#news Исследователи насчитали 178 тысяч уязвимых межсетевых экранов SonicWall, доступных в сети. 76% от всех обнаруженных. Причём уязвимы они к удалённому выполнению кода и отказу в обслуживании. С приветами из прошлого в виде уязвимостей из 2022-го и 2023-го годов, обе на переполнение буфера.
Даже если злоумышленник не дойдёт до RCE, он может перевести устройство в режим техобслуживания и получить доступ к сетям. И хотя эксплойтов уязвимостей в сетевой глуши замечено не было, проверки концепции в общем доступе валяются. При этом сами продукты от SonicWall уже подвергались эксплуатации: в марте 2023-го китайцы ломали их для шпионажа, а в 2021-м нулевой день в VPN от SonicWall дал доступ взломщикам к системам самого производителя. Быть взломанными через уязвимость в собственном продукте — верх иронии, конечно.
@tomhunter
Даже если злоумышленник не дойдёт до RCE, он может перевести устройство в режим техобслуживания и получить доступ к сетям. И хотя эксплойтов уязвимостей в сетевой глуши замечено не было, проверки концепции в общем доступе валяются. При этом сами продукты от SonicWall уже подвергались эксплуатации: в марте 2023-го китайцы ломали их для шпионажа, а в 2021-м нулевой день в VPN от SonicWall дал доступ взломщикам к системам самого производителя. Быть взломанными через уязвимость в собственном продукте — верх иронии, конечно.
@tomhunter
🔥6❤1
#news GitHub устроил ротацию ключей, потенциально затронутых исправленной в декабре уязвимостью с рейтингом 7.2 из 10. Её эксплойт позволяет злоумышленнику получить данные доступа из продакшн-контейнера. А там и до произвольного кода на непатченных серверах недалеко.
Впрочем, анализ телеметрии показал, что эксплойта уязвимости не было. Плюс бонусом к защите является то, что для эксплойта нужен доступ уровня владелец организации. Так что пока воздействие от уязвимости ограничено сообщившим о ней через BB-программу исследователем и необходимостью импортировать новые ключи для части юзеров. Между тем в прошлом году ротация ключей случилась в марте, когда GitHub нечаянно выложил приватный SSH-ключ в открытый доступ в репозитории. В этом году управились уже в январе.
@tomhunter
Впрочем, анализ телеметрии показал, что эксплойта уязвимости не было. Плюс бонусом к защите является то, что для эксплойта нужен доступ уровня владелец организации. Так что пока воздействие от уязвимости ограничено сообщившим о ней через BB-программу исследователем и необходимостью импортировать новые ключи для части юзеров. Между тем в прошлом году ротация ключей случилась в марте, когда GitHub нечаянно выложил приватный SSH-ключ в открытый доступ в репозитории. В этом году управились уже в январе.
@tomhunter
🔥2😁2
#news В новый год с продолжающей эволюционировать малварью под macOS: исследователи подмечают тревожный тренд в обходе антивирусной защиты маков XProtect. Так, в забеге наперегонки с выпуском обновлений пока побеждают злоумышленники: обновления базы данных XProtect новые сэмплы обходят стремительно.
Исследователи разбирают тренд на трёх примерах инфостилеров, KeySteal, Cherry Pie и нетленного Atomic Stealer. Так, обновление сигнатур XProtect под последний вышло в этом месяце, но новые версии малвари уже демонстрируют обход защиты. Причём не только маковской, но и большой части антивирусных движков. Пока XProtect с декабрьским обновлением ещё режет тот же Cherry Pie, VirusTotal на нём спотыкается. В общем, статический анализ всё меньше и меньше отвечает на вызовы современной малвари. Подробнее о неуловимом вредоносе в отчёте.
@tomhunter
Исследователи разбирают тренд на трёх примерах инфостилеров, KeySteal, Cherry Pie и нетленного Atomic Stealer. Так, обновление сигнатур XProtect под последний вышло в этом месяце, но новые версии малвари уже демонстрируют обход защиты. Причём не только маковской, но и большой части антивирусных движков. Пока XProtect с декабрьским обновлением ещё режет тот же Cherry Pie, VirusTotal на нём спотыкается. В общем, статический анализ всё меньше и меньше отвечает на вызовы современной малвари. Подробнее о неуловимом вредоносе в отчёте.
