#news Не прошло и месяца с появления zip-домена от Гугла, а у нас уже есть оригинальные примеры малвари на нём. Исследователь mr.d0x, автор атаки браузер-в-браузере, собрал фишинговый тулкит в виде нового фейкового окна в браузере, которое выглядит, как Winrar с открытым юзером zip-архивом. Для убедительности в окно вшита кнопка Scan, клик по которой, конечно, никаких угроз не выявляет.
Такой тулкит может быть с лёгкостью использован для кражи данных доступа и доставки малвари. Особенно если злоумышленник зарегистрирует соответствующий zip-домен, ссылку на который и Winrar-окно на нём средний юзер примет за чистую монету. Альтернативный вариант от mr.d0x выглядит как фейковое окно Windows File Explorer с zip-файлом. Немного креатива с CSS и HTML, и такие окошки будут выглядеть ещё более убедительно. В общем, Гугл своим zip-доменом приоткрыл занятный такой ящик Пандоры. Не удивлюсь, если мы уже совсем скоро услышим про фишинговые кампании и громкие взломы с zip-душком.
@tomhunter
Такой тулкит может быть с лёгкостью использован для кражи данных доступа и доставки малвари. Особенно если злоумышленник зарегистрирует соответствующий zip-домен, ссылку на который и Winrar-окно на нём средний юзер примет за чистую монету. Альтернативный вариант от mr.d0x выглядит как фейковое окно Windows File Explorer с zip-файлом. Немного креатива с CSS и HTML, и такие окошки будут выглядеть ещё более убедительно. В общем, Гугл своим zip-доменом приоткрыл занятный такой ящик Пандоры. Не удивлюсь, если мы уже совсем скоро услышим про фишинговые кампании и громкие взломы с zip-душком.
@tomhunter
🤯8❤3🔥2😁1🤡1
#news Очередная DeFi-криптоплатформа подверглась взлому. C Jimbos Protocol стянули 4,090 в эфире, что на сегодня составляет более $7,5 миллионов. Как обычно, атака на мгновенные займы: злоумышленник взял займ в $5,9 миллиона, пошатал стоимость токена и ушёл с эфиром. Контроль за проскальзыванием разработчики обещали, но не завезли.
Пикантности атаке добавляет то, что платформа запустила V2 своего протокола всего за три дня до атаки. В отличие от предыдущей «экспериментальной» версии эта была рассчитана на более надёжные инвестиции. Многие успели вложиться в их токен в расчёте на то, что в этот раз в выигрыше будет не криптоказино. Увы, по следам взлома цена Jimbo-токена моментально ушла на дно. Владельцы протокола теперь упрашивают взломщиков вернуть 90% украденного в обмен на отказ от преследования. Что иронично, Jimbos Protocol рекламировали себя как «твой любимый эксперимент с ликвидностью». Ну что сказать, эксперимент удался.
@tomhunter
Пикантности атаке добавляет то, что платформа запустила V2 своего протокола всего за три дня до атаки. В отличие от предыдущей «экспериментальной» версии эта была рассчитана на более надёжные инвестиции. Многие успели вложиться в их токен в расчёте на то, что в этот раз в выигрыше будет не криптоказино. Увы, по следам взлома цена Jimbo-токена моментально ушла на дно. Владельцы протокола теперь упрашивают взломщиков вернуть 90% украденного в обмен на отказ от преследования. Что иронично, Jimbos Protocol рекламировали себя как «твой любимый эксперимент с ликвидностью». Ну что сказать, эксперимент удался.
@tomhunter
😁15❤2🔥2
#news На хакерском форуме Exposed, пытающемся занять освобождённую Breached нишу, выложили интересную базу данных. На бывших пользователей RaidForums. В базе информация почти на 500 тысяч юзеров с никнеймами, ящиками, хешированными паролями, датой регистрации и прочей форумной инфой. Данные с марта 2015-го по сентябрь 2020-го года.
