#news Вишенка на торте взломов софта для передачи файлов MOVEit от группировки Cl0p: исследователи обнаружили следы их активности по этому нулевому дню аж в июле 2021-го года. Логи взломанных компаний показывают, что злоумышленники на протяжение двух лет несколько раз тестировали уязвимость и свои инструменты для атаки.
В июле 2021-го Cl0p стучались командами на сервера вручную – видимо, примерно тогда был обнаружен задел под атаку. А в апреле 2022-го года по серверам массово прошлись уже с автоматизацией, собирая информацию о компаниях, к которым был доступ. Полировка клоповьих инструментов заняла ещё год перед их звёздным часом в конце мая. Собственно, это наглядно доказывает, что рансомварщик – это порою довольно продвинутая форма жизни, способная не только на поиск мгновенного вознаграждения, но и на многолетнюю работу на результат.
@tomhunter
В июле 2021-го Cl0p стучались командами на сервера вручную – видимо, примерно тогда был обнаружен задел под атаку. А в апреле 2022-го года по серверам массово прошлись уже с автоматизацией, собирая информацию о компаниях, к которым был доступ. Полировка клоповьих инструментов заняла ещё год перед их звёздным часом в конце мая. Собственно, это наглядно доказывает, что рансомварщик – это порою довольно продвинутая форма жизни, способная не только на поиск мгновенного вознаграждения, но и на многолетнюю работу на результат.
@tomhunter
❤7😁2🔥1🤯1
Подводим итоги последнего весеннего месяца в нашем традиционном дайджесте на Хабре. В мае особо отличилась Toyota, обнаружившая у себя несколько облаков, висевших без пароля десять лет, злоумышленники из Cl0p устроили массовую атаку через софт для передачи файлов MOVEit, вновь всплыла спайварь Pegasus – на этот раз в зоне военного конфликта, разгорелись дискуссии вокруг нового zip-домена от Google… Об этом и других интересных инфобез-событиях мая читайте на нашем Хабре!
@tomhunter
@tomhunter
❤5🔥1
#news Исследователи изучили популярное приложение для бега Strava с более 100 миллионов юзеров. И с помощью публично доступной карты в нём с достаточно большой точностью смогли отследить места жительства пользователей.
А сделать это позволила теплокарта – фича в приложении, анонимно отслеживающая активность и помечающая её на карте. По задумке это помогает находить хорошие места для бега. На деле же точки начала/конца активности на карте неплохо так совпадают с жилыми домами. Профили с личными данными, фото и трекерами на время/дистанцию тоже не способствуют приватности в рамках теплокарты. Чем активнее бегун, тем проще его по ней отследить. Среднего же пользователя с порогом в сто метров отслеживают с точностью до ~40 процентов. С одной стороны, любому инфобез-любителю и так понятно, что иметь открытый профиль в приложении с публичным трекингом – плохая затея. С другой, попробуй это объяснить обычному юзеру.
@tomhunter
А сделать это позволила теплокарта – фича в приложении, анонимно отслеживающая активность и помечающая её на карте. По задумке это помогает находить хорошие места для бега. На деле же точки начала/конца активности на карте неплохо так совпадают с жилыми домами. Профили с личными данными, фото и трекерами на время/дистанцию тоже не способствуют приватности в рамках теплокарты. Чем активнее бегун, тем проще его по ней отследить. Среднего же пользователя с порогом в сто метров отслеживают с точностью до ~40 процентов. С одной стороны, любому инфобез-любителю и так понятно, что иметь открытый профиль в приложении с публичным трекингом – плохая затея. С другой, попробуй это объяснить обычному юзеру.
@tomhunter
🔥9🤯4
#news Fortinet исправила критическую уязвимость в FortiOS SSL VPN и сообщила, что он мог быть использован в атаках. Эксплойт на переполнение буфера и произвольное выполнение кода CVE-2023-27997 мог быть задействован в атаках на правительственную и критическую инфраструктуру в Штатах.
Между тем за эксплойтом уязвимости могут стоять китайские госхакеры. Ранее они были замечены в атаках через неизвестный нулевой день в устройствах от Fortinet по организациям в США для доступа к критической инфраструктуре на случай потенциального военного конфликта. Между тем в сети более 250 тысяч потенциально открытых эксплойту фаерволов Fortigate – баг затрагивает все предыдущие версии прошивки, и желающих пощупать их за уязвимые места и без китайцев найдётся немало. Так что немедленно накатывать патч компания призывает неспроста.
