#news К чудным новинкам рансомвари. В сетевых дебрях замечены MalasLocker, шифрующие сервера Zimbra и крадущие с них почту. Примечательны они не только редким в таких случаях инструментом для шифрования Age. Вместо выкупа злоумышленники якобы просят у жертв… пожертвовать деньги в благотворительный фонд по их выбору.
На сайте с утечками группировки выложен пространный манифест, полный ресентимента про классовую борьбу с корпорациями, неравенством и ужасами колониализма в Африке, Латинской Америке и Палестине. И с восхитительными заходами про то, что рансомварь не должна быть инструментом исключительно финансово мотивированных российских группировок. В общем, фабрики рабочим, энкрипторы угнетённым. Пока скучные рансомварщики из России застряли в диком капитализме, где-то на другом конце света товарищи из MalasLocker живут в тёплом ламповом мире Shadowrun. Где энкриптор – это инструмент освободительной цифровой борьбы. Такой вот сентиментальный рансомварь-хактивизм.
@tomhunter
На сайте с утечками группировки выложен пространный манифест, полный ресентимента про классовую борьбу с корпорациями, неравенством и ужасами колониализма в Африке, Латинской Америке и Палестине. И с восхитительными заходами про то, что рансомварь не должна быть инструментом исключительно финансово мотивированных российских группировок. В общем, фабрики рабочим, энкрипторы угнетённым. Пока скучные рансомварщики из России застряли в диком капитализме, где-то на другом конце света товарищи из MalasLocker живут в тёплом ламповом мире Shadowrun. Где энкриптор – это инструмент освободительной цифровой борьбы. Такой вот сентиментальный рансомварь-хактивизм.
@tomhunter
❤10😁5🔥1
#news Блокчейн-компания LayerZero Labs запустила рекордную BB-программу на платформе Immunefi. Белошляпочников с проверками концепции к критическим уязвимостям в блокчейнах и смарт-контрактах ждут выплаты до 15 миллионов долларов. Сумма делает программу крупнейшей в истории.
В категорию критических попали эксплойты под безвозвратную блокировку, утрату или кражу пользовательских средств, а также флешинг. Максимальные выплаты идут в первой группе за уязвимости в платформах Ethereum, BNB Chain, Avalanche, Polygon, Arbitrum, Optimism, и Fantom. Во вторую попадают все прочие блокчейны, поддерживаемые LayerZero. Выплаты, что характерно, можно получить в стейблкойнах. Кроме того, перед их получением нужно будет пройти проверку Министерства Финансов США на предмет присутствия в санкционных списках. Что-то мне подсказывает, большие специалисты по блокчейнам из КНДР этому пункту будут очень не рады.
@tomhunter
В категорию критических попали эксплойты под безвозвратную блокировку, утрату или кражу пользовательских средств, а также флешинг. Максимальные выплаты идут в первой группе за уязвимости в платформах Ethereum, BNB Chain, Avalanche, Polygon, Arbitrum, Optimism, и Fantom. Во вторую попадают все прочие блокчейны, поддерживаемые LayerZero. Выплаты, что характерно, можно получить в стейблкойнах. Кроме того, перед их получением нужно будет пройти проверку Министерства Финансов США на предмет присутствия в санкционных списках. Что-то мне подсказывает, большие специалисты по блокчейнам из КНДР этому пункту будут очень не рады.
@tomhunter
😁5🔥3🤯1
#news Cisco сообщила о четырёх критических уязвимостях в своих свитчах. Несложный эксплойт позволяет злоумышленникам исполнять произвольный код с рут-правами на скомпрометированных устройствах. И дальше полный набор: все четыре уязвимости на 9.8 баллов, эксплойтятся по отдельности, участия юзера не требуют, и к ним в сети уже есть проверки концепции.
Уязвимости связаны с неверной валидацией запросов, отправляемых в веб-интерфейсы свитчей. Что, собственно, позволяет злоумышленникам отправить вредоносный запрос для атаки. В свитчах серии 250, 350, 350X и 550X, включая бизнес-модели, уязвимости исправлены в свежих версиях прошивки. А вот устаревшие модели серий 200, 300 и 500, увы, останутся без патчей, так как у них уже закончилась поддержка. Так что этих старичков уж точно пора отключать от сети. Подробнее об уязвимостях в отчёте Cisco.