@tomhunter
🔥3❤1
#news Пока злоумышленники приспосабливают языковые модели под свои нужды, появляются инструменты и для белошляпочников. Некто GreyDGL опубликовал PentestGPT для автоматизации пентеста. Собран он на основе GPT-4 и требует подписки на последний.
В PentestGPT три модуля: под генерацию тестов и команд, обоснование теста с разжёвыванием процесса и синтаксический анализ выходных данных. С запуском новых сессий, созданием списка задач и инфой о проведённой операции. Модель способна щёлкать машины HackTheBox лёгкой и средной сложности и другие задачки CTF. Ознакомиться с инструментом можно на GitHub исследователя. Иными словами, есть повод задуматься о будущем. Вы что это, и пентестом за нас заниматься будете?
@tomhunter
В PentestGPT три модуля: под генерацию тестов и команд, обоснование теста с разжёвыванием процесса и синтаксический анализ выходных данных. С запуском новых сессий, созданием списка задач и инфой о проведённой операции. Модель способна щёлкать машины HackTheBox лёгкой и средной сложности и другие задачки CTF. Ознакомиться с инструментом можно на GitHub исследователя. Иными словами, есть повод задуматься о будущем. Вы что это, и пентестом за нас заниматься будете?
@tomhunter
🔥6🤯3😁1💩1
#news В мире киберпреступности встречаются занятные диковинки. Например, рэпер, вместо привычных преступлений воспевающий информационные. Раньше критики сходились во мнении, что это может быть просто пиар и дутый образ. Но теперь товарищ Punchmade Dev обзавёлся сайтом для продажи ломаных кредитных карт, украденных учёток и аккаунтов.
Такой одиозный пациент, конечно, не мог не привлечь внимание Брайана Кребса. Сегодня без отключённых школьных форумов — Кребс деанонит певца ртом… через золотые подвески, болтающиеся у него на шее на видео. На них горизонт города в штате Кентукки и лого с маскотом его университета. В реестре компаний штата Кребс находит Punchmade LLC. А там и почтовые ящики, и реальное имя владельца, и возраст совпадает. И прочие детали жизни. В общем, И – инфобез с оттенком нетривиального OSINT'a. Как говорится, в работе мастера проявляется гармония.
@tomhunter
Такой одиозный пациент, конечно, не мог не привлечь внимание Брайана Кребса. Сегодня без отключённых школьных форумов — Кребс деанонит певца ртом… через золотые подвески, болтающиеся у него на шее на видео. На них горизонт города в штате Кентукки и лого с маскотом его университета. В реестре компаний штата Кребс находит Punchmade LLC. А там и почтовые ящики, и реальное имя владельца, и возраст совпадает. И прочие детали жизни. В общем, И – инфобез с оттенком нетривиального OSINT'a. Как говорится, в работе мастера проявляется гармония.
@tomhunter
😁10🔥1
#news На Have I Been Pwned масштабное обновление — 71 миллион утёкших почтовых ящиков и паролей из датасета Naz.API, на котором крутится платформа illicit[.]services. В нём больше миллиарда строк украденных инфостилерами учёток и собранных из листов на подстановку учётных данных. Что примечательно для подобной компиляции, трети ящиков в базе HIBP нет. Этот кусок, видимо, как раз от инфостилеров.
В датасете ссылка для логина, сам логин и пароль. Крупнейший файл в нём — 312 миллионов строк ящиков и паролей. Легитимность утечки исследователи уже подтвердили. Между тем 100 миллионов паролей в массиве данных встречаются 1,3 миллиарда раз. Внимание, вопрос: что нам это говорит о паролях среднего юзера? Да всё как всегда, в общем: сплошь имена любимых пёсиков, годы рождения и нетленные password. Некоторые вещи не меняются.
@tomhunter
В датасете ссылка для логина, сам логин и пароль. Крупнейший файл в нём — 312 миллионов строк ящиков и паролей. Легитимность утечки исследователи уже подтвердили. Между тем 100 миллионов паролей в массиве данных встречаются 1,3 миллиарда раз. Внимание, вопрос: что нам это говорит о паролях среднего юзера? Да всё как всегда, в общем: сплошь имена любимых пёсиков, годы рождения и нетленные password. Некоторые вещи не меняются.
@tomhunter
🔥6😁4
#news На The Markup новое исследование трекеров на Facebook*. На этот раз благодаря программе прозрачности самой корпорации удалось покопаться в отслеживании формата server-to-server. То есть в той информации, которую компании передают Meta* о пользователях. Угадайте, сколько компаний отсылают инфу на среднего юзера Фейсбука? Две тысячи двести тридцать.
