#news Рубрика “Их нравы”. Фонд Python Software Foundation, обслуживающий экосистему Python, отказался от госгранта в США на $1,5 миллиона. В договоре было обязательство подтвердить, что PSF не занимается поддержкой меньшинств и разнообразия.
Условие возникло на фоне флуктуаций в новой штатовской администрации — с DEI-политикой равенства и инклюзивности активно борются. Под раздачу попал и Python: как сообщают в фонде, они за разнообразное и международное сообщество любителей питонов всех оттенков и ориентаций. Плюс деньги могли банально отозвать с учётом уже потраченных, если бы поймали с поличным за нынешней версией американского экстремизма. На практике отказ означает, что бюджет на инфобез сократится: крупнейший грант в истории фонда должен был пойти на борьбу с атаками на цепочку поставок на PyPi. Бонусом разработанные методы могли перекочевать на NPM и прочие опенсорсные репозитории. В итоге денег нет, но не прогнулись. Что тоже по-своему неплохо — сообщество оценило.
@tomhunter
Условие возникло на фоне флуктуаций в новой штатовской администрации — с DEI-политикой равенства и инклюзивности активно борются. Под раздачу попал и Python: как сообщают в фонде, они за разнообразное и международное сообщество любителей питонов всех оттенков и ориентаций. Плюс деньги могли банально отозвать с учётом уже потраченных, если бы поймали с поличным за нынешней версией американского экстремизма. На практике отказ означает, что бюджет на инфобез сократится: крупнейший грант в истории фонда должен был пойти на борьбу с атаками на цепочку поставок на PyPi. Бонусом разработанные методы могли перекочевать на NPM и прочие опенсорсные репозитории. В итоге денег нет, но не прогнулись. Что тоже по-своему неплохо — сообщество оценило.
@tomhunter
😁11🔥3❤2👍2🤡2
#news Немецкий ИБ-регулятор бьёт тревогу: 9 из 10 серверов Microsoft Exchange в стране всё ещё крутятся на устаревших версиях. Большая часть на Outlook Web Access 2019 и младше. Кто бы мог подумать — две недели дедлайну.
Все предупреждения от Microsoft о завершении поддержки были как обычно проигнорированы — сетевая инфраструктура госухи живёт по своим законам. Регулятор насчитал 33 тысячи публичных серверов школ и университетов, больниц, госучреждений и соцслужб, настойчиво призывая обновиться и угрожая полной компрометацией систем. Всё это с вежливыми ссылочками на предыдущие инциденты. При этом все всё прекрасно понимают — и регулятор, и регулируемые. Точнее, неуправляемые. Но это суровое, по-настоящему мужское противостояние продолжается: одни пишут вдумчивые предупреждения, у вторых ИБ-отдел состоит из охранника на пенсии и флегматичного паука в углу пыльной серверной. А там уж хоть проксишель, хоть не проксишель — и не такое видали.
@tomhunter
Все предупреждения от Microsoft о завершении поддержки были как обычно проигнорированы — сетевая инфраструктура госухи живёт по своим законам. Регулятор насчитал 33 тысячи публичных серверов школ и университетов, больниц, госучреждений и соцслужб, настойчиво призывая обновиться и угрожая полной компрометацией систем. Всё это с вежливыми ссылочками на предыдущие инциденты. При этом все всё прекрасно понимают — и регулятор, и регулируемые. Точнее, неуправляемые. Но это суровое, по-настоящему мужское противостояние продолжается: одни пишут вдумчивые предупреждения, у вторых ИБ-отдел состоит из охранника на пенсии и флегматичного паука в углу пыльной серверной. А там уж хоть проксишель, хоть не проксишель — и не такое видали.
@tomhunter
😁13❤3👍1💯1
#announcement 26 ноября в Москве пройдёт StopPhish Conference 2025 — первая в России конференция с фокусом на социальной инженерии, фишинге, OSINT и дипфейках.
Событие для своих — CISO, фрод-аналитиков, редтимеров, пентестеров, интеграторов и всех причастных. Поговорим о том, как LLM’ки прокачали фишинг, об OSINT и физическом доступе. О том, как убедить топ-менеджеров, что ИБ — это не выдумки, выстраивать диалог с регулятором, сдружить сотрудников с кибербез-нердами и многом другом. От T.Hunter на конференции будет директор нашего департамента расследований Игорь Бедеров и расскажет о роли OSINT как инструмента для атак и средства защиты. Участие бесплатное, событие интересное, так что присоединяйтесь! Регистрация доступна здесь.