@tomhunter
Уязвимости связаны с неверной валидацией запросов, отправляемых в веб-интерфейсы свитчей. Что, собственно, позволяет злоумышленникам отправить вредоносный запрос для атаки. В свитчах серии 250, 350, 350X и 550X, включая бизнес-модели, уязвимости исправлены в свежих версиях прошивки. А вот устаревшие модели серий 200, 300 и 500, увы, останутся без патчей, так как у них уже закончилась поддержка. Так что этих старичков уж точно пора отключать от сети. Подробнее об уязвимостях в отчёте Cisco.
@tomhunter
🔥6😢3😁2
#news Пятничная новость об очередном малолетнем боге хакинга. В США предъявлены обвинения ответственному за взлом сайта для ставок DraftKings в ноябре 2022-го. Им оказался 18-летний паренёк Джозеф Гаррисон из Висконсина. На его устройствах нашли софт для атак на подстановку учётных данных, 700 конфигов под них и файлы с 40 миллионами учёток.
После взлома аккаунтов на DraftKings юное дарование с соучастниками продавали их под вывод средств. Всего были украдены около $600 тысяч c 1,600 аккаунтов. Тем же методом были взломаны аналогичная платформа FanDuel и сайт сети фастфуд-ресторанов Chick-Fil-A. Аккаунты шли с молотка через магазин Гаррисона, а в его телефоне нашли скриншот без даты с упоминанием более 200 тысяч транзакций на сумму больше $2 миллионов. Плюс переписку с подельниками о взломе DraftKings. Ну и традиционное для его лет «Взломы – это весело и увлекательно, полиция меня не поймает, я неуязвим». В общем, очередной скрипт-кидди столкнулся с суровой реальностью. Увы и ах.
@tomhunter
После взлома аккаунтов на DraftKings юное дарование с соучастниками продавали их под вывод средств. Всего были украдены около $600 тысяч c 1,600 аккаунтов. Тем же методом были взломаны аналогичная платформа FanDuel и сайт сети фастфуд-ресторанов Chick-Fil-A. Аккаунты шли с молотка через магазин Гаррисона, а в его телефоне нашли скриншот без даты с упоминанием более 200 тысяч транзакций на сумму больше $2 миллионов. Плюс переписку с подельниками о взломе DraftKings. Ну и традиционное для его лет «Взломы – это весело и увлекательно, полиция меня не поймает, я неуязвим». В общем, очередной скрипт-кидди столкнулся с суровой реальностью. Увы и ах.
@tomhunter
😁14🔥5
#news Принтеры от HP начали уходить в BSOD по всему миру. Затронуты полдюжины моделей серии HP OfficeJet 902x. А виной тому кривая прошивка от HP, обновление которой выпустили ранее в этом месяце. Причём накатывается она автоматически на подключённых к интернету принтерах.
Получившие забагованное обновление устройства выдают синий экран, на этом их дальнейшая работоспособность ограничивается. Форум HP уже пару недель завален тредами с десятками страниц жалоб, а вот решения у фирмы всё ещё нет. Между тем поддержка HP сообщает некоторым юзерам, что принтеры придётся отправлять к ним на обслуживание, либо они вышлют замену. Ну а пока единственной рекомендацией остаётся отключить принтер от интернета, чтобы криворукий производитель ненароком не превратил его в кирпич. В общем, HP, как обычно, держит марку.
@tomhunter
Получившие забагованное обновление устройства выдают синий экран, на этом их дальнейшая работоспособность ограничивается. Форум HP уже пару недель завален тредами с десятками страниц жалоб, а вот решения у фирмы всё ещё нет. Между тем поддержка HP сообщает некоторым юзерам, что принтеры придётся отправлять к ним на обслуживание, либо они вышлют замену. Ну а пока единственной рекомендацией остаётся отключить принтер от интернета, чтобы криворукий производитель ненароком не превратил его в кирпич. В общем, HP, как обычно, держит марку.