На 709 участников исследования пришлось 186,892 компании, передававших о них инфу. А на некоторых стучали больше 7000 компаний. Абсолютным чемпионом стал LiveRamp — крупный брокер данных из Сан-Франциско, засветившийся в передаче данных 96% подопытных. Что именно передают? Информацию с трекеров о том, что юзеры делают вне платформ Meta*. Причём не только онлайновую. Походы в магазин, покупки и прочее повседневное — всё это утекает Цукербринам. Ну а когда к этим массивам данных подключат языковые модели для анализа чуть продвинутее нынешних, они будут знать о нас больше, чем мы сами. Будущее безжалостно.
@tomhunter
На 709 участников исследования пришлось 186,892 компании, передававших о них инфу. А на некоторых стучали больше 7000 компаний. Абсолютным чемпионом стал LiveRamp — крупный брокер данных из Сан-Франциско, засветившийся в передаче данных 96% подопытных. Что именно передают? Информацию с трекеров о том, что юзеры делают вне платформ Meta*. Причём не только онлайновую. Походы в магазин, покупки и прочее повседневное — всё это утекает Цукербринам. Ну а когда к этим массивам данных подключат языковые модели для анализа чуть продвинутее нынешних, они будут знать о нас больше, чем мы сами. Будущее безжалостно.
@tomhunter
🤯6🤬3🔥1🎉1
#news Microsoft обвинила пресловутых русских хакеров в атаке по своим системам. Они якобы получили доступ к почтовым ящикам руководителей компании, сотрудников ИБ-отдела, юристов и других подразделений. Атаку опять приписали Midnight Blizzard — группировке, которую корпорация связывает с российской службой внешней разведки.
Атаку компания обнаружила 12 января и назвала взлом ни много ни мало «атакой государства». Были похищены электронные письма и вложения. Microsoft утверждает, что изначально хакеры искали в письмах информацию о самих себе. Вектором атаки стал брутфорс с подбором учётных данных. Хакеры получили доступ к некому старому тестовому аккаунту и проникли в системы. Между тем Microsoft обещает продолжить работу над усилением ИБ в рамках своей программы «Secure Future Initiative». Чтобы вездесущие русские хакеры по их системам больше не шастали, видимо.
@tomhunter
Атаку компания обнаружила 12 января и назвала взлом ни много ни мало «атакой государства». Были похищены электронные письма и вложения. Microsoft утверждает, что изначально хакеры искали в письмах информацию о самих себе. Вектором атаки стал брутфорс с подбором учётных данных. Хакеры получили доступ к некому старому тестовому аккаунту и проникли в системы. Между тем Microsoft обещает продолжить работу над усилением ИБ в рамках своей программы «Secure Future Initiative». Чтобы вездесущие русские хакеры по их системам больше не шастали, видимо.
@tomhunter
😁19🔥3💩2❤1🤯1😢1
Восторженный комментарий от руководителя СБ OZON Максима Мельничук обязывает нас рассказать о том, что T.Hunter собирается сделать в плане обучения корпоративных клиентов в 2024 году.
😉 Как вы уже могли видеть, на сайте компании обновился раздел Обучение конкурентной разведке (OSINT). Теперь на нем размещена не только общая программа повышения квалификации на 44 академических часа, но и спецкурсы. В числе последних:
1️⃣ Исследование цифровых финансовых активов (криптовалют)
2️⃣ Исследование электронно-цифрового следа
3️⃣ Проведение расследований в мессенджере Telegram
4️⃣ Исследование веб-ресурсов
5️⃣ Форензика (компьютерная криминалистика)
6️⃣ OSINT для служб безопасности
⚠️ Только корпоративное обучение! Готовы создавать курсы под задачи клиента!
🌐 https://tomhunter.ru/
📧 contact@tomhunter.ru
📱 +7 (812) 677-17-05
😉 Как вы уже могли видеть, на сайте компании обновился раздел Обучение конкурентной разведке (OSINT). Теперь на нем размещена не только общая программа повышения квалификации на 44 академических часа, но и спецкурсы. В числе последних:
1️⃣ Исследование цифровых финансовых активов (криптовалют)
2️⃣ Исследование электронно-цифрового следа
3️⃣ Проведение расследований в мессенджере Telegram
4️⃣ Исследование веб-ресурсов
5️⃣ Форензика (компьютерная криминалистика)
6️⃣ OSINT для служб безопасности
⚠️ Только корпоративное обучение! Готовы создавать курсы под задачи клиента!
