#news Китайский ИБ-регулятор заявил, что американское правительство может быть ответственно за взлом майнингового пула LuBian в 2020-м. От создателей “Тайваньский скрипт-кидди нам не товарищ“ и “Американский лаовай взламывает себя сам”.
Биткоиновый пул LuBian, работавший в Китае, пострадал от взлома в конце 2020-го: неизвестные злоумышленники стянули 127,272 битка. $3,5 миллиарда тогда и $15 миллиардов на момент “перехвата” США 14 октября, когда против владельца LuBian раскрыли дело, а битки волшебным образом экспроприировали. Перехвата в кавычках: китайский сумрачный гений утверждает, что у взлома все признаки секретной операции, в оригинале пресловутая black ops. История максимально чувствительная, можно даже сказать, пикантная: отношения с криптой у Китая натянутые, с камбоджийскими скам-лагерями смерти, с которыми связывают LuBian — так тем более. На всё это накладывается противостояние двух гегемонов. Так что сюжет лихо закрученный. Ну а нам только и остаётся на него подивиться.
@tomhunter
Биткоиновый пул LuBian, работавший в Китае, пострадал от взлома в конце 2020-го: неизвестные злоумышленники стянули 127,272 битка. $3,5 миллиарда тогда и $15 миллиардов на момент “перехвата” США 14 октября, когда против владельца LuBian раскрыли дело, а битки волшебным образом экспроприировали. Перехвата в кавычках: китайский сумрачный гений утверждает, что у взлома все признаки секретной операции, в оригинале пресловутая black ops. История максимально чувствительная, можно даже сказать, пикантная: отношения с криптой у Китая натянутые, с камбоджийскими скам-лагерями смерти, с которыми связывают LuBian — так тем более. На всё это накладывается противостояние двух гегемонов. Так что сюжет лихо закрученный. Ну а нам только и остаётся на него подивиться.
@tomhunter
😁6🔥3👍2
#news Google продолжает нагнетать на тему ИИ. Согласно прогнозу на 2026-й, ИИ-модельки перестанут обслуживать базовые запросы киберпреступников — они будут во главе угла, вплоть до автоматизации целых кампаний.
Всё это, как водится, из-за невероятного прогресса LLM’ок. Соответственно, уже в 2026-м из вспомогательного инструмента они превратятся в ядро цифровых угроз, управляющее операциями от написания кода до разведки и выбора жертв. А противостоять будет ИИ-агентура в SOC-отделах под присмотром ещё вчера гордо звучавшего человека, низведенного до обслуги своих нарождающихся кремниевых повелителей. Но это неточно: здесь стоит помнить, что у Google инвестиций в ИИ на десятки миллиардов долларов. Так что в неудержимом прогрессе они кровно заинтересованы — иначе всей индустрии кирдык. По другим прогнозам виртуалки — новый фронтир борьбы за ИБ, рансомварь никуда не денется, а госхакеры продолжат грозить миру. Здесь уже всё гораздо консервативнее. Отчёт можно запросить здесь.
@tomhunter
Всё это, как водится, из-за невероятного прогресса LLM’ок. Соответственно, уже в 2026-м из вспомогательного инструмента они превратятся в ядро цифровых угроз, управляющее операциями от написания кода до разведки и выбора жертв. А противостоять будет ИИ-агентура в SOC-отделах под присмотром ещё вчера гордо звучавшего человека, низведенного до обслуги своих нарождающихся кремниевых повелителей. Но это неточно: здесь стоит помнить, что у Google инвестиций в ИИ на десятки миллиардов долларов. Так что в неудержимом прогрессе они кровно заинтересованы — иначе всей индустрии кирдык. По другим прогнозам виртуалки — новый фронтир борьбы за ИБ, рансомварь никуда не денется, а госхакеры продолжат грозить миру. Здесь уже всё гораздо консервативнее. Отчёт можно запросить здесь.