@tomhunter
😁8🤯4🔥2
#news Скучали по сливам данных юзеров из России? В открытом доступе всплыли данные пользователей сети лабораторий «Ситилаб». ФИО, логины, почты, хешированные пароли, телефоны. Примерно по полмиллиона уникальных ящиков и телефонов. А также сканы анализов, паспортов, договоров и чеков – в сэмле 1,000 pdf-ок с ними.
Между тем это якобы лишь 1.7ТБ от 14ТБ внутренних данных, стянутых злоумышленниками после взлома. База свежая, актуальна на 18 мая, и почтовые ящики бьются по форме восстановления на сайте «Ситилаб». Компания же пока не спешит давать комментарии касаемо произошедшего. Но опасаться им особо нечего: если вы думали, что за год в плане ответственности за сливы что-то изменилось, то нет. Так, пару недель назад VK выписали минимальный штраф в 60 тысяч рублей за утечку данных 3,5 миллионов пользователей почты Mail[.]ru. А за небольшой слив, не дотягивающий и до миллиона, можно на первый раз просто пальчиком погрозить.
@tomhunter
Между тем это якобы лишь 1.7ТБ от 14ТБ внутренних данных, стянутых злоумышленниками после взлома. База свежая, актуальна на 18 мая, и почтовые ящики бьются по форме восстановления на сайте «Ситилаб». Компания же пока не спешит давать комментарии касаемо произошедшего. Но опасаться им особо нечего: если вы думали, что за год в плане ответственности за сливы что-то изменилось, то нет. Так, пару недель назад VK выписали минимальный штраф в 60 тысяч рублей за утечку данных 3,5 миллионов пользователей почты Mail[.]ru. А за небольшой слив, не дотягивающий и до миллиона, можно на первый раз просто пальчиком погрозить.
@tomhunter
🤬9😁6❤2🔥2
На нашем Хабре новая статья. В ней мы рассмотрим как создать свой сервис для исследования криптовалют. Что-нибудь слышали про «Прозрачный блокчейн»? По данным СМИ, сумма, потраченная на создание этого российского программного продукта, составляет около 2 миллиардов рублей. Довольно много, не находите? Давайте в рамках небольшого эксперимента попробуем воспроизвести этот функционал и даже расширить его подручными средствами… За подробностями добро пожаловать на Хабр!
@tomhunter
@tomhunter
❤11🔥5
#news Телефоны на Андроид оказались уязвимы к брутфорс-атакам. И нет, они не на подбор PIN-кода – исследователи брутфорснули устройства через отпечатки пальцев. Для этого оказалось достаточно базы отпечатков и оборудования за 15 баксов. При этом на iOS защита оказалась прочнее, но все протестированные Android и HarmonyOS устройства перед брутфорсом сдались.
На изученных моделях удалось обойти защиту на ограничение числа попыток разблокирования и проверку на реальный палец. Так, на телефонах с одним зарегистрированным отпечатком уходит от 3 до 14 часов на взлом. Если же в базе устройства их несколько, время сокращается до 3 часов и вплоть до лишь 40 минут. Брутфорс по базе отпечатков, само собой, не подразумевает полного совпадения – достаточно продавить коэффициент ложного пропуска. Так что если уязвимость не закроют, у телефонных воров и товарища майора рискует появиться удобное подспорье. Подробнее об атаке в исследовании.
@tomhunter
На изученных моделях удалось обойти защиту на ограничение числа попыток разблокирования и проверку на реальный палец. Так, на телефонах с одним зарегистрированным отпечатком уходит от 3 до 14 часов на взлом. Если же в базе устройства их несколько, время сокращается до 3 часов и вплоть до лишь 40 минут. Брутфорс по базе отпечатков, само собой, не подразумевает полного совпадения – достаточно продавить коэффициент ложного пропуска. Так что если уязвимость не закроют, у телефонных воров и товарища майора рискует появиться удобное подспорье. Подробнее об атаке в исследовании.