@tomhunter
Между тем за эксплойтом уязвимости могут стоять китайские госхакеры. Ранее они были замечены в атаках через неизвестный нулевой день в устройствах от Fortinet по организациям в США для доступа к критической инфраструктуре на случай потенциального военного конфликта. Между тем в сети более 250 тысяч потенциально открытых эксплойту фаерволов Fortigate – баг затрагивает все предыдущие версии прошивки, и желающих пощупать их за уязвимые места и без китайцев найдётся немало. Так что немедленно накатывать патч компания призывает неспроста.
@tomhunter
🔥5❤1
На нашем Хабре новая статья по теме OSINT-исследований. В ней мы рассмотрим различные инструменты, которые могут быть использованы в контексте прифронтовой разведки и сбора сведений о происходящем в зоне боевых действий из открытых источников. Как показывает практика, современные вооруженные конфликты требуют новых подходов к организации сбора и анализа открытых данных, которыми мы оперируем в рамках OSINT. Так что если вы интересуетесь темой, добро пожаловать на наш Хабр!
@tomhunter
@tomhunter
🔥13❤3💩3😁1🤡1
#news Помните недавний взлом Atomic Wallet на $35 млн? А он, оказывается, не на $35 млн, а уже на $100 миллионов: такую сумму насчитали исследователи из Elliptic. Взлом, напомню, приписывают северокорейцам из Lazarus, потому что украденное сразу погнали через их любимые миксеры, а ещё находящийся под санкциями обменник Garantex.
Со взлома прошло больше 10 дней, но компания не выпустила даже общий пост-мортем, поэтому о векторе атаки мы до сих пор можем только догадываться. Многие подозревают, что случившееся — или инсайдерская работа, или следствие косяка со стороны софта Atomic Wallet. В пользу второго говорит аудит от нанятых исследователей, которые полтора года назад нашли в исходном коде кучу незалатанных дыр, угрожающих безопасности кошельков.
Компания всегда утверждала, что ключи от кошельков генерируются и хранятся только на устройствах пользователей, но, поскольку исходники закрыты, этому можно было только верить на слово. Полное молчание команды подозрениям не очень помогает...
@tomhunter
Со взлома прошло больше 10 дней, но компания не выпустила даже общий пост-мортем, поэтому о векторе атаки мы до сих пор можем только догадываться. Многие подозревают, что случившееся — или инсайдерская работа, или следствие косяка со стороны софта Atomic Wallet. В пользу второго говорит аудит от нанятых исследователей, которые полтора года назад нашли в исходном коде кучу незалатанных дыр, угрожающих безопасности кошельков.
Компания всегда утверждала, что ключи от кошельков генерируются и хранятся только на устройствах пользователей, но, поскольку исходники закрыты, этому можно было только верить на слово. Полное молчание команды подозрениям не очень помогает...
@tomhunter
🔥9🤯3
#news На Гитхабе вновь всплыла малварь под видом проверок концепции. Злоумышленники выдают себя за сотрудников несуществующей инфобез-фирмы и постят фейковые PoC под популярный софт вроде Chrome, Discord и WhatsApp. Вместо PoC юзеры получают вредоносный Python-скрипт для скачивания некой малвари под Винду и Линукс.
Насколько успешна операция, неясно, но исследователи отмечают, что она идёт с мая, и злоумышленники активно создают новые репозитории и аккаунты по следам банов, включая твиттерские для продвижения репов. Единственным реальным оказались персоны безопасников – для них использовали фото и данные сотрудников реальных компаний вроде Rapid7. Обнаружить своё лицо, доверительно смотрящее честными глазами на юзера по ту сторону экрана в репозитории с малварью – то ещё удовольствие, конечно.
@tomhunter
Насколько успешна операция, неясно, но исследователи отмечают, что она идёт с мая, и злоумышленники активно создают новые репозитории и аккаунты по следам банов, включая твиттерские для продвижения репов. Единственным реальным оказались персоны безопасников – для них использовали фото и данные сотрудников реальных компаний вроде Rapid7. Обнаружить своё лицо, доверительно смотрящее честными глазами на юзера по ту сторону экрана в репозитории с малварью – то ещё удовольствие, конечно.