@tomhunter
😁9👍2💯2🫡1
Media is too big
VIEW IN TELEGRAM
#news На днях у инфостилера Rhadamanthys отвалился доступ к панели, а теперь предположения подтвердились: вышел сиквел Operation Endgame. В свежем эпизоде также перехватили инфраструктуру VenomRAT и ботнета Elysium.
Осенняя суета пошла по форумам в понедельник: юзеры Rhadamanthys начали писать, что в панельку хода нет. Выяснилось, что на сервера пожаловала немецкая полиция, сайты в Tor тоже прилегли. Параллельно 3 ноября в Греции арестовали одного из операторов VenomRAT. Троянец долгоиграющий, с 2020-го, по заявлениям Европола, с его помощью вскрыли больше 100 тысяч криптокошельков. В общем, операция Endgame продолжает обрастать трофеями: на её счету уже больше 100 серверов разных вредоносов. Тем временем безопасники в погонах осваивают медиапространство с помощью мультяшного ИИ-продукта и тонкого троллинга юзеров Rhadamanthys и всех причастных. Сайт операции при этом на английском и русском. Хорошо знают свою целевую аудиторию, что тут скажешь.
@tomhunter
Осенняя суета пошла по форумам в понедельник: юзеры Rhadamanthys начали писать, что в панельку хода нет. Выяснилось, что на сервера пожаловала немецкая полиция, сайты в Tor тоже прилегли. Параллельно 3 ноября в Греции арестовали одного из операторов VenomRAT. Троянец долгоиграющий, с 2020-го, по заявлениям Европола, с его помощью вскрыли больше 100 тысяч криптокошельков. В общем, операция Endgame продолжает обрастать трофеями: на её счету уже больше 100 серверов разных вредоносов. Тем временем безопасники в погонах осваивают медиапространство с помощью мультяшного ИИ-продукта и тонкого троллинга юзеров Rhadamanthys и всех причастных. Сайт операции при этом на английском и русском. Хорошо знают свою целевую аудиторию, что тут скажешь.
@tomhunter
😁7👍4🔥3
#news В США анонсировали создание спецподразделения для борьбы со скам-центрами из Юго-Восточной Азии. Дружная компания из ФБР, Госдепа и разведки займётся индустрией скама в Мьянме, Камбодже и Лаосе.
О существовании скам-лагерей смерти широкая публика узнала недавно, между тем проблема разрослась до таких масштабов, что игнорировать не получается. Мошенничества на десятки миллиардов, сидящие в рабстве страдальцы из соседних стран, пропадающие девушки со всего мира. Всё это под патронажем местных царьков — вплоть до того, что в недавнем замесе Камбоджа-Таиланд последний грозил местным скам-центрам обстрелами и отключением электроэнергии. Иными словами, ЮВА в эпоху позднего капитализма принимает радушно. Что может противопоставить этому одно маленькое, но гордое спецподразделение — вопрос хороший. Но как минимум бурную деятельность на фоне бешеных сумм, сливаемых американцами в скамы, изобразить надо. А вот будет ли результат, пока можно не загадывать.
@tomhunter
О существовании скам-лагерей смерти широкая публика узнала недавно, между тем проблема разрослась до таких масштабов, что игнорировать не получается. Мошенничества на десятки миллиардов, сидящие в рабстве страдальцы из соседних стран, пропадающие девушки со всего мира. Всё это под патронажем местных царьков — вплоть до того, что в недавнем замесе Камбоджа-Таиланд последний грозил местным скам-центрам обстрелами и отключением электроэнергии. Иными словами, ЮВА в эпоху позднего капитализма принимает радушно. Что может противопоставить этому одно маленькое, но гордое спецподразделение — вопрос хороший. Но как минимум бурную деятельность на фоне бешеных сумм, сливаемых американцами в скамы, изобразить надо. А вот будет ли результат, пока можно не загадывать.