🌐 https://tomhunter.ru/
📧 contact@tomhunter.ru
📱 +7 (812) 677-17-05
❤9🔥3😁1
#news К вопросу о жизни Conti после их попытки играть в геополитику и развала. Исследователи связали свежую рансомварь 3AM с бывшими членами группировки. Вредонос всплыл в сентябре, но вот инфраструктура, сервера и прочее у него от Conti. Саму же рансомварь, судя по всему, распространяют её бывшие члены, работающие под брендом Royal.
Помимо старой инфраструктуры у ушедших в тень членов Conti новые методы давления на жертв. Группировка 3AM использует ботов в eX-Твиттере, чтобы оставлять ссылки на утечки в комментариях популярных аккаунтов. Кроме того, они рассылают информацию о взломе подписчикам жертв в соцсетях. Но судя по тому, что группировка пока использовала это ноу-хау социнженерии только один раз, особого выхлопа оно не принесло.
@tomhunter
Помимо старой инфраструктуры у ушедших в тень членов Conti новые методы давления на жертв. Группировка 3AM использует ботов в eX-Твиттере, чтобы оставлять ссылки на утечки в комментариях популярных аккаунтов. Кроме того, они рассылают информацию о взломе подписчикам жертв в соцсетях. Но судя по тому, что группировка пока использовала это ноу-хау социнженерии только один раз, особого выхлопа оно не принесло.
@tomhunter
🔥3❤2💯1
#news В Германии суд оштрафовал айтишника на 3 тысячи евро за обнаружение уязвимости. В 2021-м фрилансер работал над неполадками у клиента IT-компании Modern Solution. Обнаружил в коде их софта незащищённое MySQL-подключение к серверу с базой на 700 тысяч клиентов. И сообщил Modern Solution о проблеме, публично раскрыв её в тот же день. А компания подала на него в суд.
Анализируя MySQL-соединение, товарищ вытащил из экзешника пароль, хранившийся в нём простым текстом. Обвинение же заявило, что этот подлец декомпилировал софт для получения доступа к базе. Декомпилировал, видимо, текстовым редактором и прочими сумрачными инструментами кулхацкера. Айтишника обвиняют в незаконном доступе к данным. Суд сначала встал на его сторону, но после апелляции решение изменили. ИБ-сообщество бурлит и хихикает над Modern Solution с их незашифрованными паролями и сокрытием масштабов утечки. В общем, трагикомедия «Как убить в себе белошляпочника». Так и живём.
@tomhunter
Анализируя MySQL-соединение, товарищ вытащил из экзешника пароль, хранившийся в нём простым текстом. Обвинение же заявило, что этот подлец декомпилировал софт для получения доступа к базе. Декомпилировал, видимо, текстовым редактором и прочими сумрачными инструментами кулхацкера. Айтишника обвиняют в незаконном доступе к данным. Суд сначала встал на его сторону, но после апелляции решение изменили. ИБ-сообщество бурлит и хихикает над Modern Solution с их незашифрованными паролями и сокрытием масштабов утечки. В общем, трагикомедия «Как убить в себе белошляпочника». Так и живём.
@tomhunter
😁15🤬4🔥2
#news В считанные дни после раскрытия критической уязвимости в конфлюенсах пошёл её активный эксплойт. Речь про выбившую десяточку по CVSS CVE-2023-22527 на удалённое выполнение кода. Уязвимы версии Confluence Data Center и Server 8, вышедшие до 5 декабря, плюс 8.4.5.
Уже 19 января пошли первые попытки эксплойта с более чем 600 уникальных айпишников. И за несколько дней атак насчитали около 40 тысяч. Пока активность злоумышленников сводится к сканированию сети на предмет уязвимых серверов по whoami и обратными вызовами. В сети доступны более 11 тысяч инстансов Atlassian, но сколько из них уязвимы, неизвестно. Между тем больше половины зафиксированных попыток эксплойта идут с айпишников в России. Прямо гордостью за российских киберпреступников пробирает. Или нет?