@tomhunter
🔥8🤯3
#news В Великобритании признали виновным очередного безопасника, пытавшегося шантажировать работодателя от лица киберпреступников. В феврале 2018-го Эшли Лайлз работал в компании в Оксфорде, которая пострадала от рансомварь-атаки. Будучи частью команды, разбиравшейся с инцидентом, наш герой решил подзаработать. И подменил криптоадрес, предоставленный злоумышленниками, своим.
Он также создал почтовый ящик, похожий на оригинальный от атакующих, и начал давить на работодателя, чтобы ускорить выплату выкупа. Увы, вести переговоры с киберпреступниками компания не собиралась. А внутреннее расследование показало, что Лайлз недавно больше 300 раз лазил в почту члена совета директоров. Со своего домашнего айпишника. Поняв, что всё пропало, наш горе-безопасник почистил устройства, но после штурма его дома полицией инфу удалось восстановить. Видимо, опсек в список обязанностей товарища Лайлза на рабочем месте не входил. Один балл за находчивость, до 14 лет тюрьмы за попытку.
@tomhunter
Он также создал почтовый ящик, похожий на оригинальный от атакующих, и начал давить на работодателя, чтобы ускорить выплату выкупа. Увы, вести переговоры с киберпреступниками компания не собиралась. А внутреннее расследование показало, что Лайлз недавно больше 300 раз лазил в почту члена совета директоров. Со своего домашнего айпишника. Поняв, что всё пропало, наш горе-безопасник почистил устройства, но после штурма его дома полицией инфу удалось восстановить. Видимо, опсек в список обязанностей товарища Лайлза на рабочем месте не входил. Один балл за находчивость, до 14 лет тюрьмы за попытку.
@tomhunter
😁16❤3🔥3
#news GitLab рекомендует срочно патчить обнаруженную критическую уязвимость. Всего ничего по CVSS – 10 баллов из 10. Она затрагивает GitLab Community Edition и Enterprise Edition версии 16.0.0.
Уязвимость обхода пути CVE-2023-2825 позволяет неавторизованному злоумышленнику получить доступ к произвольным файлам на сервере. Что может оказаться и проприетарным кодом, и данными доступа, и токенами, и прочими приватными файлами. Под угрозой репы, в которых в публичных проектах есть вложения, вложенные как минимум в пять групп. Уязвимость, собственно, связана с тем, как GitLab обрабатывает пути для таких вложений. Единственное решение проблемы – накатить обновление, и разработчик настойчиво призывает с этим не медлить. В конце концов, не каждый день уязвимость выбивает десяточку по CVSS.
@tomhunter
Уязвимость обхода пути CVE-2023-2825 позволяет неавторизованному злоумышленнику получить доступ к произвольным файлам на сервере. Что может оказаться и проприетарным кодом, и данными доступа, и токенами, и прочими приватными файлами. Под угрозой репы, в которых в публичных проектах есть вложения, вложенные как минимум в пять групп. Уязвимость, собственно, связана с тем, как GitLab обрабатывает пути для таких вложений. Единственное решение проблемы – накатить обновление, и разработчик настойчиво призывает с этим не медлить. В конце концов, не каждый день уязвимость выбивает десяточку по CVSS.
@tomhunter
😁7❤1🔥1
#news Rheinmetall подтвердила рансомварь-атаку по своим системам. Она произошла 14 апреля и затронула, как утверждает компания, только гражданский сектор её бизнеса. Военный же, задействованный в известных событиях, якобы не пострадал ввиду строгого разделения IT-инфраструктуры в компании.
Ну а за атакой, как водится, стояли вездесущие русские хакеры. А именно рансомварщики из русскоязычной группировки BlackBasta. На сайте злоумышленников опубликован сэмпл с чертежами, соглашениями о неразглашении, сканами паспортов и закупочными ведомостями. Rheinmetall подробностями атаки не делится помимо упомянутой выше оговорки о гражданском секторе. Ну а охваченные патриотическим порывом товарищи из BlackBasta могут порадоваться успеху и тихонько надеяться, что не станут разменной монетой в политических игрищах, как было с REvil.