@tomhunter
👍11💯3🤯2
#news Anthropic присоединилась к хайпу от Google вокруг ближайшего будущего киберпреступных ИИ-агентов. Компания опубликовала отчёт о событии в своей экосистеме, обозначенном как “первая компания кибершпионажа под контролем ИИ”.
Согласно отчёту, сумрачный китайский гений использовал Claude Code и MCP для атак на 30 крупных компаний, они по большей части были автономными, в отдельных случаях преуспели. Запитанные от Claude субагенты занимались базовым краснокомандным: от маппинга поверхностей атаки и скана инфры, до эксплойта и стягивания данных. Оператор участие принимал минимальное — ревью и одобрений действий. Оговариваются, что моделька часто галлюцинировала, преувеличивая и дорисовывая результаты пентеста(как и некоторые из вас) , но посыл понятен: “Покайтесь, ибо грядёт”. Грядёт или нет, узнаем уже совсем скоро — 2026-й на пороге, можно предвкушать обещанные ИБ-революции в формате трансгуманизма на минималках. Но можно и не предвкушать — здравый скептицизм приветствуется.
@tomhunter
Согласно отчёту, сумрачный китайский гений использовал Claude Code и MCP для атак на 30 крупных компаний, они по большей части были автономными, в отдельных случаях преуспели. Запитанные от Claude субагенты занимались базовым краснокомандным: от маппинга поверхностей атаки и скана инфры, до эксплойта и стягивания данных. Оператор участие принимал минимальное — ревью и одобрений действий. Оговариваются, что моделька часто галлюцинировала, преувеличивая и дорисовывая результаты пентеста
@tomhunter
😁8👍4🔥1🤬1🤝1
#article В мире OSINT-расследований одна из самых сложных задач — работа с анонимными каналами, форумами и закрытыми сообществами. В сегодняшней статье мы разберём, как генеративные нейросети можно использовать для анализа массивов текстовых данных, которые раньше приходилось обрабатывать вручную.
ИИ-модели становятся отличным подспорьем в лингвистическом анализе, автоматизации рутины и создании цифровых отпечатков анонимных авторов вместе с их комплексным профилем. За подробностями добро пожаловать на Хабр!
@tomhunter
ИИ-модели становятся отличным подспорьем в лингвистическом анализе, автоматизации рутины и создании цифровых отпечатков анонимных авторов вместе с их комплексным профилем. За подробностями добро пожаловать на Хабр!
@tomhunter
❤8👍6🔥2💯1
#news В сканере малвари ImunifyAV для линукс-серверов нашли уязвимость под удалённое выполнение кода. Он крутится на доступных хостинговых платформах и прочих виртуальных хостингах, так что охват по затронутым сайтам солидный.
Проблема кроется в компоненте с замечательным названием AI-bolit: деобфускатор при экстракте данных из PHP-файлов для скана выполняет вредоносный код. Проверка концепции в наличии. Чего нет в наличии, так это CVE и пресс-релиза от вендора — ни рекомендаций, ни информации по атакам. Комментарии он давать тоже не спешит. При этом исправление выпустили в конце октября, а на днях бэкпортнули его на старые версии. Так что здесь, видимо, классическое “Если мы тихонько закроем уязвимость, пока её массово не эксплойтят, никто об этом не узнает, кроме админов-линуксоидов”. А уж за репутацию в их среде можно не переживать.
@tomhunter
Проблема кроется в компоненте с замечательным названием AI-bolit: деобфускатор при экстракте данных из PHP-файлов для скана выполняет вредоносный код. Проверка концепции в наличии. Чего нет в наличии, так это CVE и пресс-релиза от вендора — ни рекомендаций, ни информации по атакам. Комментарии он давать тоже не спешит. При этом исправление выпустили в конце октября, а на днях бэкпортнули его на старые версии. Так что здесь, видимо, классическое “Если мы тихонько закроем уязвимость, пока её массово не эксплойтят, никто об этом не узнает, кроме админов-линуксоидов”. А уж за репутацию в их среде можно не переживать.