@tomhunter
🔥7😁4
#news К оригинальным векторам атаки: в сети замечена рансомварь-операция с прицелом на российских геймеров. На фейковом сайте под видом загрузчика многопользовательского шутера Enlisted распространяют рансомварь. Причём сама она тоже фейковая – вредонос выдаёт себя за новую версию WannaCry, а на деле просто собран на основе локера Crypter с открытым кодом.
Сама рансомварь стандартная: AES-256, удаление теневых копий, записка с шантажом и ссылкой на бот в Телеграме. Ну и плюс лого WannaCry 3.0 с соответствующим расширением файлов – видимо, для пущего эффекта. Между тем Enlisted стал популярной альтернативой недоступным теперь в России играм. Так санкционный игровой продукт косвенно создаёт новые векторы атаки, а скучающие по нему геймеры вместо записи на альтернативную виртуальную службу получают дисконтную рансомварь.
@tomhunter
Сама рансомварь стандартная: AES-256, удаление теневых копий, записка с шантажом и ссылкой на бот в Телеграме. Ну и плюс лого WannaCry 3.0 с соответствующим расширением файлов – видимо, для пущего эффекта. Между тем Enlisted стал популярной альтернативой недоступным теперь в России играм. Так санкционный игровой продукт косвенно создаёт новые векторы атаки, а скучающие по нему геймеры вместо записи на альтернативную виртуальную службу получают дисконтную рансомварь.
@tomhunter
🔥6😁4😢1
#news В США арестован ещё один предполагаемый член группировки LockBit. Руслан Магомедович Астамиров, гражданин России из Чечни, подозревается к причастности к атакам с августа 2020-го по март 2023-го года. Ему приписывают как минимум пять атак по системам в Штатах и других странах, по совокупности обвинений Астамирову грозит до 25 лет тюрьмы и $250 тысяч штрафа.
Между тем это уже третий участник LockBit с ноября прошлого года, которому предъявлены обвинения. В Канаде ждёт экстрадиции в США Михаил Васильев, в мае ордер выписали на рансомварь-модника Михаила Матвеева, он же Wazawaka. В общем, маховик расследования против одной из наиболее активных на текущий момент киберпреступных группировок понемногу раскручивается, и с учётом ареста двоих её серьёзных членов, дальнейшие новости о LockBit, скорее всего, не заставят себя ждать. Можно делать ставки, не решат ли они пойти по стопам Conti и залечь на дно. Или хотя бы вывезти коллег по рансомварь-бизнесу на их, так сказать, историческую родину.
@tomhunter
Между тем это уже третий участник LockBit с ноября прошлого года, которому предъявлены обвинения. В Канаде ждёт экстрадиции в США Михаил Васильев, в мае ордер выписали на рансомварь-модника Михаила Матвеева, он же Wazawaka. В общем, маховик расследования против одной из наиболее активных на текущий момент киберпреступных группировок понемногу раскручивается, и с учётом ареста двоих её серьёзных членов, дальнейшие новости о LockBit, скорее всего, не заставят себя ждать. Можно делать ставки, не решат ли они пойти по стопам Conti и залечь на дно. Или хотя бы вывезти коллег по рансомварь-бизнесу на их, так сказать, историческую родину.
@tomhunter
😁10🔥2
#news Microsoft подтвердила, что кратковременные падения их сервисов Azure, Outlook и OneDrive в начале июня были связаны с DDoS-атаками. Ответственность за них взяли на себя злоумышленники из Anonymous Sudan, с января атакующие компании и страны, враждебные Судану. Они также запросили миллион долларов за прекращение атак и пару уроков для спецов из Microsoft по их отражению.
Между тем некоторые исследователи полагают, что на деле это просто прикрытие, и за DDoS’ом стоят… русские хакеры. Более того, злоумышленники из Killnet, REvil и «суданской» группировки на днях сообщили о том, что сформировали некий Darknet-парламент и грозятся наложить санкции на европейские банковские системы – SWIFT, SEPA и прочие. Тем не менее, пока никаких атак по ним не было. Возможно, народное даркнет-собрание виртуальных борцов с проклятым Западом ограничится громкими заявлениями. Но упоминание REvil рядом с группировками, основной выхлоп которых – боевые скриншотики в Телеграме, звучит занятно.