@tomhunter
Ну а за атакой, как водится, стояли вездесущие русские хакеры. А именно рансомварщики из русскоязычной группировки BlackBasta. На сайте злоумышленников опубликован сэмпл с чертежами, соглашениями о неразглашении, сканами паспортов и закупочными ведомостями. Rheinmetall подробностями атаки не делится помимо упомянутой выше оговорки о гражданском секторе. Ну а охваченные патриотическим порывом товарищи из BlackBasta могут порадоваться успеху и тихонько надеяться, что не станут разменной монетой в политических игрищах, как было с REvil.
@tomhunter
🔥8❤5😁2🤔1
#news В эфире снова спайварь Pegasus, отличившаяся новым же пробитым дном. Вышел большой отчёт по заражениям им в Армении с октября 2020-го по декабрь 2022-го. Спайварь нашли на устройствах журналистов, правозащитников и политиков. И активность совпала с пиками обострений и переговорами во время армяно-азербайджанского конфликта. Иными словами, перед нами, видимо, первое применение Pegasus в военной зоне.
Косвенные данные свидетельствуют о том, что заказчиком был Азербайджан. Исследователи допускают, что армянское правительство тоже заинтересовано в слежке за правозащитниками, но у него под это дело, судя по всему, подписка только на другую – что иронично, тоже израильскую – спайварь Predator. В общем, товарищи из NSO Group продолжают класть своего пегаса на международное гуманитарное право и дошли до того, что обслуживают интересы правительств в военных конфликтах. По крайней мере, их рекламные буклеты не врут: «национальную безопасность» они действительно укрепляют. В этот раз азербайджанскую.
@tomhunter
Косвенные данные свидетельствуют о том, что заказчиком был Азербайджан. Исследователи допускают, что армянское правительство тоже заинтересовано в слежке за правозащитниками, но у него под это дело, судя по всему, подписка только на другую – что иронично, тоже израильскую – спайварь Predator. В общем, товарищи из NSO Group продолжают класть своего пегаса на международное гуманитарное право и дошли до того, что обслуживают интересы правительств в военных конфликтах. По крайней мере, их рекламные буклеты не врут: «национальную безопасность» они действительно укрепляют. В этот раз азербайджанскую.
@tomhunter
🤯5❤4🔥2😁1😢1
#news К вопросу о спайвари Predator от израильской компании Intellexa. По ней на днях вышло исследование с детальным разбором функционала. Спайварь записывает звонки, собирает сообщения с мессенджеров, может скрывать приложения на заражённом телефоне и препятствовать их запуску. Плюс в ней произвольный код, нумерация каталогов и кастомные сертификаты на уровне пользователя.
Predator идёт со своим загрузчиком Alien. Что отличает его от копеечных инфостилеров, так это обход защиты SELinix. Alien также работает на ioctl-командах, которые SELinux не проверяет, и спайварь стягивает данные с устройства без нарушения прав доступа. Неизученными остались два модуля спайвари. Исследователи считают, что в них зарыты отслеживание геолокации, угон камеры телефона под произвольные фото и чтение/запись kernel space. Подробнее о Predator в отчёте от Cisco Talos.
@tomhunter
Predator идёт со своим загрузчиком Alien. Что отличает его от копеечных инфостилеров, так это обход защиты SELinix. Alien также работает на ioctl-командах, которые SELinux не проверяет, и спайварь стягивает данные с устройства без нарушения прав доступа. Неизученными остались два модуля спайвари. Исследователи считают, что в них зарыты отслеживание геолокации, угон камеры телефона под произвольные фото и чтение/запись kernel space. Подробнее о Predator в отчёте от Cisco Talos.
@tomhunter
🔥9❤3
#news Не прошло и месяца с появления zip-домена от Гугла, а у нас уже есть оригинальные примеры малвари на нём. Исследователь mr.d0x, автор атаки браузер-в-браузере, собрал фишинговый тулкит в виде нового фейкового окна в браузере, которое выглядит, как Winrar с открытым юзером zip-архивом. Для убедительности в окно вшита кнопка Scan, клик по которой, конечно, никаких угроз не выявляет.