@tomhunter
Событие для своих — CISO, фрод-аналитиков, редтимеров, пентестеров, интеграторов и всех причастных. Поговорим о том, как LLM’ки прокачали фишинг, об OSINT и физическом доступе. О том, как убедить топ-менеджеров, что ИБ — это не выдумки, выстраивать диалог с регулятором, сдружить сотрудников с кибербез-нердами и многом другом. От T.Hunter на конференции будет директор нашего департамента расследований Игорь Бедеров и расскажет о роли OSINT как инструмента для атак и средства защиты. Участие бесплатное, событие интересное, так что присоединяйтесь! Регистрация доступна здесь.
@tomhunter
🔥5❤2👍2🤡2💯1
#news Любопытный сдвиг в работе ботнета Aisuru. Ранее в этом году он отметился рекордными дудосами до 30 Tb в секунду, но теперь его перевели в формат резидентских прокси. Дело, как выясняется, прибыльное. А разгадка проста: LLM’ки .
Исследователи отмечают, что между теневыми прокси-сервисами и LLM-скраперами наметился коллаб: операторы последних используют прокси для обхода ограничений на скрапинг. Его последствия для интернета уже отмечали: DDoS больше не нужен, когда армии ИИ-саранчи бродят по интернету и кладут один ресурс за другим. На фоне этого на рынке резидентских прокси за последние полгода взрывной рост: от 10 до 200 раз больше прокси в аренду. У операторов Aisuru, судя по анализу ранее, IQ ближе к трёхзначному, чем у среднего ботнетчика, так что модель удачно сменили — денег больше, шуму меньше. Тем временем на конец 2025-го зачатки наших будущих кремниевых повелителей пережёвывают сеть, притворяясь кожаным мешком под прокси. Как вам такой киберпанк?
@tomhunter
Исследователи отмечают, что между теневыми прокси-сервисами и LLM-скраперами наметился коллаб: операторы последних используют прокси для обхода ограничений на скрапинг. Его последствия для интернета уже отмечали: DDoS больше не нужен, когда армии ИИ-саранчи бродят по интернету и кладут один ресурс за другим. На фоне этого на рынке резидентских прокси за последние полгода взрывной рост: от 10 до 200 раз больше прокси в аренду. У операторов Aisuru, судя по анализу ранее, IQ ближе к трёхзначному, чем у среднего ботнетчика, так что модель удачно сменили — денег больше, шуму меньше. Тем временем на конец 2025-го зачатки наших будущих кремниевых повелителей пережёвывают сеть, притворяясь кожаным мешком под прокси. Как вам такой киберпанк?
@tomhunter
😁6❤2😱2😢1
#news В США занятное судебное дело: бывший сотрудник оборонного подрядчика признал вину в продаже нулевых дней иностранному посреднику. И этим посредником был российский брокер уязвимостей.
Согласно материалам дела, обвиняемый работал в Trenchant и в течение трёх лет копировал внутренний софт правительства США и союзников — он обозначен как инструменты для киберопераций. Всё это он продавал за миллионы долларов в крипте поставщику эксплойтов из России. Последний в деле также назван — речь идёт, конечно же, об Operation Zero. Характер преступления осознанный, интересы США преданы, по двум эпизодам кражи коммерческих тайн обвиняемый получит ~10-летний тюремный срок и ~$1,5 миллиона штрафа. К слову, Trenchant недавно как раз отметилась закидыванием спайвари на телефоны сотрудников. Теперь причина радикальных мер понятна — опять русские хакеры виноваты.
@tomhunter
Согласно материалам дела, обвиняемый работал в Trenchant и в течение трёх лет копировал внутренний софт правительства США и союзников — он обозначен как инструменты для киберопераций. Всё это он продавал за миллионы долларов в крипте поставщику эксплойтов из России. Последний в деле также назван — речь идёт, конечно же, об Operation Zero. Характер преступления осознанный, интересы США преданы, по двум эпизодам кражи коммерческих тайн обвиняемый получит ~10-летний тюремный срок и ~$1,5 миллиона штрафа. К слову, Trenchant недавно как раз отметилась закидыванием спайвари на телефоны сотрудников. Теперь причина радикальных мер понятна — опять русские хакеры виноваты.
@tomhunter
😁6👍4🔥3
#news На конец года на рансомварь-сцене неожиданный фаворит. Вместо предсказанных на 2025-й успехов почившей RansomHub и пока только подающей невнятные признаки жизни LockBit наиболее активной группировкой уверенно становится Qilin.