@tomhunter
Уже 19 января пошли первые попытки эксплойта с более чем 600 уникальных айпишников. И за несколько дней атак насчитали около 40 тысяч. Пока активность злоумышленников сводится к сканированию сети на предмет уязвимых серверов по whoami и обратными вызовами. В сети доступны более 11 тысяч инстансов Atlassian, но сколько из них уязвимы, неизвестно. Между тем больше половины зафиксированных попыток эксплойта идут с айпишников в России. Прямо гордостью за российских киберпреступников пробирает. Или нет?
@tomhunter
😁8🔥3
#news Группировка LockBit заявила о взломе сети ресторанов Subway. Информация об этом появилась у них на сайте. При этом утечка предположительно солидная: группировка утверждает, что выгрузила всю внутреннюю систему компании на сотни гигабайт данных. Финансы сети, выплаты по франшизе, обороты ресторанов и прочее.
Образцов данных LockBit не опубликовала, но выставила срок в две недели на выплату выкупа. После этого они будут готовы продать стянутые данные конкурентам сети ресторанов. Subway пока сообщила, что проверяет заявления злоумышленников. Но если группировка не преувеличивает масштабы утечки, желающие её выкупить из числа конкурентов действительно найдутся. И вся внутренняя кухня бутербродного гиганта вполне может уйти с молотка какому-нибудь инфернальному бургерному клоуну или куриному Троцкому.
@tomhunter
Образцов данных LockBit не опубликовала, но выставила срок в две недели на выплату выкупа. После этого они будут готовы продать стянутые данные конкурентам сети ресторанов. Subway пока сообщила, что проверяет заявления злоумышленников. Но если группировка не преувеличивает масштабы утечки, желающие её выкупить из числа конкурентов действительно найдутся. И вся внутренняя кухня бутербродного гиганта вполне может уйти с молотка какому-нибудь инфернальному бургерному клоуну или куриному Троцкому.
@tomhunter
😁8❤1🔥1
#news Финский хостинг-провайдер Tietoevry подвергся рансомварь-атаке. Виновником стали злоумышленники из Akira, а пострадал один из дата-центров в Швеции. Атака произошла в ночь на субботу, и компания оперативно изолировала затронутую платформу, но последствия впечатляющие.
Так, у крупнейшей сети кинотеатров в Швеции отвалилась покупка билетов онлайн. Затронуты несколько крупных торговых сетей, некоторые закрыли магазины до восстановления систем. Отвалилась зарплатная и HR-система, которая в ходу у правительства и университетов страны. В регионе Уппсала затронуто здравоохранение — нет доступа к системе записи. В общем, очередной яркий пример того, к каким последствиям приводят атаки по провайдерам. Сыпаться начинает вообще всё в масштабах страны.
@tomhunter
Так, у крупнейшей сети кинотеатров в Швеции отвалилась покупка билетов онлайн. Затронуты несколько крупных торговых сетей, некоторые закрыли магазины до восстановления систем. Отвалилась зарплатная и HR-система, которая в ходу у правительства и университетов страны. В регионе Уппсала затронуто здравоохранение — нет доступа к системе записи. В общем, очередной яркий пример того, к каким последствиям приводят атаки по провайдерам. Сыпаться начинает вообще всё в масштабах страны.
@tomhunter
🔥9🤯1
#news Исследователи из Cybernews обнаружили супермассивную чёрную дыру утёкших данных. Перепакованная и реиндексированная из прежних сливов коллекция получила название «Мать всех утечек». И заслуженно. В массиве 12 терабайт данных. И 26 миллиардов записей.
3,800 папок в сливе, по одной на каждую вошедшую в него утечку. И высока вероятность, что в нём также ранее не встречавшиеся в сети данные. Сотни миллионов строк с Weibo, Twitter, LinkedIn, VK, Telegram и других площадок. Данные правительственных организаций разных стран. И прочее-прочее. В общем, у нас кандидат на беспрецедентное воздействие по всей индустрии, особенно в отношении среднего пользователя с его повторяющимися паролями. Год начинается ярко, прямиком с невиданных ранее рекордов.
@tomhunter
3,800 папок в сливе, по одной на каждую вошедшую в него утечку. И высока вероятность, что в нём также ранее не встречавшиеся в сети данные. Сотни миллионов строк с Weibo, Twitter, LinkedIn, VK, Telegram и других площадок. Данные правительственных организаций разных стран. И прочее-прочее. В общем, у нас кандидат на беспрецедентное воздействие по всей индустрии, особенно в отношении среднего пользователя с его повторяющимися паролями. Год начинается ярко, прямиком с невиданных ранее рекордов.