Такой тулкит может быть с лёгкостью использован для кражи данных доступа и доставки малвари. Особенно если злоумышленник зарегистрирует соответствующий zip-домен, ссылку на который и Winrar-окно на нём средний юзер примет за чистую монету. Альтернативный вариант от mr.d0x выглядит как фейковое окно Windows File Explorer с zip-файлом. Немного креатива с CSS и HTML, и такие окошки будут выглядеть ещё более убедительно. В общем, Гугл своим zip-доменом приоткрыл занятный такой ящик Пандоры. Не удивлюсь, если мы уже совсем скоро услышим про фишинговые кампании и громкие взломы с zip-душком.
@tomhunter
Такой тулкит может быть с лёгкостью использован для кражи данных доступа и доставки малвари. Особенно если злоумышленник зарегистрирует соответствующий zip-домен, ссылку на который и Winrar-окно на нём средний юзер примет за чистую монету. Альтернативный вариант от mr.d0x выглядит как фейковое окно Windows File Explorer с zip-файлом. Немного креатива с CSS и HTML, и такие окошки будут выглядеть ещё более убедительно. В общем, Гугл своим zip-доменом приоткрыл занятный такой ящик Пандоры. Не удивлюсь, если мы уже совсем скоро услышим про фишинговые кампании и громкие взломы с zip-душком.
@tomhunter
🤯8❤3🔥2😁1🤡1
#news Очередная DeFi-криптоплатформа подверглась взлому. C Jimbos Protocol стянули 4,090 в эфире, что на сегодня составляет более $7,5 миллионов. Как обычно, атака на мгновенные займы: злоумышленник взял займ в $5,9 миллиона, пошатал стоимость токена и ушёл с эфиром. Контроль за проскальзыванием разработчики обещали, но не завезли.
Пикантности атаке добавляет то, что платформа запустила V2 своего протокола всего за три дня до атаки. В отличие от предыдущей «экспериментальной» версии эта была рассчитана на более надёжные инвестиции. Многие успели вложиться в их токен в расчёте на то, что в этот раз в выигрыше будет не криптоказино. Увы, по следам взлома цена Jimbo-токена моментально ушла на дно. Владельцы протокола теперь упрашивают взломщиков вернуть 90% украденного в обмен на отказ от преследования. Что иронично, Jimbos Protocol рекламировали себя как «твой любимый эксперимент с ликвидностью». Ну что сказать, эксперимент удался.
@tomhunter
Пикантности атаке добавляет то, что платформа запустила V2 своего протокола всего за три дня до атаки. В отличие от предыдущей «экспериментальной» версии эта была рассчитана на более надёжные инвестиции. Многие успели вложиться в их токен в расчёте на то, что в этот раз в выигрыше будет не криптоказино. Увы, по следам взлома цена Jimbo-токена моментально ушла на дно. Владельцы протокола теперь упрашивают взломщиков вернуть 90% украденного в обмен на отказ от преследования. Что иронично, Jimbos Protocol рекламировали себя как «твой любимый эксперимент с ликвидностью». Ну что сказать, эксперимент удался.
@tomhunter
😁15❤2🔥2
#news На хакерском форуме Exposed, пытающемся занять освобождённую Breached нишу, выложили интересную базу данных. На бывших пользователей RaidForums. В базе информация почти на 500 тысяч юзеров с никнеймами, ящиками, хешированными паролями, датой регистрации и прочей форумной инфой. Данные с марта 2015-го по сентябрь 2020-го года.
Сам дамп состоит из одного SQL-файла с таблицей «mybb_users», в которой хранились данные регистрации RaidForums. Подлинность информации подтвердили по многим аккаунтам. И хотя эти данные давно в руках у правоохранительных органов после закрытия форума, выложенный дамп представляет большой интерес для исследователей, составляющих профили злоумышленников. Где-то вдалеке над слитой базой довольно потирает руки некий Брайан Кребс.
@tomhunter
Сам дамп состоит из одного SQL-файла с таблицей «mybb_users», в которой хранились данные регистрации RaidForums. Подлинность информации подтвердили по многим аккаунтам. И хотя эти данные давно в руках у правоохранительных органов после закрытия форума, выложенный дамп представляет большой интерес для исследователей, составляющих профили злоумышленников. Где-то вдалеке над слитой базой довольно потирает руки некий Брайан Кребс.