Сам дамп состоит из одного SQL-файла с таблицей «mybb_users», в которой хранились данные регистрации RaidForums. Подлинность информации подтвердили по многим аккаунтам. И хотя эти данные давно в руках у правоохранительных органов после закрытия форума, выложенный дамп представляет большой интерес для исследователей, составляющих профили злоумышленников. Где-то вдалеке над слитой базой довольно потирает руки некий Брайан Кребс.
@tomhunter
Сам дамп состоит из одного SQL-файла с таблицей «mybb_users», в которой хранились данные регистрации RaidForums. Подлинность информации подтвердили по многим аккаунтам. И хотя эти данные давно в руках у правоохранительных органов после закрытия форума, выложенный дамп представляет большой интерес для исследователей, составляющих профили злоумышленников. Где-то вдалеке над слитой базой довольно потирает руки некий Брайан Кребс.
@tomhunter
🔥8❤2😁2
#news По следам недавнего конфуза Toyota с незапароленным облаком, на котором 10 лет были доступна геолокация более 2 миллионов их машин, компания провела аудит. И что бы вы думали, нашла ещё два неверно настроенных сервера, с которых утекала личная информация автовладельцев. В этот раз на протяжение семи лет.
На одном сервере для автодилеров и сервисов лежала информация клиентов из Азиатско-Тихоокеанского региона: адреса, имена, телефоны, почты, заводские номера и номера машин. Сколько клиентов затронуты этой утечкой, компания не сообщает. На втором сервере была менее чувствительная инфа с навигаторов владельцев лексусов из Японии, которая из базы регулярно тёрлась. Так что здесь назвать число задетых не постеснялись — 260 тысяч счастливчиков. Как утверждают в Toyota, они запустили систему для мониторинга конфигов облачных серверов и баз, чтобы предотвратить подобные утечки в будущем. Почему такой системы в виде компетентных сотрудников не было раньше, в компании не уточняют.
@tomhunter
На одном сервере для автодилеров и сервисов лежала информация клиентов из Азиатско-Тихоокеанского региона: адреса, имена, телефоны, почты, заводские номера и номера машин. Сколько клиентов затронуты этой утечкой, компания не сообщает. На втором сервере была менее чувствительная инфа с навигаторов владельцев лексусов из Японии, которая из базы регулярно тёрлась. Так что здесь назвать число задетых не постеснялись — 260 тысяч счастливчиков. Как утверждают в Toyota, они запустили систему для мониторинга конфигов облачных серверов и баз, чтобы предотвратить подобные утечки в будущем. Почему такой системы в виде компетентных сотрудников не было раньше, в компании не уточняют.
@tomhunter
😁11🤯4🔥2
#news В Гугл-магазине обнаружили вредонос, который с лёгкостью тянет на рекорд по установкам в этом году. Малварь, названная SpinOk, нашлась в 101 приложении суммарно на ~421 миллион скачиваний. Её распространяли под видом рекламного SDK. За основным функционалом в виде мини-игр скрывается зловред с функциями клипера и стягивания файлов с устройства юзера.
Малварь была в широком спектре приложений, в топе различные видеоредакторы и барахло с денежными вознаграждениями на десятки миллионов установок. Неясно, знали ли разработчики приложений о вредоносе в используемом ими SDK, но, скорее всего, малварь попала в него через атаку на цепочку поставок. Несмотря на масштабы распространения SpinOk, Гугл комментарии давать не спешит. Ну а их магазин приложений всё также остаётся крупнейшим сервисом по доставке малвари на телефоны.
@tomhunter
Малварь была в широком спектре приложений, в топе различные видеоредакторы и барахло с денежными вознаграждениями на десятки миллионов установок. Неясно, знали ли разработчики приложений о вредоносе в используемом ими SDK, но, скорее всего, малварь попала в него через атаку на цепочку поставок. Несмотря на масштабы распространения SpinOk, Гугл комментарии давать не спешит. Ну а их магазин приложений всё также остаётся крупнейшим сервисом по доставке малвари на телефоны.