@tomhunter
🔥7🤯4❤1🤔1🎉1
#news По API Trello прошлись скрапером и вытащили данные 15 миллионов пользователей. Почтовые ящики, юзернеймы, имена и другая информация с аккаунтов. База выставлена на продажу на хакерском форуме.
Trello сначала заявила, что у них ничего не произошло и неавторизованного доступа не было. Сам же злоумышленник сообщил, что использовал уязвимый эндпоинт API Trello под скрапинг данных. API был публично доступен, товарищ скормил ему лист из 500 миллионов ящиков и вытащил привязанные к аккаунтам. А ограничение по доступу к API по айпишнику обошёл с помощью прокси. Компания позже подтвердила злоупотребление их API и сообщила, что теперь обращаться к нему могут только зарегистрированные юзеры. В общем, очередной абьюз API по аналогии с Твиттером пару лет назад. Утечка уже добавлена на Have I Been Pwned, можно искать свою почту с Trello в базе.
@tomhunter
Trello сначала заявила, что у них ничего не произошло и неавторизованного доступа не было. Сам же злоумышленник сообщил, что использовал уязвимый эндпоинт API Trello под скрапинг данных. API был публично доступен, товарищ скормил ему лист из 500 миллионов ящиков и вытащил привязанные к аккаунтам. А ограничение по доступу к API по айпишнику обошёл с помощью прокси. Компания позже подтвердила злоупотребление их API и сообщила, что теперь обращаться к нему могут только зарегистрированные юзеры. В общем, очередной абьюз API по аналогии с Твиттером пару лет назад. Утечка уже добавлена на Have I Been Pwned, можно искать свою почту с Trello в базе.
@tomhunter
🔥8
#news Минцифры опубликовало рекомендации о переходе на отечественный софт для госкомпаний и корпораций. Российские операционные системы, офисные пакеты, антивирусы и виртуалки — все эти чудеса мы должны застать уже к 1 января 2025-го. Ну а годом позже везде должны уже крутиться отечественные системы управления базами данных. Возможно, даже с нескучными обоями.
Рекомендации, как водится, носят характер сугубо рекомендательный. Но при желании могут и не носить. В общем, прощайте Oracle с Microsoft SQL Server и прочим недружественным, поприветствуем своё родное и близкое сердцу. Между тем переход на новую СУБД в среднем требует 2-3 года — поэтому в сентябре прошлого года банки вновь просили отложить переход на отечественное года этак до 2027-го, а лучше навсегда. Увы, кто не поспел за духом времени и не оставил в прошлом ушедшие заморские решения, тот опоздал.
@tomhunter
Рекомендации, как водится, носят характер сугубо рекомендательный. Но при желании могут и не носить. В общем, прощайте Oracle с Microsoft SQL Server и прочим недружественным, поприветствуем своё родное и близкое сердцу. Между тем переход на новую СУБД в среднем требует 2-3 года — поэтому в сентябре прошлого года банки вновь просили отложить переход на отечественное года этак до 2027-го, а лучше навсегда. Увы, кто не поспел за духом времени и не оставил в прошлом ушедшие заморские решения, тот опоздал.
@tomhunter
😁17🔥3🤡3❤1
#news Hewlett Packard Enterprise раскрыла взлом своей почтовой среды на Microsoft Office 365. Злоумышленники похитили данные из почтовых ящиков работников инфобез-отдела, бизнес-отдела и прочих. Ну а за взломом, как водится, предположительно стоят русские хакеры из пресловутой Midnight Blizzard.
Компания считает, что этот взлом связан с прошлым в мае 2023-го года, когда некто получил доступ к их серверу SharePoint и стянул данные. При этом HPE узнала о новом взломе в декабре прошлого года. То есть злоумышленники так и имели доступ к их системам с мая. Здесь уж неясно, что хуже — вездесущие русские хакеры или то, что взлом в IT-компании обнаруживают только спустя полгода.
@tomhunter
Компания считает, что этот взлом связан с прошлым в мае 2023-го года, когда некто получил доступ к их серверу SharePoint и стянул данные. При этом HPE узнала о новом взломе в декабре прошлого года. То есть злоумышленники так и имели доступ к их системам с мая. Здесь уж неясно, что хуже — вездесущие русские хакеры или то, что взлом в IT-компании обнаруживают только спустя полгода.