@tomhunter
🔥8❤2😁2
#news По следам недавнего конфуза Toyota с незапароленным облаком, на котором 10 лет были доступна геолокация более 2 миллионов их машин, компания провела аудит. И что бы вы думали, нашла ещё два неверно настроенных сервера, с которых утекала личная информация автовладельцев. В этот раз на протяжение семи лет.
На одном сервере для автодилеров и сервисов лежала информация клиентов из Азиатско-Тихоокеанского региона: адреса, имена, телефоны, почты, заводские номера и номера машин. Сколько клиентов затронуты этой утечкой, компания не сообщает. На втором сервере была менее чувствительная инфа с навигаторов владельцев лексусов из Японии, которая из базы регулярно тёрлась. Так что здесь назвать число задетых не постеснялись — 260 тысяч счастливчиков. Как утверждают в Toyota, они запустили систему для мониторинга конфигов облачных серверов и баз, чтобы предотвратить подобные утечки в будущем. Почему такой системы в виде компетентных сотрудников не было раньше, в компании не уточняют.
@tomhunter
На одном сервере для автодилеров и сервисов лежала информация клиентов из Азиатско-Тихоокеанского региона: адреса, имена, телефоны, почты, заводские номера и номера машин. Сколько клиентов затронуты этой утечкой, компания не сообщает. На втором сервере была менее чувствительная инфа с навигаторов владельцев лексусов из Японии, которая из базы регулярно тёрлась. Так что здесь назвать число задетых не постеснялись — 260 тысяч счастливчиков. Как утверждают в Toyota, они запустили систему для мониторинга конфигов облачных серверов и баз, чтобы предотвратить подобные утечки в будущем. Почему такой системы в виде компетентных сотрудников не было раньше, в компании не уточняют.
@tomhunter
😁11🤯4🔥2
#news В Гугл-магазине обнаружили вредонос, который с лёгкостью тянет на рекорд по установкам в этом году. Малварь, названная SpinOk, нашлась в 101 приложении суммарно на ~421 миллион скачиваний. Её распространяли под видом рекламного SDK. За основным функционалом в виде мини-игр скрывается зловред с функциями клипера и стягивания файлов с устройства юзера.
Малварь была в широком спектре приложений, в топе различные видеоредакторы и барахло с денежными вознаграждениями на десятки миллионов установок. Неясно, знали ли разработчики приложений о вредоносе в используемом ими SDK, но, скорее всего, малварь попала в него через атаку на цепочку поставок. Несмотря на масштабы распространения SpinOk, Гугл комментарии давать не спешит. Ну а их магазин приложений всё также остаётся крупнейшим сервисом по доставке малвари на телефоны.
@tomhunter
Малварь была в широком спектре приложений, в топе различные видеоредакторы и барахло с денежными вознаграждениями на десятки миллионов установок. Неясно, знали ли разработчики приложений о вредоносе в используемом ими SDK, но, скорее всего, малварь попала в него через атаку на цепочку поставок. Несмотря на масштабы распространения SpinOk, Гугл комментарии давать не спешит. Ну а их магазин приложений всё также остаётся крупнейшим сервисом по доставке малвари на телефоны.
@tomhunter
🔥7😁6
#news На Ramp’e всплыл инструмент «Terminator», который некто Spyboy продвигает под видом универсального и «легального» средства для отключения любого антивируса или EDR-решения. В обойме у программы 24 платформы, причём с очень демократичным ценником – $300 за штуку или 3 тысячи долларов за всё сразу.
Ну а на деле за чудо-решением скрывается просто BYOVD-атака. «Terminator» забрасывает драйвер zam64.sys от Zemana, под который есть эксплойт на команды в режиме ядра. Он, видимо, и использован для обрубания AV-процессов. Соответственно, атака требует права администратора и юзера, который клюнет на UAC-окно при запуске. Не менее оригинально злоумышленник обезопасил себя от преследования: под часть EDR-решений вроде Sophos и CrowdStrike отдельно софт не продаёт и оставил дисклеймер, что рансомварь и локеры использовать запрещает и за это не отвечает. И 273-й статьи, считай, как ни бывало! Здесь, здесь и здесь правила YARA и Sigma для обнаружения уязвимого драйвера от дисконтного Терминатора.