@tomhunter
Между тем некоторые исследователи полагают, что на деле это просто прикрытие, и за DDoS’ом стоят… русские хакеры. Более того, злоумышленники из Killnet, REvil и «суданской» группировки на днях сообщили о том, что сформировали некий Darknet-парламент и грозятся наложить санкции на европейские банковские системы – SWIFT, SEPA и прочие. Тем не менее, пока никаких атак по ним не было. Возможно, народное даркнет-собрание виртуальных борцов с проклятым Западом ограничится громкими заявлениями. Но упоминание REvil рядом с группировками, основной выхлоп которых – боевые скриншотики в Телеграме, звучит занятно.
@tomhunter
🔥7😁4🤡4🤔1
#news Стало известно, кто стоял за февральским взломом Reddit с фишингом по сотруднику. BlackCat подтвердила причастность и грозит выложить 80GB стянутых данных, если не получит $4,5 миллиона. В сливе обещают статистику по отслеживанию юзеров Реддита и разную конфиденциальную информацию. Плюс инфу о теневых банах пользователей и некие «артефакты» с их Гитхаба.
Между тем группировка уже дважды – в апреле и июне – пытался связаться с компанией по вопросу выкупа, но не получила ответа. Так что публичная порка – последняя мера перед сливом. Что занятно, у злоумышленников появилось ещё одно требование: Reddit должна перестать брать плату за доступ к своему API. Что-то подсказывает, ответа от компании по этому запросу рансомварь-Робин Гуды точно не дождутся.
@tomhunter
Между тем группировка уже дважды – в апреле и июне – пытался связаться с компанией по вопросу выкупа, но не получила ответа. Так что публичная порка – последняя мера перед сливом. Что занятно, у злоумышленников появилось ещё одно требование: Reddit должна перестать брать плату за доступ к своему API. Что-то подсказывает, ответа от компании по этому запросу рансомварь-Робин Гуды точно не дождутся.
@tomhunter
🔥7😁3
#news В сети замечена очередная малварь-кампания с фейковым контентом с OnlyFans в качестве приманки. Вектор распространения неизвестен – могут быть и посты на тематических форумах, и вредоносная реклама, и чёрное SEO с липовыми сайтами. Первые образцы малвари вспыли в январе этого года, а новые продолжают грузить на VirusTotal и в июне.
В поисках халявного доступа счастливчики получают zip-архив c ранее встречавшимся в сетевых дебрях vbs-скриптом в качестве загрузчика. Провалившие проверку на дурака грузят в память DcRAT – троян удалённого доступа, собранный на основе AsyncRAT, с функционалом инфостилера и рансомвари. А также кейлоггером и доступом к камере для компиляций фото юзеров, озадаченных отсутствием премиального контента в архиве. Ну а мораль проста: пользуйтесь только проверенными агрегаторами контента с OnlyFans!
@tomhunter
В поисках халявного доступа счастливчики получают zip-архив c ранее встречавшимся в сетевых дебрях vbs-скриптом в качестве загрузчика. Провалившие проверку на дурака грузят в память DcRAT – троян удалённого доступа, собранный на основе AsyncRAT, с функционалом инфостилера и рансомвари. А также кейлоггером и доступом к камере для компиляций фото юзеров, озадаченных отсутствием премиального контента в архиве. Ну а мораль проста: пользуйтесь только проверенными агрегаторами контента с OnlyFans!
@tomhunter
😁6🔥1
#news Исследователи засекли очередную волну атак по линуксовским SSH-серверам. Неизвестные злоумышленники брутфорсят сервера и закидывают DDoS-ботнеты Tsunami и Shellbot, малварь на повышение прав доступа через ELF-бинарник, майнер Monero XMRig и пару инструментов для чистки логов. Полный набор с Tsunami и его широким функционалом во главе брутфорснутого угла. Подробнее о кампании и малвари в ней в отчёте.
После атаки злоумышленники также генерируют новую пару SSH-ключей на случай, если незадачливый владелец сервера догадается сменить пароль. Между тем словарик данных доступа, как всегда, показательный. Если я усну и проснусь через сто лет и меня спросят, что сейчас происходит в инфобез-среде, я отвечу: брутфорсят открытые всем желающим сервера паролями «Password» и «123». Необучаемые же.
@tomhunter
После атаки злоумышленники также генерируют новую пару SSH-ключей на случай, если незадачливый владелец сервера догадается сменить пароль. Между тем словарик данных доступа, как всегда, показательный. Если я усну и проснусь через сто лет и меня спросят, что сейчас происходит в инфобез-среде, я отвечу: брутфорсят открытые всем желающим сервера паролями «Password» и «123». Необучаемые же.