@tomhunter
🔥7😁6
#news На Ramp’e всплыл инструмент «Terminator», который некто Spyboy продвигает под видом универсального и «легального» средства для отключения любого антивируса или EDR-решения. В обойме у программы 24 платформы, причём с очень демократичным ценником – $300 за штуку или 3 тысячи долларов за всё сразу.
Ну а на деле за чудо-решением скрывается просто BYOVD-атака. «Terminator» забрасывает драйвер zam64.sys от Zemana, под который есть эксплойт на команды в режиме ядра. Он, видимо, и использован для обрубания AV-процессов. Соответственно, атака требует права администратора и юзера, который клюнет на UAC-окно при запуске. Не менее оригинально злоумышленник обезопасил себя от преследования: под часть EDR-решений вроде Sophos и CrowdStrike отдельно софт не продаёт и оставил дисклеймер, что рансомварь и локеры использовать запрещает и за это не отвечает. И 273-й статьи, считай, как ни бывало! Здесь, здесь и здесь правила YARA и Sigma для обнаружения уязвимого драйвера от дисконтного Терминатора.
@tomhunter
Ну а на деле за чудо-решением скрывается просто BYOVD-атака. «Terminator» забрасывает драйвер zam64.sys от Zemana, под который есть эксплойт на команды в режиме ядра. Он, видимо, и использован для обрубания AV-процессов. Соответственно, атака требует права администратора и юзера, который клюнет на UAC-окно при запуске. Не менее оригинально злоумышленник обезопасил себя от преследования: под часть EDR-решений вроде Sophos и CrowdStrike отдельно софт не продаёт и оставил дисклеймер, что рансомварь и локеры использовать запрещает и за это не отвечает. И 273-й статьи, считай, как ни бывало! Здесь, здесь и здесь правила YARA и Sigma для обнаружения уязвимого драйвера от дисконтного Терминатора.
@tomhunter
❤5🔥2😁1
#news В инфобез-пространстве гремят заявления ФСБ и последовавший за ними отчёт Касперского. Первые сообщают о спайвари от Apple в сотрудничестве со спецслужбами США на тысячах айфонов российских и зарубежных чиновников и дипломатов. Вторые обнаружили троян у своих сотрудников.
Некий «чрезвычайно продвинутый» бэкдор засветился на телефонах менеджмента компании с начала года. Невидимое iMessage-сообщение с вложением, нулевая интеракция от юзера, атаки по версии iOS 15.7, обитание в оперативке, сложности с обнаружением и удалением, стягивание всего и вся с устройства. Подробнее о чудо-спайвари в техотчёте Касперского. Apple, конечно, свою причастность и сотрудничество с NSA отрицает. Ну а мы на втором году масштабного конфликта внезапно узнаём, что произведённые в чужой юрисдикции устройства в карманах чиновников напополам с переклеиванием ярлычков на китайском ширпотребе и информационный суверенитет – это две непересекающиеся плоскости. Кто бы мог подумать.
@tomhunter
Некий «чрезвычайно продвинутый» бэкдор засветился на телефонах менеджмента компании с начала года. Невидимое iMessage-сообщение с вложением, нулевая интеракция от юзера, атаки по версии iOS 15.7, обитание в оперативке, сложности с обнаружением и удалением, стягивание всего и вся с устройства. Подробнее о чудо-спайвари в техотчёте Касперского. Apple, конечно, свою причастность и сотрудничество с NSA отрицает. Ну а мы на втором году масштабного конфликта внезапно узнаём, что произведённые в чужой юрисдикции устройства в карманах чиновников напополам с переклеиванием ярлычков на китайском ширпотребе и информационный суверенитет – это две непересекающиеся плоскости. Кто бы мог подумать.