В октябре Qilin отметилась 700-м заявленным взломом за год, и за этот месяц её сайт прирос 185-ю новыми жертвами. RansomHub с её 547-ю взломами за 2024-й Qilin уже обошла, что и неудивительно — солидная часть прежних аффилиатов RH перекатилась под её бренд в апреле, и число атак моментально утроилось. Так что группировка ожидаемо под пристальным вниманием исследователей: на днях опубликовали несколько отчётов с обзором атак Qilin и их теханализом. Бонусом в отчёте стильные обои из энкриптора группировки, которые можно накатить на рабочий стол джуну и, воспользовавшись моментом, напомнить, что ему пора бы перестать заходить в сети компании с голого айпишника в любимой кафешке. T.Hunter образовательный!
@tomhunter
В октябре Qilin отметилась 700-м заявленным взломом за год, и за этот месяц её сайт прирос 185-ю новыми жертвами. RansomHub с её 547-ю взломами за 2024-й Qilin уже обошла, что и неудивительно — солидная часть прежних аффилиатов RH перекатилась под её бренд в апреле, и число атак моментально утроилось. Так что группировка ожидаемо под пристальным вниманием исследователей: на днях опубликовали несколько отчётов с обзором атак Qilin и их теханализом. Бонусом в отчёте стильные обои из энкриптора группировки, которые можно накатить на рабочий стол джуну и, воспользовавшись моментом, напомнить, что ему пора бы перестать заходить в сети компании с голого айпишника в любимой кафешке. T.Hunter образовательный!
@tomhunter
😁5❤2👍1
#announcement В Санкт-Петербурге с 5 по 8 ноября пройдёт форум ИТ-Диалог 2025. Доклады, мастер-классы и главные тренды в индустрии в компании ИТ-руководителей ключевых компаний и министров цифрового развития России.
На кибербез-треке форума в этом году как всегда актуальные темы. Экономика киберпреступности и стратегия противодействия ей, возврат доверия к цифровым сервисам после утечек, свежее законодательство в сфере ИБ и многое другое. От T.Hunter в форуме примет участие директор нашего департамента расследований Игорь Бедеров и проведёт мастер-класс «ИИ для поиска и нейтрализации угроз в интернете». Темы дискуссий и круглых столов в этом году интересные, так что присоединяйтесь! Программа форума и регистрация здесь.
@tomhunter
На кибербез-треке форума в этом году как всегда актуальные темы. Экономика киберпреступности и стратегия противодействия ей, возврат доверия к цифровым сервисам после утечек, свежее законодательство в сфере ИБ и многое другое. От T.Hunter в форуме примет участие директор нашего департамента расследований Игорь Бедеров и проведёт мастер-класс «ИИ для поиска и нейтрализации угроз в интернете». Темы дискуссий и круглых столов в этом году интересные, так что присоединяйтесь! Программа форума и регистрация здесь.
@tomhunter
👍4🔥2❤1💯1
#news В США экстрадировали предполагаемого члена Conti, украинца Олексия Литвиненко. Он был арестован у себя дома в Ирландии ещё в июле 2023-го по запросу Штатов.
Литвиненко по документам проходит как оператор Conti с 2020-го по июнь 2022-го и, судя по всему, позже перекочевал под другие неназванные бренды. Помощник генпрокурора заявил, что Литвиненко причастен к атакам почти в каждом штате США и ещё в паре десятков стран по всему миру — так что послужной список солидный. Товарищ дожидался экстрадиции почти два с половиной года, а вчера предстал перед судом в США. Он уже не первый член Conti из Украины, попавшийся властям — ещё одного взяли в Киеве летом 2024-го. Так что на 2025-й быть украинским киберпреступником — дело гиблое. Куда ни сунься, везде билет в один конец до финального пункта назначения успешной карьеры в сайберкрайме.
@tomhunter
Литвиненко по документам проходит как оператор Conti с 2020-го по июнь 2022-го и, судя по всему, позже перекочевал под другие неназванные бренды. Помощник генпрокурора заявил, что Литвиненко причастен к атакам почти в каждом штате США и ещё в паре десятков стран по всему миру — так что послужной список солидный. Товарищ дожидался экстрадиции почти два с половиной года, а вчера предстал перед судом в США. Он уже не первый член Conti из Украины, попавшийся властям — ещё одного взяли в Киеве летом 2024-го. Так что на 2025-й быть украинским киберпреступником — дело гиблое. Куда ни сунься, везде билет в один конец до финального пункта назначения успешной карьеры в сайберкрайме.