@tomhunter
😁10🔥4❤1
#news Браузер DuckDuckGo под Windows вышел в открытую бету и доступен для скачивания всем желающим. Из фич, отдельно выделенных в релизе, разработчики упоминают продвинутую блокировку трекеров, форсирование HTTPS на посещаемых сайтах и защиту почты от слежки в виде их решения, режущего рекламные и профилирующие трекеры. Плюс удаление истории посещений и печенок одним кликом, менеджер куки-запросов и прочее по мелочи. В браузер также встроен YouTube-плеер, убирающих рекламу и трекеры на платформе.
Разработчики утверждают, что их блокировщики режут ~60 процентов потребляемого трафика в сравнении с Хромом. В дальнейшем обещают добавить полноценную поддержку расширений. Несмотря на то, что DuckDuckGo раньше светился в довольно сомнительных историях, поковыряться в нём всё ещё интересно. Может, станет неплохой альтернативой решениям под Винду. Подробнее о бете в анонсе от разработчиков.
@tomhunter
Разработчики утверждают, что их блокировщики режут ~60 процентов потребляемого трафика в сравнении с Хромом. В дальнейшем обещают добавить полноценную поддержку расширений. Несмотря на то, что DuckDuckGo раньше светился в довольно сомнительных историях, поковыряться в нём всё ещё интересно. Может, станет неплохой альтернативой решениям под Винду. Подробнее о бете в анонсе от разработчиков.
@tomhunter
🔥11💩4❤2
#news Apple исправила нулевые дни, которые используются в атаках спайвари Triangulation по айфонам. Нашумевший в начале месяца вредонос, по сообщениям ФСБ, был обнаружен на тысячах устройств политиков и дипломатов. Две уязвимости вместо с самой спайварью на своих телефонах нашли специалисты Лаборатории Касперского и сообщили о них Apple.
Между тем последние вчера опубликовали подробный отчёт о Triangulation. Пишут, что вредонос работает исключительно в памяти устройства, не оставляет следов и после ребута требует повторного заражения. Если же перезагрузки не будет, то имплант без продления автоматически удаляется через 30 дней. В общей сложности в спайвари 24 команды под разные процессы плюс скачивание дополнительных модулей. Что интересно, в её конфиге также нашли неиспользуемый метод populateWithFieldsMacOSOnly. Собственно, это косвенно указывает, что аналогичная малварь может быть и под МакОсь. Подробнее об «Операции Триангуляция» в отчёте.
@tomhunter
Между тем последние вчера опубликовали подробный отчёт о Triangulation. Пишут, что вредонос работает исключительно в памяти устройства, не оставляет следов и после ребута требует повторного заражения. Если же перезагрузки не будет, то имплант без продления автоматически удаляется через 30 дней. В общей сложности в спайвари 24 команды под разные процессы плюс скачивание дополнительных модулей. Что интересно, в её конфиге также нашли неиспользуемый метод populateWithFieldsMacOSOnly. Собственно, это косвенно указывает, что аналогичная малварь может быть и под МакОсь. Подробнее об «Операции Триангуляция» в отчёте.
@tomhunter
🔥6❤3🤯1
#news Исследователи изучили Гитхаб на предмет уязвимости репозиториев к их угону через RepoJacking. Результате неутешительные: в выборке из 1,25 миллионов репов ~3% оказались уязвимы к атаке. Если экстраполировать эти числа на всю платформу, наберётся около 9 миллионов открытых угону проектов.
RepoJacking, напомню, происходит, когда разработчик меняет название репозитория, а затем злоумышленник создаёт проект под его старым именем. А это ломает зависимости в атакуемом репе, и они подтягиваются с угнанного проекта. Ну а там уже малварь. Между тем среди уязвимых проекты от Google и Lyft. У первых в readme к «Mathsteps» ссылки на старый с «npm install» для зависимостей. У вторых скрипт-установочник, подтягивающий zip-архив с уязвимого репозитория. Гитхаб, конечно, какие-то шаги для защиты от RepoJacking’a предпринимает, но их, увы, как капля в море. Подробнее читайте в исследовании от Aquasec.