@tomhunter
😁25🤡5🔥3❤1🤔1😢1💯1
#news На выходных произошёл взлом Atomic Wallet. По текущим подсчётам с кошельков пользователей украли более $35 миллионов во всевозможной криптовалюте. Первые сообщения о краже появились в субботу утром.
Подробностей и внятных векторов атаки пока нет. Часть юзеров пишут, что крипту стащили после недавнего обновления, другие его не накатывали, но всё равно лишились средств. Компания отключила свой сервер для скачивания, так что, видимо, подозревают в том числе скомпрометированный софт. Между тем в пятёрке лишившихся средств счёт идёт на миллионы долларов – крупнейшая транзакция почти на восемь миллионов в USDT. Так что проверяйте свои атомные кубышки и делайте ставки, что такого удивительного случилось у некастодиального кошелька на этот раз.
@tomhunter
Подробностей и внятных векторов атаки пока нет. Часть юзеров пишут, что крипту стащили после недавнего обновления, другие его не накатывали, но всё равно лишились средств. Компания отключила свой сервер для скачивания, так что, видимо, подозревают в том числе скомпрометированный софт. Между тем в пятёрке лишившихся средств счёт идёт на миллионы долларов – крупнейшая транзакция почти на восемь миллионов в USDT. Так что проверяйте свои атомные кубышки и делайте ставки, что такого удивительного случилось у некастодиального кошелька на этот раз.
@tomhunter
🔥8🤯5😁2🤡1
#news Немного предсказуемые новости по следам взлома Atomic Wallet: украденная крипта пошла в миксер, любимый у известных специалистов по блокчейну из КНДР. В общем, опять Lazarus.
Elliptic отследила транзакции до Sinbad.[io] – криптомиксера, который, судя по всему, является ребрендингом Blender, попавшего под санкции США за обслуживание северокорейцев. Крипту из атомных кошельков обменяли на биткоины и замешали для обфускации. Между тем компания применяет подозрительно знакомый маркетинговый приём и утверждает, что взлом затронул лишь один процентмармеладных мишек активных пользователей. Крупные инвесторы, лишившиеся миллионов долларов, склонны не согласиться. Главной интригой же теперь остаётся, стал ли взлом последствием атаки на цепочку поставок по 3CX от неугомонных северокорейцев.
@tomhunter
Elliptic отследила транзакции до Sinbad.[io] – криптомиксера, который, судя по всему, является ребрендингом Blender, попавшего под санкции США за обслуживание северокорейцев. Крипту из атомных кошельков обменяли на биткоины и замешали для обфускации. Между тем компания применяет подозрительно знакомый маркетинговый приём и утверждает, что взлом затронул лишь один процент
@tomhunter
🔥7🤔1
#news Trendo Micro опубликовала отчёт по масштабной криптоскам-кампании. Больше тысячи сайтов тянут на одну из крупнейших мошеннических сеток такого плана. А стоят за ней русскоязычные злоумышленники из так называемой Impulse Team. Схема активна с января 2021-го, новые сайты появляются в ней и сегодня. Косвенные свидетельства указывают на активность мошенников с 2016-го года.
Сама схема стандартная: пришлите крипту, чтобы разблокировать больше крипты на своём счёте. Но масштабы впечатляющие. Программа партнёрская, так что реклама сайтов от отдельных мошенников в ней засветилась по многим соцсетям. Эту же сетку продвигали в Mastodon, по спаму в которой есть занятный текст у Кребса. В нём спамер охотно рассказывает про свой ботнет и жалуется на маленькие зарплаты в России. Что иронично, у Impulse Team есть канал с ботами по платежам на их сайтах. И судя по суммам, их просто подкручивают для заманивания партнёров в схему. Так скамеры скамят скамеров рангом пониже.