@tomhunter
😁9💯2👍1🔥1🤬1🤡1
#news Jaguar Land Rover докладывает по ущербу после кибератаки в начале сентября. Цифры впечатляющие: только сама атака обошлась компании в 220 миллионов долларов.
Выручка же за этот квартал просела на четверть год к году, в финансовых показателях качели на миллиард — во многом из-за атаки. JLR сообщила о “киберинциденте” 2 сентября. Энкриптор прошёлся по их системам так знатно, что встали все их основные заводы. И простояли до 8 октября, когда их начали постепенно вводить в строй. Дошло до того, что в конце сентября правительство UK выделило компании 1,5 миллиарда фунтов на восстановление, а из-за простоя в стране просел ВВП. Вопрос для самых маленьких безопасников: как у JLR с сегментацией сетей, изоляцией OT и критических систем, бэкапами и прочим постинцидентным? Вопрос для ИБшников поматёрее и будущих CISO: сколько из 1,5 миллиардов гранта запоздало уйдут на улучшение ИБ?
@tomhunter
Выручка же за этот квартал просела на четверть год к году, в финансовых показателях качели на миллиард — во многом из-за атаки. JLR сообщила о “киберинциденте” 2 сентября. Энкриптор прошёлся по их системам так знатно, что встали все их основные заводы. И простояли до 8 октября, когда их начали постепенно вводить в строй. Дошло до того, что в конце сентября правительство UK выделило компании 1,5 миллиарда фунтов на восстановление, а из-за простоя в стране просел ВВП. Вопрос для самых маленьких безопасников: как у JLR с сегментацией сетей, изоляцией OT и критических систем, бэкапами и прочим постинцидентным? Вопрос для ИБшников поматёрее и будущих CISO: сколько из 1,5 миллиардов гранта запоздало уйдут на улучшение ИБ?
@tomhunter
😁7👍6🤯3🔥1
#news ClickFix настолько распространён, что в нём можно найти самые экзотические вещи. В одной из кампаний засветился оригинальный метод доставки вредоноса: его подтягивает протокол Finger. Первая версия была написана в 1971-м.
Finger — простенький древний протокол для получения информации о юзере удалённого компьютера. В оригинале команда возвращает базовую инфу о хосте, в приложении к ClickFix — подтягивает команды, прогоняет их через cmd и в итоге дропает архив с вредоносом под видом PDF. Судя по всему, инфостилер. Есть у вариации и продвинутые варианты: один из скриптов проверяет на наличие в системе пары десятков инструментов для анализа малвари и отключается, если их находит. В итоге админам теперь блокировать команду из 80-х. Потому как если не совать пальцы в розетку юзера в детстве ещё можно было научить, то не совать их в консоль — получится едва ли. Так что берегите своих больших недоразвитых детей — желающие сунуть в наличии.
@tomhunter
Finger — простенький древний протокол для получения информации о юзере удалённого компьютера. В оригинале команда возвращает базовую инфу о хосте, в приложении к ClickFix — подтягивает команды, прогоняет их через cmd и в итоге дропает архив с вредоносом под видом PDF. Судя по всему, инфостилер. Есть у вариации и продвинутые варианты: один из скриптов проверяет на наличие в системе пары десятков инструментов для анализа малвари и отключается, если их находит. В итоге админам теперь блокировать команду из 80-х. Потому как если не совать пальцы в розетку юзера в детстве ещё можно было научить, то не совать их в консоль — получится едва ли. Так что берегите своих больших недоразвитых детей — желающие сунуть в наличии.
@tomhunter
😁6👍2❤1
#news Если у вас опять отвалилась половина интернета, не спешите ругаться на наше всё и подключать что-нибудь этакое. Тот редкий случай, когда проблема за кордоном: прилёг Cloudflare. Причём прилёг масштабно.