@tomhunter
🔥5💯4👍2😁1
#news У Cellebrite очередная внутренняя утечка. Участвовавший в деловой встрече слил фото таблицы с актуальными возможностями их софта по Google Pixel. Для полноты картины на форуме GrapheneOS под ником RogueFed.
Судя по табличке, у стандартной ОС Google Pixel дела не очень: софт Cellebrite может извлекать данные во всех режимах, вплоть до первой разблокировки. А вот у GrapheneOS свежее 2022-го всё иначе. И до, и после первой разблокировки доступа к данным нет, а на версиях смартфона Pixel 8 и 9 с конца 2024-го актуальная версия графеновой оси лочит стягивание данных и на разблокированных устройствах — смотри, но не трогай. Юзеры GrapheneOS ликуют, конспирологи местами строят теории, не хитрый ход Cellebrite ли это часом, но, похоже, таблица реальная. Автор слива также запостил скрин Cellebrite’ного представителя, позже удалив, но WebArchive всё помнит. В общем, процедура допуска ко встречам у компании сильно хромает. Хотя, казалось бы, положение обязывает.
@tomhunter
Судя по табличке, у стандартной ОС Google Pixel дела не очень: софт Cellebrite может извлекать данные во всех режимах, вплоть до первой разблокировки. А вот у GrapheneOS свежее 2022-го всё иначе. И до, и после первой разблокировки доступа к данным нет, а на версиях смартфона Pixel 8 и 9 с конца 2024-го актуальная версия графеновой оси лочит стягивание данных и на разблокированных устройствах — смотри, но не трогай. Юзеры GrapheneOS ликуют, конспирологи местами строят теории, не хитрый ход Cellebrite ли это часом, но, похоже, таблица реальная. Автор слива также запостил скрин Cellebrite’ного представителя, позже удалив, но WebArchive всё помнит. В общем, процедура допуска ко встречам у компании сильно хромает. Хотя, казалось бы, положение обязывает.
@tomhunter
😁7👍2🔥1
#news В Москве и области вчера арестовали трёх предполагаемых операторов инфостилера Meduza. Не путать с рансомварью Medusa и прочим схожим названием, но отличным по содержанию.
Официальный пресс-релиз читается бодро, но, как водится, с киберпреступными реалиями малость расходится. Вирус “Медуза”, три молодых IT-специалиста, в мае 2025-го подлые хакеры получили доступ к региональной госорганизации в Астраханской области. Следователь из этой области на молодое трио и возбудился по ч. 2 статьи 273 УК. Сам инфостилер активен пару лет, и распространяли его по стандартной MaaS-схеме, так что кто там вообще лез в госуху под Астраханью — вопрос интересный. Но щекотливый. Видео задержания со всем положенным здесь. Отрезвляющий стук в дверь уведомляет подававшего надежды IT-специалиста в стильных штанишках Hello Kitty, что все киберпреступники равны, но некоторые равнее. Что называется, absolute cinema.
@tomhunter
Официальный пресс-релиз читается бодро, но, как водится, с киберпреступными реалиями малость расходится. Вирус “Медуза”, три молодых IT-специалиста, в мае 2025-го подлые хакеры получили доступ к региональной госорганизации в Астраханской области. Следователь из этой области на молодое трио и возбудился по ч. 2 статьи 273 УК. Сам инфостилер активен пару лет, и распространяли его по стандартной MaaS-схеме, так что кто там вообще лез в госуху под Астраханью — вопрос интересный. Но щекотливый. Видео задержания со всем положенным здесь. Отрезвляющий стук в дверь уведомляет подававшего надежды IT-специалиста в стильных штанишках Hello Kitty, что все киберпреступники равны, но некоторые равнее. Что называется, absolute cinema.
@tomhunter
😁5❤2👍1🤝1
#cve Закрываем октябрь нашей традиционной подборкой главных CVE месяца. Критической уязвимостью под RCE отметился Redis, проверка концепции в наличии. CVE под произвольный код также исправили в Oracle EBS вместе с уязвимостью под доступ к данным в Oracle Configurator.
Критическую уязвимость исправили в Unity — возможность подгрузить вредоносную библиотеку при запуске игр и приложений, и исправление требует перекомпиляции затронутых проектов. А в сервере онлайн-редактора Figma MCP закрыли уязвимость под произвольные команды без проверки подлинности. Об этом и других интересных CVE октября читайте на Хабре!