@tomhunter
Сама схема стандартная: пришлите крипту, чтобы разблокировать больше крипты на своём счёте. Но масштабы впечатляющие. Программа партнёрская, так что реклама сайтов от отдельных мошенников в ней засветилась по многим соцсетям. Эту же сетку продвигали в Mastodon, по спаму в которой есть занятный текст у Кребса. В нём спамер охотно рассказывает про свой ботнет и жалуется на маленькие зарплаты в России. Что иронично, у Impulse Team есть канал с ботами по платежам на их сайтах. И судя по суммам, их просто подкручивают для заманивания партнёров в схему. Так скамеры скамят скамеров рангом пониже.
@tomhunter
🔥9😁3🤯1
#news Череда атак рансомварь-группировки Cl0p через уязвимость в софте для передачи файлов MOVEit достигла кульминации: злоумышленники утверждают, что взломали сотни компаний и выдвинули ультиматум до 14 июня. Нулевой день на эскалацию привилегий и неавторизированный доступ в MOVEit, напомню, позволил массово скачать данные организаций, включая всевозможные конфиденциальные данные.
Между тем в списке взломов BBC, British Airways, Aer Lingus и другие крупные компании в Британии, США и Канаде. Что любопытно, в этот раз Cl0p не шантажирует пострадавших напрямую, а требует выйти с ними на связь для обсуждения выкупа самим. С чем связана смена тактики, неясно. Возможно, у группировки в рукаве действительно козырь на множество взломов, которые им лень обрабатывать лично. Так или иначе, этот масштабный взлом, судя по всему, снова забросит клопов-оппортунистов на верхушку рансомварь-иерархии текущего сезона.
@tomhunter
Между тем в списке взломов BBC, British Airways, Aer Lingus и другие крупные компании в Британии, США и Канаде. Что любопытно, в этот раз Cl0p не шантажирует пострадавших напрямую, а требует выйти с ними на связь для обсуждения выкупа самим. С чем связана смена тактики, неясно. Возможно, у группировки в рукаве действительно козырь на множество взломов, которые им лень обрабатывать лично. Так или иначе, этот масштабный взлом, судя по всему, снова забросит клопов-оппортунистов на верхушку рансомварь-иерархии текущего сезона.
@tomhunter
🔥7🤯3
#news Интересное развитие истории с нулевым днём в шлюзах электронной почты от Barracuda. Уязвимость на выполнение произвольных команд не только была в ходу у злоумышленников с октября прошлого года. Теперь компания связалась с владельцами взломанных устройств напрямую и сообщила, что их нужно немедленно заменить независимо от установленных патчей.
Саму уязвимость обнаружили в середине мая, поправили через пару дней и обрубили доступ злоумышленникам отдельным скриптом. Чуть позже нашли следы её эксплойта на протяжение более полугода с ранее не встречавшейся малварью под реверс-шелы и кражу данных. С чем связана необходимость избавиться от взломанных устройств, компания не сообщает. Но их утилизация несмотря на патчи – довольно неординарное решение. Видимо, бэкдоры на устройствах обновлениями вычистить не удалось.
@tomhunter
Саму уязвимость обнаружили в середине мая, поправили через пару дней и обрубили доступ злоумышленникам отдельным скриптом. Чуть позже нашли следы её эксплойта на протяжение более полугода с ранее не встречавшейся малварью под реверс-шелы и кражу данных. С чем связана необходимость избавиться от взломанных устройств, компания не сообщает. Но их утилизация несмотря на патчи – довольно неординарное решение. Видимо, бэкдоры на устройствах обновлениями вычистить не удалось.
@tomhunter
🔥5❤2🤯2🤔1
#news Вишенка на торте взломов софта для передачи файлов MOVEit от группировки Cl0p: исследователи обнаружили следы их активности по этому нулевому дню аж в июле 2021-го года. Логи взломанных компаний показывают, что злоумышленники на протяжение двух лет несколько раз тестировали уязвимость и свои инструменты для атаки.