Трудности у так называемой всемирной паутины начались около часа назад: массово отвалились сайты и платформы, завязанные на Cloudflare — выдают 500 или просто не грузятся. Прилегли также и панели Cloudflare вместе с API. На странице статуса компания сообщила, что у неё, извините, случилась деградация внутренних сервисов. Восстановлением занимаются, сервисы понемногу поднимаются, но пока апдейты по статусу идут в формате “Мы расследуем проблему”. По итогам, конечно, дорасследуют, отчёт будет интересным, но на деле и так уже всё понятно с оглядкой на недавнее падение AWS. Плохие новости, парни: никакой всемирной паутины давно нет, это просто 3,5 гигантских сетевых кластера, на которых держится вообще всё. Так и живём.
@tomhunter
Трудности у так называемой всемирной паутины начались около часа назад: массово отвалились сайты и платформы, завязанные на Cloudflare — выдают 500 или просто не грузятся. Прилегли также и панели Cloudflare вместе с API. На странице статуса компания сообщила, что у неё, извините, случилась деградация внутренних сервисов. Восстановлением занимаются, сервисы понемногу поднимаются, но пока апдейты по статусу идут в формате “Мы расследуем проблему”. По итогам, конечно, дорасследуют, отчёт будет интересным, но на деле и так уже всё понятно с оглядкой на недавнее падение AWS. Плохие новости, парни: никакой всемирной паутины давно нет, это просто 3,5 гигантских сетевых кластера, на которых держится вообще всё. Так и живём.
@tomhunter
😁15👍5❤3
#news На ВВС интервью с Вячеславом Пенчуковым, он же Танк и DJ Slava Rich. Первое, эксклюзивное, с заголовком про раскрытые тайны его кибербанды и всё прочее. На деле же по тексту нового мало.
Пенчуков отбывает 9-летний срок в США после ареста в Швейцарии в 2022-м. Тот был при полном параде: со снайперами на крыше, заламыванием рук и мешком на голову. Арестом Пенчуков не доволен — маски-шоу, говорит, не заслужил. Лёгкие деньги 2000-х с банковских счетов из офиса в центре Донецка, погоня от полиции в дни ареста Jabber Zeus, влиятельные друзья, благодаря которым избежал посадки. Из интересного, утверждает, что после его деанона к нему в гости чуть ли не каждый день начали заглядывать украинские чиновники, чтобы стрясти с него денег. Из-за поборов бедолаге и пришлось вернуться в сайберкрайм. Ну а конец известен. В целом ничего сенсационного, остальное обещают в подкасте, но Пенчуков — человек неглупый, так что лишнего вряд ли скажет, конечно. Для интересующихся темой пойдёт.
@tomhunter
Пенчуков отбывает 9-летний срок в США после ареста в Швейцарии в 2022-м. Тот был при полном параде: со снайперами на крыше, заламыванием рук и мешком на голову. Арестом Пенчуков не доволен — маски-шоу, говорит, не заслужил. Лёгкие деньги 2000-х с банковских счетов из офиса в центре Донецка, погоня от полиции в дни ареста Jabber Zeus, влиятельные друзья, благодаря которым избежал посадки. Из интересного, утверждает, что после его деанона к нему в гости чуть ли не каждый день начали заглядывать украинские чиновники, чтобы стрясти с него денег. Из-за поборов бедолаге и пришлось вернуться в сайберкрайм. Ну а конец известен. В целом ничего сенсационного, остальное обещают в подкасте, но Пенчуков — человек неглупый, так что лишнего вряд ли скажет, конечно. Для интересующихся темой пойдёт.
@tomhunter
👍9❤2🔥2🤡1🫡1
#news Исследователи проверили, как у экстремистов из WhatsApp с ограничением запросов на поиск контактов. Оказалось, не очень. И перебором номеров удалось вытянуть базу пользователей — на 3,5 миллиарда номеров.