@tomhunter
Критическую уязвимость исправили в Unity — возможность подгрузить вредоносную библиотеку при запуске игр и приложений, и исправление требует перекомпиляции затронутых проектов. А в сервере онлайн-редактора Figma MCP закрыли уязвимость под произвольные команды без проверки подлинности. Об этом и других интересных CVE октября читайте на Хабре!
@tomhunter
❤5👍2🤡1
#news Jabber Zeus помните? И штатовские правоохранители помнят: его разработчик MrICQ добрался до пункта финального назначения — он был арестован в Италии и экстрадирован в США.
Jabber Zeus — банковский троян и одноимённая группировка из 2009-го. Активна она была недолго: ключевых членов взяли ещё в сентябре 2010-го дружной компанией из ФБР, ФСБ и СБУ. В 2022-м взяли и Пенчукова. А теперь настал черёд одного из разрабов. MrICQ, он же Рубцов Юрий Игоревич, судя по всему, старый друг Пенчукова из Донецка. С оглядкой на его арест, источник запоздавшего на 15 лет деанона MrICQ предположить несложно. В итоге компания в американских застенках собралась звёздная — лучшие люди восточноевропейского сайберкрайма, передовики и новаторы. Присоединятся ли к ним когда-нибудь один большой любитель Ламборгини из Москвы — последняя интрига в деле группировки. Но ответ на этот вопрос, как известно, не из простых.
@tomhunter
Jabber Zeus — банковский троян и одноимённая группировка из 2009-го. Активна она была недолго: ключевых членов взяли ещё в сентябре 2010-го дружной компанией из ФБР, ФСБ и СБУ. В 2022-м взяли и Пенчукова. А теперь настал черёд одного из разрабов. MrICQ, он же Рубцов Юрий Игоревич, судя по всему, старый друг Пенчукова из Донецка. С оглядкой на его арест, источник запоздавшего на 15 лет деанона MrICQ предположить несложно. В итоге компания в американских застенках собралась звёздная — лучшие люди восточноевропейского сайберкрайма, передовики и новаторы. Присоединятся ли к ним когда-нибудь один большой любитель Ламборгини из Москвы — последняя интрига в деле группировки. Но ответ на этот вопрос, как известно, не из простых.
@tomhunter
🔥7😁3❤2👍1👎1🤡1
#news На Open VSX, опенсорсной альтернативе Visual Studio Marketplace, массово отозвали токены доступа юзеров. А причина проста: сотни секретов в публичном доступе. И очередной червь в придачу.
Атака на цепочку поставок формата “Шаи-Хулуд 2” ударила по OpenVSX и VSM пару недель назад в виде малвари GlassWorm. В начинке кража данных доступа и криптостилер в придачу; по версии исследователей его установили 35,800 раз. По версии OpenVSX, ничего страшного у них не произошло, это был никакой не червь — всё делали ручками, да и число установок сильно завышено. Сколько токенов отозвали у разрабов, не называют, но Wiz писали, что нашли на обеих площадках ~550 токенов в публичных репах. По итогам OpenVSX последует примеру GitHub и помимо прочего порежет время валидности токенов. Ну а злоумышленники отправятся на поиски следующей платформы, пригодной для засылки червия. Такие вот санитары опенсорса поневоле.
@tomhunter
Атака на цепочку поставок формата “Шаи-Хулуд 2” ударила по OpenVSX и VSM пару недель назад в виде малвари GlassWorm. В начинке кража данных доступа и криптостилер в придачу; по версии исследователей его установили 35,800 раз. По версии OpenVSX, ничего страшного у них не произошло, это был никакой не червь — всё делали ручками, да и число установок сильно завышено. Сколько токенов отозвали у разрабов, не называют, но Wiz писали, что нашли на обеих площадках ~550 токенов в публичных репах. По итогам OpenVSX последует примеру GitHub и помимо прочего порежет время валидности токенов. Ну а злоумышленники отправятся на поиски следующей платформы, пригодной для засылки червия. Такие вот санитары опенсорса поневоле.
@tomhunter
👍5😁3❤1🔥1
#news Очередной DeFi-протокол пал, криптаны. Дело уже настолько повседневное, что и на новость редко тянет. Но в этом случае хотя бы сумма солидная: ушли больше $120 миллионов. Большая часть в эфире.