В июле 2021-го Cl0p стучались командами на сервера вручную – видимо, примерно тогда был обнаружен задел под атаку. А в апреле 2022-го года по серверам массово прошлись уже с автоматизацией, собирая информацию о компаниях, к которым был доступ. Полировка клоповьих инструментов заняла ещё год перед их звёздным часом в конце мая. Собственно, это наглядно доказывает, что рансомварщик – это порою довольно продвинутая форма жизни, способная не только на поиск мгновенного вознаграждения, но и на многолетнюю работу на результат.
@tomhunter
В июле 2021-го Cl0p стучались командами на сервера вручную – видимо, примерно тогда был обнаружен задел под атаку. А в апреле 2022-го года по серверам массово прошлись уже с автоматизацией, собирая информацию о компаниях, к которым был доступ. Полировка клоповьих инструментов заняла ещё год перед их звёздным часом в конце мая. Собственно, это наглядно доказывает, что рансомварщик – это порою довольно продвинутая форма жизни, способная не только на поиск мгновенного вознаграждения, но и на многолетнюю работу на результат.
@tomhunter
❤7😁2🔥1🤯1
Подводим итоги последнего весеннего месяца в нашем традиционном дайджесте на Хабре. В мае особо отличилась Toyota, обнаружившая у себя несколько облаков, висевших без пароля десять лет, злоумышленники из Cl0p устроили массовую атаку через софт для передачи файлов MOVEit, вновь всплыла спайварь Pegasus – на этот раз в зоне военного конфликта, разгорелись дискуссии вокруг нового zip-домена от Google… Об этом и других интересных инфобез-событиях мая читайте на нашем Хабре!
@tomhunter
@tomhunter
❤5🔥1
#news Исследователи изучили популярное приложение для бега Strava с более 100 миллионов юзеров. И с помощью публично доступной карты в нём с достаточно большой точностью смогли отследить места жительства пользователей.
А сделать это позволила теплокарта – фича в приложении, анонимно отслеживающая активность и помечающая её на карте. По задумке это помогает находить хорошие места для бега. На деле же точки начала/конца активности на карте неплохо так совпадают с жилыми домами. Профили с личными данными, фото и трекерами на время/дистанцию тоже не способствуют приватности в рамках теплокарты. Чем активнее бегун, тем проще его по ней отследить. Среднего же пользователя с порогом в сто метров отслеживают с точностью до ~40 процентов. С одной стороны, любому инфобез-любителю и так понятно, что иметь открытый профиль в приложении с публичным трекингом – плохая затея. С другой, попробуй это объяснить обычному юзеру.
@tomhunter
А сделать это позволила теплокарта – фича в приложении, анонимно отслеживающая активность и помечающая её на карте. По задумке это помогает находить хорошие места для бега. На деле же точки начала/конца активности на карте неплохо так совпадают с жилыми домами. Профили с личными данными, фото и трекерами на время/дистанцию тоже не способствуют приватности в рамках теплокарты. Чем активнее бегун, тем проще его по ней отследить. Среднего же пользователя с порогом в сто метров отслеживают с точностью до ~40 процентов. С одной стороны, любому инфобез-любителю и так понятно, что иметь открытый профиль в приложении с публичным трекингом – плохая затея. С другой, попробуй это объяснить обычному юзеру.
@tomhunter
🔥9🤯4
#news Fortinet исправила критическую уязвимость в FortiOS SSL VPN и сообщила, что он мог быть использован в атаках. Эксплойт на переполнение буфера и произвольное выполнение кода CVE-2023-27997 мог быть задействован в атаках на правительственную и критическую инфраструктуру в Штатах.
