надёжные инвестиции. Многие успели вложиться в их токен в расчёте на то, что в этот раз в выигрыше будет не криптоказино. Увы, по следам взлома цена Jimbo-токена моментально ушла на дно. Владельцы протокола теперь упрашивают взломщиков вернуть 90% украденного в обмен на отказ от преследования. Что иронично, Jimbos Protocol рекламировали себя как «твой любимый эксперимент с ликвидностью». Ну что сказать, эксперимент удался.
@tomhunter
😁15❤2🔥2
#news На хакерском форуме Exposed, пытающемся занять освобождённую Breached нишу, выложили интересную базу данных. На бывших пользователей RaidForums. В базе информация почти на 500 тысяч юзеров с никнеймами, ящиками, хешированными паролями, датой регистрации и прочей форумной инфой. Данные с марта 2015-го по сентябрь 2020-го года.
Сам дамп состоит из одного SQL-файла с таблицей «mybb_users», в которой хранились данные регистрации RaidForums. Подлинность информации подтвердили по многим аккаунтам. И хотя эти данные давно в руках у правоохранительных органов после закрытия форума, выложенный дамп представляет большой интерес для исследователей, составляющих профили злоумышленников. Где-то вдалеке над слитой базой довольно потирает руки некий Брайан Кребс.
@tomhunter
Сам дамп состоит из одного SQL-файла с таблицей «mybb_users», в которой хранились данные регистрации RaidForums. Подлинность информации подтвердили по многим аккаунтам. И хотя эти данные давно в руках у правоохранительных органов после закрытия форума, выложенный дамп представляет большой интерес для исследователей, составляющих профили злоумышленников. Где-то вдалеке над слитой базой довольно потирает руки некий Брайан Кребс.
@tomhunter
🔥8❤2😁2
#news По следам недавнего конфуза Toyota с незапароленным облаком, на котором 10 лет были доступна геолокация более 2 миллионов их машин, компания провела аудит. И что бы вы думали, нашла ещё два неверно настроенных сервера, с которых утекала личная информация автовладельцев. В этот раз на протяжение семи лет.
На одном сервере для автодилеров и сервисов лежала информация клиентов из Азиатско-Тихоокеанского региона: адреса, имена, телефоны, почты, заводские номера и номера машин. Сколько клиентов затронуты этой утечкой, компания не сообщает. На втором сервере была менее чувствительная инфа с навигаторов владельцев лексусов из Японии, которая из базы регулярно тёрлась. Так что здесь назвать число задетых не постеснялись — 260 тысяч счастливчиков. Как утверждают в Toyota, они запустили систему для мониторинга конфигов облачных серверов и баз, чтобы предотвратить подобные утечки в будущем. Почему такой системы в виде компетентных сотрудников не было раньше, в компании не уточняют.
@tomhunter
На одном сервере для автодилеров и сервисов лежала информация клиентов из Азиатско-Тихоокеанского региона: адреса, имена, телефоны, почты, заводские номера и номера машин. Сколько клиентов затронуты этой утечкой, компания не сообщает. На втором сервере была менее чувствительная инфа с навигаторов владельцев лексусов из Японии, которая из базы регулярно тёрлась. Так что здесь назвать число задетых не постеснялись — 260 тысяч счастливчиков. Как утверждают в Toyota, они запустили систему для мониторинга конфигов облачных серверов и баз, чтобы предотвратить подобные утечки в будущем. Почему такой системы в виде компетентных сотрудников не было раньше, в компании не уточняют.
@tomhunter
😁11🤯4🔥2
#news В Гугл-магазине обнаружили вредонос, который с лёгкостью тянет на рекорд по установкам в этом году. Малварь, названная SpinOk, нашлась в 101 приложении суммарно на ~421 миллион скачиваний. Её распространяли под видом рекламного SDK. За основным функционалом в виде мини-игр скрывается зловред с функциями клипера и стягивания файлов с устройства юзера.
Малварь была в широком спектре приложений, в топе различные видеоредакторы и барахло с денежными вознаграждениями на десятки миллионов установок. Неясно, знали ли разработчики приложений о вредоносе в используемом ими SDK, но, скорее всего, малварь попала в него через атаку на цепочку поставок. Несмотря на масштабы распространения SpinOk, Гугл комментарии давать не спешит. Ну а их магазин приложений всё также остаётся крупнейшим сервисом по доставке малвари на телефоны.
@tomhunter
Малварь была в широком спектре приложений, в топе различные видеоредакторы и барахло с денежными вознаграждениями на десятки миллионов установок. Неясно, знали ли разработчики приложений о вредоносе в используемом ими SDK, но, скорее всего, малварь попала в него через атаку на цепочку поставок. Несмотря на масштабы распространения SpinOk, Гугл комментарии давать не спешит. Ну а их магазин приложений всё также остаётся крупнейшим сервисом по доставке малвари на телефоны.
@tomhunter
🔥7😁6
#news На Ramp’e всплыл инструмент «Terminator», который некто Spyboy продвигает под видом универсального и «легального» средства для отключения любого антивируса или EDR-решения. В обойме у программы 24 платформы, причём с очень демократичным ценником – $300 за штуку или 3 тысячи долларов за всё сразу.
Ну а на деле за чудо-решением скрывается просто BYOVD-атака. «Terminator» забрасывает драйвер zam64.sys от Zemana, под который есть эксплойт на команды в режиме ядра. Он, видимо, и использован для обрубания AV-процессов. Соответственно, атака требует права администратора и юзера, который клюнет на UAC-окно при запуске. Не менее оригинально злоумышленник обезопасил себя от преследования: под часть EDR-решений вроде Sophos и CrowdStrike отдельно софт не продаёт и оставил дисклеймер, что рансомварь и локеры использовать запрещает и за это не отвечает. И 273-й статьи, считай, как ни бывало! Здесь, здесь и здесь правила YARA и Sigma для обнаружения уязвимого драйвера от дисконтного Терминатора.
@tomhunter
Ну а на деле за чудо-решением скрывается просто BYOVD-атака. «Terminator» забрасывает драйвер zam64.sys от Zemana, под который есть эксплойт на команды в режиме ядра. Он, видимо, и использован для обрубания AV-процессов. Соответственно, атака требует права администратора и юзера, который клюнет на UAC-окно при запуске. Не менее оригинально злоумышленник обезопасил себя от преследования: под часть EDR-решений вроде Sophos и CrowdStrike отдельно софт не продаёт и оставил дисклеймер, что рансомварь и локеры использовать запрещает и за это не отвечает. И 273-й статьи, считай, как ни бывало! Здесь, здесь и здесь правила YARA и Sigma для обнаружения уязвимого драйвера от дисконтного Терминатора.
@tomhunter
❤5🔥2😁1