Пострадал, собственно, эфирный протокол Balancer, децентрализованная биржа и маркетмейкер. Как обычно, мы преданы безопасности, топовые фирмы нас аудитят, BB-программа открыта для всех желающих и далее по тексту. Но тогда где деньги, Криптовски? Разлетаются по блокчейну. Часть морозят, значительная часть уйдёт получателю, живущему свою лучшую жизнь в одной из антиутопий Корейского полуострова. В общем, обычный день в криптомире. По итогам 2025-го нас ждёт абсолютный рекорд краж за всю историю наблюдений за северокорейскими братушками, вырастившими топовых криптопреступников на зависть всем прочим желающим поучаствовать. Но не Bybit’ом единым живёт бюджет КНДР — весь DeFi вносит посильный вклад. Вот внёс и Balancer.
@tomhunter
Пострадал, собственно, эфирный протокол Balancer, децентрализованная биржа и маркетмейкер. Как обычно, мы преданы безопасности, топовые фирмы нас аудитят, BB-программа открыта для всех желающих и далее по тексту. Но тогда где деньги, Криптовски? Разлетаются по блокчейну. Часть морозят, значительная часть уйдёт получателю, живущему свою лучшую жизнь в одной из антиутопий Корейского полуострова. В общем, обычный день в криптомире. По итогам 2025-го нас ждёт абсолютный рекорд краж за всю историю наблюдений за северокорейскими братушками, вырастившими топовых криптопреступников на зависть всем прочим желающим поучаствовать. Но не Bybit’ом единым живёт бюджет КНДР — весь DeFi вносит посильный вклад. Вот внёс и Balancer.
@tomhunter
😁11👍1🫡1
#news Рубрика “Новинки C2-инфраструктуры”. Microsoft обнаружила бэкдор, использующий в качестве C2 Assistants API от Open AI. Здесь впору вводить аналог известного правила: если инфраструктура существует, на ней развернут С2.
Assistants API используют для интеграции LLM-агентов в приложения и рабочие процессы. Малварь же подтягивает через него зашифрованные команды и отсылает обратно результат сообщением. Сам бэкдор кастомный, реализация интересная, использовали его для устойчивости и скрытого присутствия в сетях неназванной организации — иными словами, работает апэтэшечка. OpenAI, конечно, отозвала ключ API и заблокировала аккаунт злоумышленника, но после публикации желающих протестировать незадокументированную фичу прибавится. И делать они это будут шумно в отличие от, так что головной боли у ИБ-отдела OpenAI явно прибавится. Теханализ бэкдора здесь.
@tomhunter
Assistants API используют для интеграции LLM-агентов в приложения и рабочие процессы. Малварь же подтягивает через него зашифрованные команды и отсылает обратно результат сообщением. Сам бэкдор кастомный, реализация интересная, использовали его для устойчивости и скрытого присутствия в сетях неназванной организации — иными словами, работает апэтэшечка. OpenAI, конечно, отозвала ключ API и заблокировала аккаунт злоумышленника, но после публикации желающих протестировать незадокументированную фичу прибавится. И делать они это будут шумно в отличие от, так что головной боли у ИБ-отдела OpenAI явно прибавится. Теханализ бэкдора здесь.
@tomhunter
🔥5👍2😁1
#news Поучительная история о том, как не надо заниматься инфобезом. И сайберкраймом. В Штатах судят безопасников за инсайдерские рансомварь-атаки с использованием энкриптора от BlackCat.
Двое в деле названы, работали в DigitalMint и Sygnia; третий сообщник без имени. Для полноты картины один был специалистом по цифровой криминалистике, второй — переговорщиком. В материалах упомянуты пять атак в 2023-м и один полученный выкуп на ~$1.3 миллиона; по крипте их и отследили. Криминалист вину признал и якобы был завербован третьим неназванным обвиняемым — так что в деле есть и интрига, не гастролёр от операторов ли завербовал омерзительную пару. Устраивать рансомварь-атаки, живя в США и работая в ИБ — оригинальный способ закончить карьеру, конечно. Но как водится, тёмная сторона инфобеза открывает такие возможности к обогащению, перед которыми устоит не каждый.
@tomhunter
Двое в деле названы, работали в DigitalMint и Sygnia; третий сообщник без имени. Для полноты картины один был специалистом по цифровой криминалистике, второй — переговорщиком. В материалах упомянуты пять атак в 2023-м и один полученный выкуп на ~$1.3 миллиона; по крипте их и отследили. Криминалист вину признал и якобы был завербован третьим неназванным обвиняемым — так что в деле есть и интрига, не гастролёр от операторов ли завербовал омерзительную пару. Устраивать рансомварь-атаки, живя в США и работая в ИБ — оригинальный способ закончить карьеру, конечно. Но как водится, тёмная сторона инфобеза открывает такие возможности к обогащению, перед которыми устоит не каждый.