Как известно, в WhatsApp достаточно ввести номер телефона, чтобы отобразился привязанный к нему профиль. Может ли в самом популярном мессенджере на планете быть дыра в API с нулевым барьером на массовый перебор? Здравый смысл подсказывает, что нет. В реальности всё иначе: утверждают, что ограничений в веб-версии не было, и базу стянули за несколько часов. В 57% записей фото профиля, в трети — текстовые статусы. Уязвимость ответственно раскрыли, в компании её не менее ответственно исправили. Остаётся вопрос, почему она вообще была в экосистеме, особенно с учётом того, что о ней предупреждали ещё в 2017-м. Но об этом разработчик, вероятно, умолчит. Разве что какой регулятор решит с него спросить на сотню-другую миллионов долларов, но это дело уже привычное.
@tomhunter
Как известно, в WhatsApp достаточно ввести номер телефона, чтобы отобразился привязанный к нему профиль. Может ли в самом популярном мессенджере на планете быть дыра в API с нулевым барьером на массовый перебор? Здравый смысл подсказывает, что нет. В реальности всё иначе: утверждают, что ограничений в веб-версии не было, и базу стянули за несколько часов. В 57% записей фото профиля, в трети — текстовые статусы. Уязвимость ответственно раскрыли, в компании её не менее ответственно исправили. Остаётся вопрос, почему она вообще была в экосистеме, особенно с учётом того, что о ней предупреждали ещё в 2017-м. Но об этом разработчик, вероятно, умолчит. Разве что какой регулятор решит с него спросить на сотню-другую миллионов долларов, но это дело уже привычное.
@tomhunter
🤯9👍4🔥4
#news Вчера у Cloudflare был крупнейший перебой в работе систем с 2019-го. Как и следовало ожидать, постинцидентный отчёт прекрасен. Сбой был вызван… изменением в контроле доступа к базе данных.
Если кратко, сменили разрешения в одной из систем, управляющих базами данных, и база выдала несколько дублирующихся записей в файл функций. Число функций в нём вышло за 200 — захардкоженное число для предотвращения чрезмерного потребления памяти. Кривой файл конфигурации залетел в систему, и они прилегла, пока рутила трафик через сеть Cloudflare. Каждые пять минут шла генерация новых конфигов, кривых и рабочих, шатая сеть. Бонусом запаниковал модуль на Rust’е и положил основные прокси, обрабатывающие трафик. В итоге всё лежало под 6 часов, пока отлавливали первопричину. Какая хрупкая система: рушится из-за горсти кривых конфигов! Но такова цена современной сетевой инфраструктуры.
@tomhunter
Если кратко, сменили разрешения в одной из систем, управляющих базами данных, и база выдала несколько дублирующихся записей в файл функций. Число функций в нём вышло за 200 — захардкоженное число для предотвращения чрезмерного потребления памяти. Кривой файл конфигурации залетел в систему, и они прилегла, пока рутила трафик через сеть Cloudflare. Каждые пять минут шла генерация новых конфигов, кривых и рабочих, шатая сеть. Бонусом запаниковал модуль на Rust’е и положил основные прокси, обрабатывающие трафик. В итоге всё лежало под 6 часов, пока отлавливали первопричину. Какая хрупкая система: рушится из-за горсти кривых конфигов! Но такова цена современной сетевой инфраструктуры.
@tomhunter
😁9👍8🔥2🤡1
#news США, Великобритания и Австралия обложили санкциями российский хостинг Media Land и связанные с ним компании. Вместе с ними под санкции улетели гендиректор и ещё пара аффилированных с сервисом лиц, чьи лица теперь украшают сайт Минфина США.