Между тем за эксплойтом уязвимости могут стоять китайские госхакеры. Ранее они были замечены в атаках через неизвестный нулевой день в устройствах от Fortinet по организациям в США для доступа к критической инфраструктуре на случай потенциального военного конфликта. Между тем в сети более 250 тысяч потенциально открытых эксплойту фаерволов Fortigate – баг затрагивает все предыдущие версии прошивки, и желающих пощупать их за уязвимые места и без китайцев найдётся немало. Так что немедленно накатывать патч компания призывает неспроста.
@tomhunter
Между тем за эксплойтом уязвимости могут стоять китайские госхакеры. Ранее они были замечены в атаках через неизвестный нулевой день в устройствах от Fortinet по организациям в США для доступа к критической инфраструктуре на случай потенциального военного конфликта. Между тем в сети более 250 тысяч потенциально открытых эксплойту фаерволов Fortigate – баг затрагивает все предыдущие версии прошивки, и желающих пощупать их за уязвимые места и без китайцев найдётся немало. Так что немедленно накатывать патч компания призывает неспроста.
@tomhunter
🔥5❤1
На нашем Хабре новая статья по теме OSINT-исследований. В ней мы рассмотрим различные инструменты, которые могут быть использованы в контексте прифронтовой разведки и сбора сведений о происходящем в зоне боевых действий из открытых источников. Как показывает практика, современные вооруженные конфликты требуют новых подходов к организации сбора и анализа открытых данных, которыми мы оперируем в рамках OSINT. Так что если вы интересуетесь темой, добро пожаловать на наш Хабр!
@tomhunter
@tomhunter
🔥13❤3💩3😁1🤡1
#news Помните недавний взлом Atomic Wallet на $35 млн? А он, оказывается, не на $35 млн, а уже на $100 миллионов: такую сумму насчитали исследователи из Elliptic. Взлом, напомню, приписывают северокорейцам из Lazarus, потому что украденное сразу погнали через их любимые миксеры, а ещё находящийся под санкциями обменник Garantex.
Со взлома прошло больше 10 дней, но компания не выпустила даже общий пост-мортем, поэтому о векторе атаки мы до сих пор можем только догадываться. Многие подозревают, что случившееся — или инсайдерская работа, или следствие косяка со стороны софта Atomic Wallet. В пользу второго говорит аудит от нанятых исследователей, которые полтора года назад нашли в исходном коде кучу незалатанных дыр, угрожающих безопасности кошельков.
Компания всегда утверждала, что ключи от кошельков генерируются и хранятся только на устройствах пользователей, но, поскольку исходники закрыты, этому можно было только верить на слово. Полное молчание команды подозрениям не очень помогает...
@tomhunter
Со взлома прошло больше 10 дней, но компания не выпустила даже общий пост-мортем, поэтому о векторе атаки мы до сих пор можем только догадываться. Многие подозревают, что случившееся — или инсайдерская работа, или следствие косяка со стороны софта Atomic Wallet. В пользу второго говорит аудит от нанятых исследователей, которые полтора года назад нашли в исходном коде кучу незалатанных дыр, угрожающих безопасности кошельков.
Компания всегда утверждала, что ключи от кошельков генерируются и хранятся только на устройствах пользователей, но, поскольку исходники закрыты, этому можно было только верить на слово. Полное молчание команды подозрениям не очень помогает...
@tomhunter
🔥9🤯3
#news На Гитхабе вновь всплыла малварь под видом проверок концепции. Злоумышленники выдают себя за сотрудников несуществующей инфобез-фирмы и постят фейковые PoC под популярный софт вроде Chrome, Discord и WhatsApp. Вместо PoC юзеры получают вредоносный Python-скрипт для скачивания некой малвари под Винду и Линукс.
Насколько успешна операция, неясно, но исследователи отмечают, что она идёт с мая, и злоумышленники активно создают новые репозитории и аккаунты по следам банов, включая твиттерские для продвижения репов. Единственным реальным оказались персоны безопасников – для них использовали фото и данные сотрудников реальных компаний вроде Rapid7. Обнаружить своё лицо, доверительно смотрящее честными глазами на юзера по ту сторону экрана в репозитории с малварью – то ещё удовольствие, конечно.