@tomhunter
RepoJacking, напомню, происходит, когда разработчик меняет название репозитория, а затем злоумышленник создаёт проект под его старым именем. А это ломает зависимости в атакуемом репе, и они подтягиваются с угнанного проекта. Ну а там уже малварь. Между тем среди уязвимых проекты от Google и Lyft. У первых в readme к «Mathsteps» ссылки на старый с «npm install» для зависимостей. У вторых скрипт-установочник, подтягивающий zip-архив с уязвимого репозитория. Гитхаб, конечно, какие-то шаги для защиты от RepoJacking’a предпринимает, но их, увы, как капля в море. Подробнее читайте в исследовании от Aquasec.
@tomhunter
🤯4❤2🔥1😁1
#news В Microsoft Teams нашли баг, позволяющий обойти запрет на отправку файлов в чаты организаций от внешних пользователей. Причём эксплойт элементарный: достаточно сменить ID внутреннего и внешнего получателей в POST-запросе сообщения, и система воспринимает сообщения от последнего как внутренние. IDOR от Майкрософт, десять минут от идеи до реализации.
При отправке таким методом малварь хостится на домене Sharepoint, откуда её и получит жертва. Причём в виде файла, а не ссылки, в чатике. Простой, надежный и дружелюбный к юзеру способ доставки вредоносной нагрузки, как это обозначили обнаружившие уязвимость пентестеры. А если ещё зарегистрировать в M365 схожий домен под целевую компанию… Затронуты все организации в Microsoft Teams на дефолтной конфигурации. Между тем в самой Майкрософт ответили, что в немедленном исправлении уязвимость не нуждается. Желающим увидеть фикс поскорее предлагают побыть активным мелкософт-гражданином и проголосовать за челобитную.
@tomhunter
При отправке таким методом малварь хостится на домене Sharepoint, откуда её и получит жертва. Причём в виде файла, а не ссылки, в чатике. Простой, надежный и дружелюбный к юзеру способ доставки вредоносной нагрузки, как это обозначили обнаружившие уязвимость пентестеры. А если ещё зарегистрировать в M365 схожий домен под целевую компанию… Затронуты все организации в Microsoft Teams на дефолтной конфигурации. Между тем в самой Майкрософт ответили, что в немедленном исправлении уязвимость не нуждается. Желающим увидеть фикс поскорее предлагают побыть активным мелкософт-гражданином и проголосовать за челобитную.
@tomhunter
😁8❤2🔥2🤡1
#news ФБР перехватило домен BreachedForums в верхнем интернете три месяца спустя после ареста его владельца Pompompurin. Вместе с этим под нож ушёл и личный сайт последнего. Breached в даркнете вместо заглушки пока выдаёт 404.
Окончательный уход домена в небытие произошёл на фоне невнятных интриг вокруг наследника Breached. После создания админом Baphomet нового форума, на старом появились сообщения, призывающие относиться к грядущим итерациям Breached с осторожностью и на них не ходить. А затем там и вовсе выложили SQL-базу нового форума после взлома. Товарищ Baphomet причастность к этим выкрутасам отрицал, и у кого доступ к старому форуму, было неясно. Между тем обратите внимание на заглушку: любители чертовски хорошего кофе пририсовали к аватарке Pompompurin’a маленькие миленькие наручнички. Взлом своего почтового сервера два года назад, очевидно, ФБР ему так и не простило.
@tomhunter
Окончательный уход домена в небытие произошёл на фоне невнятных интриг вокруг наследника Breached. После создания админом Baphomet нового форума, на старом появились сообщения, призывающие относиться к грядущим итерациям Breached с осторожностью и на них не ходить. А затем там и вовсе выложили SQL-базу нового форума после взлома. Товарищ Baphomet причастность к этим выкрутасам отрицал, и у кого доступ к старому форуму, было неясно. Между тем обратите внимание на заглушку: любители чертовски хорошего кофе пририсовали к аватарке Pompompurin’a маленькие миленькие наручнички. Взлом своего почтового сервера два года назад, очевидно, ФБР ему так и не простило.
@tomhunter
😁5🔥2
#news Европол делится впечатляющими промежуточными итогами операции по EncroChat. На текущий момент были арестованы 6,588 человек и конфискован почти миллиард долларов, а также 270 тонн наркотиков, 83 лодки и 40 самолётов. Среди арестованных 197 особо важных целей.
EncroChat, напомню, был Android-платформой в ходу у преступников, обещавшей пользователям непробиваемое шифрование, анонимность и невозможность отслеживания. Однако ж, в 2020-м Европол шифрование всё же взломал и пробрался на платформу. Текущая операция – результат анализа 115 миллионов чатов между около 60 тысячами юзеров. Публика соответствующая: треть – организованная преступность, ещё треть – наркотрафик, оставшиеся – отмывание денег, заказные убийства и торговля оружием. Пока осуждённые пользователи Not-So-EncroChat’a суммарно набрали 7,134 года за решёткой на всех. И ещё дольше будут вспоминать эту чудо-платформу нехорошим словом.