По документам Media Land проходит как пуленепробиваемый хостинг и ключевой элемент киберпреступной экосистемы. На его ресурсах якобы хостились LockBit, BlackSuit и Play вместе с маркетплейсами и прочим сопутствующим. Это уже третий удар по BPH за год вместе с перехватом Zservers и запоздалыми санкциями по Aeza Group. Больше всех довольна Великобритания: как сообщают, санкции “разнесут российские кибепреступные сети”. Если бы они имели такой чудодейственный эффект, ландшафты сайберкрайма и не только давно бы уже напоминали выжженную пустыню, да как-то всё не складывается. Но UK понять можно: на фоне одного скандала в островном инфобезе за другим славные победы публике представить надо. Даже если они и больше воображаемые.
@tomhunter
По документам Media Land проходит как пуленепробиваемый хостинг и ключевой элемент киберпреступной экосистемы. На его ресурсах якобы хостились LockBit, BlackSuit и Play вместе с маркетплейсами и прочим сопутствующим. Это уже третий удар по BPH за год вместе с перехватом Zservers и запоздалыми санкциями по Aeza Group. Больше всех довольна Великобритания: как сообщают, санкции “разнесут российские кибепреступные сети”. Если бы они имели такой чудодейственный эффект, ландшафты сайберкрайма и не только давно бы уже напоминали выжженную пустыню, да как-то всё не складывается. Но UK понять можно: на фоне одного скандала в островном инфобезе за другим славные победы публике представить надо. Даже если они и больше воображаемые.
@tomhunter
💯5👍4😁3❤1
#news Юные дарования из ShinyHunters обещали свою собственную RaaS-операцию с энкриптором и выкупами, и, похоже, она на подходе. На VT залетели сэмплы шифровальщика.
Что занятно, пишут его с нуля. По функциональности стандартный набор современного энкриптора с интересными фичами вроде вайпа свободного места и хука EtwEventWrite. Под Windows уже есть, под Linux и ESXi дописывают, обещая скоростную версию аля LockBit Green. В коде запрет на атаки по СНГ — аффилиатов ждут из этих стран. Всё это, конечно, интересно, но здесь несложно предположить, что операторы очень быстро узнают, почему рансомварь-операции ведут из стран, в которых с выдачей туговато. Чтобы заниматься этим из ЕС, нужна ядрёная смесь из слабоумия и отваги. Чего у малолетних богов хакинга всегда с запасом, но угроза нацбезопасности и критической инфраструктуре — это уже не утечки данных и шутеечки в адрес ФБР от Неуловимых Джо в Телеграме. Здесь всё будет по-взрослому.
@tomhunter
Что занятно, пишут его с нуля. По функциональности стандартный набор современного энкриптора с интересными фичами вроде вайпа свободного места и хука EtwEventWrite. Под Windows уже есть, под Linux и ESXi дописывают, обещая скоростную версию аля LockBit Green. В коде запрет на атаки по СНГ — аффилиатов ждут из этих стран. Всё это, конечно, интересно, но здесь несложно предположить, что операторы очень быстро узнают, почему рансомварь-операции ведут из стран, в которых с выдачей туговато. Чтобы заниматься этим из ЕС, нужна ядрёная смесь из слабоумия и отваги. Чего у малолетних богов хакинга всегда с запасом, но угроза нацбезопасности и критической инфраструктуре — это уже не утечки данных и шутеечки в адрес ФБР от Неуловимых Джо в Телеграме. Здесь всё будет по-взрослому.
@tomhunter
💯7❤4👍3🤡1
#news Максимально неловкий момент для Oracle: Cl0p закинула на свой сайт пост о взломе компании. Собственно, через уязвимость в Oracle EBS — ту самую, эксплойт которой шёл месяцы до патчей. Круг замкнулся.