@tomhunter
Насколько успешна операция, неясно, но исследователи отмечают, что она идёт с мая, и злоумышленники активно создают новые репозитории и аккаунты по следам банов, включая твиттерские для продвижения репов. Единственным реальным оказались персоны безопасников – для них использовали фото и данные сотрудников реальных компаний вроде Rapid7. Обнаружить своё лицо, доверительно смотрящее честными глазами на юзера по ту сторону экрана в репозитории с малварью – то ещё удовольствие, конечно.
@tomhunter
🔥7😁4
#news К оригинальным векторам атаки: в сети замечена рансомварь-операция с прицелом на российских геймеров. На фейковом сайте под видом загрузчика многопользовательского шутера Enlisted распространяют рансомварь. Причём сама она тоже фейковая – вредонос выдаёт себя за новую версию WannaCry, а на деле просто собран на основе локера Crypter с открытым кодом.
Сама рансомварь стандартная: AES-256, удаление теневых копий, записка с шантажом и ссылкой на бот в Телеграме. Ну и плюс лого WannaCry 3.0 с соответствующим расширением файлов – видимо, для пущего эффекта. Между тем Enlisted стал популярной альтернативой недоступным теперь в России играм. Так санкционный игровой продукт косвенно создаёт новые векторы атаки, а скучающие по нему геймеры вместо записи на альтернативную виртуальную службу получают дисконтную рансомварь.
@tomhunter
Сама рансомварь стандартная: AES-256, удаление теневых копий, записка с шантажом и ссылкой на бот в Телеграме. Ну и плюс лого WannaCry 3.0 с соответствующим расширением файлов – видимо, для пущего эффекта. Между тем Enlisted стал популярной альтернативой недоступным теперь в России играм. Так санкционный игровой продукт косвенно создаёт новые векторы атаки, а скучающие по нему геймеры вместо записи на альтернативную виртуальную службу получают дисконтную рансомварь.
@tomhunter
🔥6😁4😢1
#news В США арестован ещё один предполагаемый член группировки LockBit. Руслан Магомедович Астамиров, гражданин России из Чечни, подозревается к причастности к атакам с августа 2020-го по март 2023-го года. Ему приписывают как минимум пять атак по системам в Штатах и других странах, по совокупности обвинений Астамирову грозит до 25 лет тюрьмы и $250 тысяч штрафа.
Между тем это уже третий участник LockBit с ноября прошлого года, которому предъявлены обвинения. В Канаде ждёт экстрадиции в США Михаил Васильев, в мае ордер выписали на рансомварь-модника Михаила Матвеева, он же Wazawaka. В общем, маховик расследования против одной из наиболее активных на текущий момент киберпреступных группировок понемногу раскручивается, и с учётом ареста двоих её серьёзных членов, дальнейшие новости о LockBit, скорее всего, не заставят себя ждать. Можно делать ставки, не решат ли они пойти по стопам Conti и залечь на дно. Или хотя бы вывезти коллег по рансомварь-бизнесу на их, так сказать, историческую родину.
@tomhunter
Между тем это уже третий участник LockBit с ноября прошлого года, которому предъявлены обвинения. В Канаде ждёт экстрадиции в США Михаил Васильев, в мае ордер выписали на рансомварь-модника Михаила Матвеева, он же Wazawaka. В общем, маховик расследования против одной из наиболее активных на текущий момент киберпреступных группировок понемногу раскручивается, и с учётом ареста двоих её серьёзных членов, дальнейшие новости о LockBit, скорее всего, не заставят себя ждать. Можно делать ставки, не решат ли они пойти по стопам Conti и залечь на дно. Или хотя бы вывезти коллег по рансомварь-бизнесу на их, так сказать, историческую родину.
@tomhunter
😁10🔥2