@tomhunter
EncroChat, напомню, был Android-платформой в ходу у преступников, обещавшей пользователям непробиваемое шифрование, анонимность и невозможность отслеживания. Однако ж, в 2020-м Европол шифрование всё же взломал и пробрался на платформу. Текущая операция – результат анализа 115 миллионов чатов между около 60 тысячами юзеров. Публика соответствующая: треть – организованная преступность, ещё треть – наркотрафик, оставшиеся – отмывание денег, заказные убийства и торговля оружием. Пока осуждённые пользователи Not-So-EncroChat’a суммарно набрали 7,134 года за решёткой на всех. И ещё дольше будут вспоминать эту чудо-платформу нехорошим словом.
@tomhunter
🔥11🤯4❤1😁1
#news Список компаний, пострадавших от атаки Cl0p через софт MOVEit, продолжает пополняться громкими именами. Взлом подтвердил Siemens Energy, производитель оборудования для энергетики с годовой выручкой в $35 миллиардов. Компания утверждает, что критичные данные затронуты не были, как и их деловые операции.
Между тем Siemens Energy также активно занимается инфобезом в нефтяной и газовой отрасли, что немного добавляет иронии их собственному взлому. В свою очередь, Cl0p всё обновляет сайт с утечками и не спешит останавливаться. Крупные компании, университеты, всевозможные госучреждения – список растёт, и утечками затронуты уже миллионы людей. Вслед за звёздным часом злоумышленников, впрочем, повышаются и ставки: ФБР объявило о сумме в $10 миллионов за информацию о членах группировки. И хотя текущая геополитическая обстановка играет им на руку, большие дяди в дорогих костюмах рано или поздно договорятся, а открытые на киберпреступников дела никуда не денутся.
@tomhunter
Между тем Siemens Energy также активно занимается инфобезом в нефтяной и газовой отрасли, что немного добавляет иронии их собственному взлому. В свою очередь, Cl0p всё обновляет сайт с утечками и не спешит останавливаться. Крупные компании, университеты, всевозможные госучреждения – список растёт, и утечками затронуты уже миллионы людей. Вслед за звёздным часом злоумышленников, впрочем, повышаются и ставки: ФБР объявило о сумме в $10 миллионов за информацию о членах группировки. И хотя текущая геополитическая обстановка играет им на руку, большие дяди в дорогих костюмах рано или поздно договорятся, а открытые на киберпреступников дела никуда не денутся.
@tomhunter
🔥4❤2
#news В сетевых дебрях замечена очередная рансомварь-операция. В июне внимание к себе привлекла группировка 8Base, резко нарастившая активность. Они работают с мая 2022-го, но раньше на счету злоумышленников были единичные атаки. С запуском же сайта в прошлом месяце группировка заявила уже о 35 жертвах за июнь. Тем не менее, новичками они не являются: судя по копипасту на сайте и в записке о выкупе, это может быть сайд-проект группировки RansomHouse.
В ходу у злоумышленников модифицированный энкриптор Phobos v2.9.1 и SmokerLoader в качестве загрузчика. Плюс связанный с малварью SystemBC домен, используемый для обфускации C2-серверов. Между тем сами злоумышленники называют себя «простыми и честными пентестерами с демократичным ценником за возврат данных». Ну а на сайт к ним, само собой, попадают только плохие компании, не желающие оплачивать услуги и не ценящие безопасность данных. Наглости остаётся только позавидовать. Подробнее о 8Base с IoCs и прочим в отчёте.
@tomhunter
В ходу у злоумышленников модифицированный энкриптор Phobos v2.9.1 и SmokerLoader в качестве загрузчика. Плюс связанный с малварью SystemBC домен, используемый для обфускации C2-серверов. Между тем сами злоумышленники называют себя «простыми и честными пентестерами с демократичным ценником за возврат данных». Ну а на сайт к ним, само собой, попадают только плохие компании, не желающие оплачивать услуги и не ценящие безопасность данных. Наглости остаётся только позавидовать. Подробнее о 8Base с IoCs и прочим в отчёте.
@tomhunter
😁6🔥2❤1