@tomhunter
Ну а на деле за чудо-решением скрывается просто BYOVD-атака. «Terminator» забрасывает драйвер zam64.sys от Zemana, под который есть эксплойт на команды в режиме ядра. Он, видимо, и использован для обрубания AV-процессов. Соответственно, атака требует права администратора и юзера, который клюнет на UAC-окно при запуске. Не менее оригинально злоумышленник обезопасил себя от преследования: под часть EDR-решений вроде Sophos и CrowdStrike отдельно софт не продаёт и оставил дисклеймер, что рансомварь и локеры использовать запрещает и за это не отвечает. И 273-й статьи, считай, как ни бывало! Здесь, здесь и здесь правила YARA и Sigma для обнаружения уязвимого драйвера от дисконтного Терминатора.
@tomhunter
❤5🔥2😁1
#news В инфобез-пространстве гремят заявления ФСБ и последовавший за ними отчёт Касперского. Первые сообщают о спайвари от Apple в сотрудничестве со спецслужбами США на тысячах айфонов российских и зарубежных чиновников и дипломатов. Вторые обнаружили троян у своих сотрудников.
Некий «чрезвычайно продвинутый» бэкдор засветился на телефонах менеджмента компании с начала года. Невидимое iMessage-сообщение с вложением, нулевая интеракция от юзера, атаки по версии iOS 15.7, обитание в оперативке, сложности с обнаружением и удалением, стягивание всего и вся с устройства. Подробнее о чудо-спайвари в техотчёте Касперского. Apple, конечно, свою причастность и сотрудничество с NSA отрицает. Ну а мы на втором году масштабного конфликта внезапно узнаём, что произведённые в чужой юрисдикции устройства в карманах чиновников напополам с переклеиванием ярлычков на китайском ширпотребе и информационный суверенитет – это две непересекающиеся плоскости. Кто бы мог подумать.
@tomhunter
Некий «чрезвычайно продвинутый» бэкдор засветился на телефонах менеджмента компании с начала года. Невидимое iMessage-сообщение с вложением, нулевая интеракция от юзера, атаки по версии iOS 15.7, обитание в оперативке, сложности с обнаружением и удалением, стягивание всего и вся с устройства. Подробнее о чудо-спайвари в техотчёте Касперского. Apple, конечно, свою причастность и сотрудничество с NSA отрицает. Ну а мы на втором году масштабного конфликта внезапно узнаём, что произведённые в чужой юрисдикции устройства в карманах чиновников напополам с переклеиванием ярлычков на китайском ширпотребе и информационный суверенитет – это две непересекающиеся плоскости. Кто бы мог подумать.
@tomhunter
😁25🤡5🔥3❤1🤔1😢1💯1
#news На выходных произошёл взлом Atomic Wallet. По текущим подсчётам с кошельков пользователей украли более $35 миллионов во всевозможной криптовалюте. Первые сообщения о краже появились в субботу утром.
Подробностей и внятных векторов атаки пока нет. Часть юзеров пишут, что крипту стащили после недавнего обновления, другие его не накатывали, но всё равно лишились средств. Компания отключила свой сервер для скачивания, так что, видимо, подозревают в том числе скомпрометированный софт. Между тем в пятёрке лишившихся средств счёт идёт на миллионы долларов – крупнейшая транзакция почти на восемь миллионов в USDT. Так что проверяйте свои атомные кубышки и делайте ставки, что такого удивительного случилось у некастодиального кошелька на этот раз.
@tomhunter
Подробностей и внятных векторов атаки пока нет. Часть юзеров пишут, что крипту стащили после недавнего обновления, другие его не накатывали, но всё равно лишились средств. Компания отключила свой сервер для скачивания, так что, видимо, подозревают в том числе скомпрометированный софт. Между тем в пятёрке лишившихся средств счёт идёт на миллионы долларов – крупнейшая транзакция почти на восемь миллионов в USDT. Так что проверяйте свои атомные кубышки и делайте ставки, что такого удивительного случилось у некастодиального кошелька на этот раз.
@tomhunter
🔥8🤯5😁2🤡1