@tomhunter
🔥5👍4❤1😁1
#digest Закрываем октябрь подборкой самых горячих ИБ-новостей. В прошлом месяце инфобез-гигант F5 раскрыл масштабную компрометацию своих систем госхакерами. А у AWS произошёл коллапс облачной инфраструктуры, на сутки положивший тысячи сервисов.
У разработчика спайвари Trenchant случился шпионский скандал, британская военка отметилась очередным постыдным взломом. А OpenAI отметилась первым кейсом по взаимодействию с органами, в котором по запросу о содержимом чатов сдали киберпреступника. Об этом и других интересных событиях в мире инфобеза за октябрь читайте на Хабре!
@tomhunter
У разработчика спайвари Trenchant случился шпионский скандал, британская военка отметилась очередным постыдным взломом. А OpenAI отметилась первым кейсом по взаимодействию с органами, в котором по запросу о содержимом чатов сдали киберпреступника. Об этом и других интересных событиях в мире инфобеза за октябрь читайте на Хабре!
@tomhunter
👍6
#news После нашумевшего ограбления Лувра на его безопасность запоздало обратили внимание. И начали сразу с козырей: паролем от системы видеонаблюдения Лувра был… LOUVRE. Красивое. В остальном всё тоже оказалось не лучше.
Сами системы охраны крутились на Windows Server 2003 — в этом году почётный пенсионер отпраздновал 10 лет окончания поддержки. На остальных дела аналогично: сегментации нет, те же дефолтные или слабые пароли с доступом к охранным зонам. Многие камеры и датчики устаревшие, на трети залов в крыле, где произошло ограбление, видеокамер не было вовсе, а бюджет на охрану порезали. Всё это было известно после аудитов, и рекомендациям лет столько же, сколько выходу WS 2003 на пенсию — висели с 2015-го. По итогам выходит, что Лувр не обнесли раньше только потому, что никому это в голову не приходило. Не может ведь один из главных музеев мира быть настолько незащищённым! Может. И не только он. Пустите по ним роту нердов от мира физ.пентеста — результаты будут интересные.
@tomhunter
Сами системы охраны крутились на Windows Server 2003 — в этом году почётный пенсионер отпраздновал 10 лет окончания поддержки. На остальных дела аналогично: сегментации нет, те же дефолтные или слабые пароли с доступом к охранным зонам. Многие камеры и датчики устаревшие, на трети залов в крыле, где произошло ограбление, видеокамер не было вовсе, а бюджет на охрану порезали. Всё это было известно после аудитов, и рекомендациям лет столько же, сколько выходу WS 2003 на пенсию — висели с 2015-го. По итогам выходит, что Лувр не обнесли раньше только потому, что никому это в голову не приходило. Не может ведь один из главных музеев мира быть настолько незащищённым! Может. И не только он. Пустите по ним роту нердов от мира физ.пентеста — результаты будут интересные.
@tomhunter
😁13🤬2💯2
#news Cloudflare столкнулась с неожиданным последствием роста ботнетов. В публичном рейтинге популярных доменов на первые позиции внезапно вышли сайты ботнета Aisuru. Интернет вещей победил, ботнет оказался сильней.
Aisuru — горячая новинка в мире ботнетов, стремительно растущая и обрастающая функциональностью. На его счету рекордные DDoS-атаки в этом году и перекат на рынок резидентских прокси, где маржа повыше и шуму поменьше. Но теперь он шумит в топе Cloudflare — из-за объёма запросов ботнета вместо популярных у кожаных мешков доменов первые места за машинным трафиком. С учётом того, что на белых списках Cloudflare держится куча систем оценки надёжности сайтов, залёт вредоноса в топ-100 может просто поломать фильтрацию. Так что теперь придётся переработать алгоритмы оценки. А пока Cloudflare его костылизирует, замазывая доменные имена вредоноса и скрывая их из рейтинга.