@tomhunter
😁10❤3💯2🔥1🤔1
#news Разработчика TrickBot Владимира Дунаева, он же FFX, приговорили к пяти годам и четырём месяцам тюрьмы в Штатах. 40-летний гражданин России был арестован в Южной Корее в сентябре 2021-го и экстрадирован в США. Там его и восьмерых подельников и судили за разработку малвари.
Дунаев начал работу на стоявших за TrickBot злоумышленников в 2016-м году. Малварь функционировала в качестве инфостилера и банковского трояна. Это уже второй разработчик, обвиняемый в работе над Trickbot, после Аллы Витте. Между тем в феврале и сентябре прошлого года 18 связанных с TrickBot и Conti человек попали под санкции США. В общем, Contigate 2022-го продолжает аукаться всем причастным, и о судах над участниками преступного синдиката, скорее всего, мы услышим ещё не раз.
@tomhunter
Дунаев начал работу на стоявших за TrickBot злоумышленников в 2016-м году. Малварь функционировала в качестве инфостилера и банковского трояна. Это уже второй разработчик, обвиняемый в работе над Trickbot, после Аллы Витте. Между тем в феврале и сентябре прошлого года 18 связанных с TrickBot и Conti человек попали под санкции США. В общем, Contigate 2022-го продолжает аукаться всем причастным, и о судах над участниками преступного синдиката, скорее всего, мы услышим ещё не раз.
@tomhunter
🔥12
#news В США, Великобритании и Австралии попал под санкции гражданин России за взлом и утечку данных австралийского страхового гиганта Medibank. И непростой, а связанный с REvil. Встречайте, 33-летний Александр Ермаков.
Согласно документам, Ермаков активен в российской киберпреступной среде под псевдонимами GustaveDore, JimJones и Blade Runner. Стоял за рансомварь-операцией Sugar, она же Encoded01, и использовал несколько энкрипторов, включая разработанный REvil. А также был плотно связан с товарищем Михаилом Шефелем, он же Rescator, ответственным за кражу десятков миллионов кредиток в 2013-м и 2014-м. Санкции, как водится, Ермакову нипочём, пока он сидит в России. Но с его деаноном весь киберпреступный мир теперь в курсе, у кого есть тугой кошелёк с битками. А где уязвимый wetware с придатками, там и старый-добрый паяльничек. Так что жизнь у нашего бегущего по лезвию резко усложнилась.
@tomhunter
Согласно документам, Ермаков активен в российской киберпреступной среде под псевдонимами GustaveDore, JimJones и Blade Runner. Стоял за рансомварь-операцией Sugar, она же Encoded01, и использовал несколько энкрипторов, включая разработанный REvil. А также был плотно связан с товарищем Михаилом Шефелем, он же Rescator, ответственным за кражу десятков миллионов кредиток в 2013-м и 2014-м. Санкции, как водится, Ермакову нипочём, пока он сидит в России. Но с его деаноном весь киберпреступный мир теперь в курсе, у кого есть тугой кошелёк с битками. А где уязвимый wetware с придатками, там и старый-добрый паяльничек. Так что жизнь у нашего бегущего по лезвию резко усложнилась.
@tomhunter
😁9🤡4😢3🔥2🤔2🎉1
#news Под критическую уязвимость в Jenkins на RCE и чтение произвольных файлов опубликован ворох проверок концепции. Разработчик выпустил патчи под девять уязвимостей 24 января и опубликовал подробные сценарии возможных атак и путей эксплуатации. И пару дней спустя подоспели рабочие PoС под критическую CVE-2024-23897 с багом в парсере args4j.
Злоумышленники уже активно сканируют сеть на предмет уязвимых серверов и стучат по ним сценариями атак с минимальными изменениями или просто с эксплойтом из коробки. Исследователи также сообщают, что по их Jenkins-приманкам уже идут атаки, так что активный эксплойт разворачивается полным ходом. Иными словами, россыпь проверок концепции на Гитхабе шлют нам недвусмысленный сигнал – пришло время накатывать патчи.
@tomhunter
Злоумышленники уже активно сканируют сеть на предмет уязвимых серверов и стучат по ним сценариями атак с минимальными изменениями или просто с эксплойтом из коробки. Исследователи также сообщают, что по их Jenkins-приманкам уже идут атаки, так что активный эксплойт разворачивается полным ходом. Иными словами, россыпь проверок концепции на Гитхабе шлют нам недвусмысленный сигнал – пришло время накатывать патчи.
@tomhunter
🔥9🎉3❤1