@tomhunter
Aisuru — горячая новинка в мире ботнетов, стремительно растущая и обрастающая функциональностью. На его счету рекордные DDoS-атаки в этом году и перекат на рынок резидентских прокси, где маржа повыше и шуму поменьше. Но теперь он шумит в топе Cloudflare — из-за объёма запросов ботнета вместо популярных у кожаных мешков доменов первые места за машинным трафиком. С учётом того, что на белых списках Cloudflare держится куча систем оценки надёжности сайтов, залёт вредоноса в топ-100 может просто поломать фильтрацию. Так что теперь придётся переработать алгоритмы оценки. А пока Cloudflare его костылизирует, замазывая доменные имена вредоноса и скрывая их из рейтинга.
@tomhunter
👍6❤3😁3
#news Google нагнетает обстановку вокруг LLM-малвари. Её безопасники обнаружили экспериментальный дроппер, эксплойтящий Gemini для генерации кода. Цель разраба — создать метаморфный вредонос на самоподдуве. Препятствие? Текущее качество кода от LLM’ок, конечно же.
Пока это всё в активной, закоменченной разработке, и если вчитаться в отчёт, не особо впечатляющей. Задача абьюза Gemini API — переписывать код каждый час для обхода статического анализа и прочего на EDR’ом. Всё это в формате промпта со скрина “Пиши как экспертный VBScript обфускатор и обходи антивирусы”. Испугались? Вот и я о том же. Пока это больше скрытая реклама LLM’ки от Google — рыночек в этой области беспощадный и рискующий лопнуть, так что сойдут любые ухищрения. Справедливости ради, в отчёте есть примеры работы вредоноса с ИИ-моделями качеством повыше. Но зато как звучит: малварь, которая вайбкодит себя на ходу! Хорошая попытка, изуверский интеллект, но не сегодня. Ещё несколько лет без всего этого, глядишь, проживём.
@tomhunter
Пока это всё в активной, закоменченной разработке, и если вчитаться в отчёт, не особо впечатляющей. Задача абьюза Gemini API — переписывать код каждый час для обхода статического анализа и прочего на EDR’ом. Всё это в формате промпта со скрина “Пиши как экспертный VBScript обфускатор и обходи антивирусы”. Испугались? Вот и я о том же. Пока это больше скрытая реклама LLM’ки от Google — рыночек в этой области беспощадный и рискующий лопнуть, так что сойдут любые ухищрения. Справедливости ради, в отчёте есть примеры работы вредоноса с ИИ-моделями качеством повыше. Но зато как звучит: малварь, которая вайбкодит себя на ходу! Хорошая попытка, изуверский интеллект, но не сегодня. Ещё несколько лет без всего этого, глядишь, проживём.
@tomhunter
😁12👍4❤2
#news Reuters раскрывает секрет Полишинеля за нескончаемыми потоками вредоносной рекламы на разных платформах. В чём же он заключается? Деньги. У экстремистов из Meta от неё ~10% выручки за 2024-й. А это $16 миллиардов.
Судя по внутренним документам, проблема вовсе не в том, что автоматические системы не справляются с масштабами, как заявляют бедные корпорации. Справляются ещё как, но верхи не могут [отказаться от барышей], а низы не хотят [переставать ходить по ссылкам]. Мошенников по сути монетизируют — вредоносную рекламу пускают по штрафным ставкам. Более того, монетизируют и юзеров, кликающих по спаму: один раз перешёл, и алгоритм подкидывает ещё. СБ Meta считает, что треть онлайн-мошенничества в США идёт через её продукты. По итогам Meta в сущности сознательно обслуживает экосистему малвертайзинга ради прибыли. С — соучастие. Что в целом неудивительно, но навевает неприятные ассоциации с войной с наркотиками. ИБ борется с симптомами, как DEA и сопричастные, а деньги всегда в выигрыше.
@tomhunter
Судя по внутренним документам, проблема вовсе не в том, что автоматические системы не справляются с масштабами, как заявляют бедные корпорации. Справляются ещё как, но верхи не могут [отказаться от барышей], а низы не хотят [переставать ходить по ссылкам]. Мошенников по сути монетизируют — вредоносную рекламу пускают по штрафным ставкам. Более того, монетизируют и юзеров, кликающих по спаму: один раз перешёл, и алгоритм подкидывает ещё. СБ Meta считает, что треть онлайн-мошенничества в США идёт через её продукты. По итогам Meta в сущности сознательно обслуживает экосистему малвертайзинга ради прибыли. С — соучастие. Что в целом неудивительно, но навевает неприятные ассоциации с войной с наркотиками. ИБ борется с симптомами, как DEA и сопричастные, а деньги всегда в выигрыше.
@tomhunter
🔥9👍5🤯4💯3