Цепочку уязвимостей в EBS Cl0p эксплойтила с июля, взломав десятки компаний. Патчи появились только в начале октября — к тому времени многие уже получили письма счастья от группировки. Основной костяк взломов пришёлся на лето, сайт с утечками продолжает пополняться жертвами. И вот дошла очередь до самой Oracle. Деталей взлома нет, но, скорее всего, он тоже произошёл ещё летом. Страница компании быстро пропала с сайта, так что, вероятно, представители вышли на связь — пиар-катастрофа и так уже солидная, вальяжно игнорировать собственный взлом не получится. Особенно с учётом того, что параллельно сообщают о взломе Canon, Mazda, NHS и многих других. По итогам Oracle присоединилась к довольным клиентам. Есть в этом определённая доля справедливости.
@tomhunter
Цепочку уязвимостей в EBS Cl0p эксплойтила с июля, взломав десятки компаний. Патчи появились только в начале октября — к тому времени многие уже получили письма счастья от группировки. Основной костяк взломов пришёлся на лето, сайт с утечками продолжает пополняться жертвами. И вот дошла очередь до самой Oracle. Деталей взлома нет, но, скорее всего, он тоже произошёл ещё летом. Страница компании быстро пропала с сайта, так что, вероятно, представители вышли на связь — пиар-катастрофа и так уже солидная, вальяжно игнорировать собственный взлом не получится. Особенно с учётом того, что параллельно сообщают о взломе Canon, Mazda, NHS и многих других. По итогам Oracle присоединилась к довольным клиентам. Есть в этом определённая доля справедливости.
@tomhunter
👍6😁4🔥3
#news Mozilla объявила о сворачивании программы Monitor Plus по удалению данных юзеров с брокерских сайтов. Той самой, которую обслуживала белорусская OneRep, и выяснилось, что её владелец параллельно держит те самые сайты брокеров данных.
Эпопея длилась с марта 2024-го, когда Кребс опубликовал расследование по OneRep. В лучших традициях белорусской айтишечки выяснилось, что в компании сидят большие оригиналы серого IT. Скандальчик с конфликтом интересов вынудил Mozilla заявить, что они немедленно откажутся от сотрудничества. Немедленно растянулось на 1,5 года: компания оправдывалась, что замену OneRep найти не удаётся. Варианты под свои высокие стандарты искали-искали, но так и не нашли — реалии экосистемы брокеров данных подвели. Реалии известные: находчивость айтишников из Беларуси не уникальна, и весь рыночек состоит из контор максимально подозрительных. Видимо, в Mozilla поняли, что не вляпаться в очередной скандал без солидных вложений не получится, и программу свернули. Се ля ви.
@tomhunter
Эпопея длилась с марта 2024-го, когда Кребс опубликовал расследование по OneRep. В лучших традициях белорусской айтишечки выяснилось, что в компании сидят большие оригиналы серого IT. Скандальчик с конфликтом интересов вынудил Mozilla заявить, что они немедленно откажутся от сотрудничества. Немедленно растянулось на 1,5 года: компания оправдывалась, что замену OneRep найти не удаётся. Варианты под свои высокие стандарты искали-искали, но так и не нашли — реалии экосистемы брокеров данных подвели. Реалии известные: находчивость айтишников из Беларуси не уникальна, и весь рыночек состоит из контор максимально подозрительных. Видимо, в Mozilla поняли, что не вляпаться в очередной скандал без солидных вложений не получится, и программу свернули. Се ля ви.
@tomhunter
😁15👍4🔥1
#news Яндекс с утра решил косплеить Cloudflare с AWS. Потому как чем мы хуже? Так что понедельник начался со сбоев: часть сайтов и сервисов, висящих на Yandex Cloud, оказались недоступны в некоторых регионах.
Вместе со всем прочим залагали оплата и переводы в “Яндекс Пэй”, сбои затронули и наше всё “Яндекс Такси”. Остальные приложения компании тоже приболели. Ну а вместе с ними и сайты, размещённые в так называемом облаке компании. Из облака сообщили, что в зоне ru-central-1b возник инцидент с недоступностью части сетевых дисков. Позже в Яндексе также добавили, что это был локальный сбой некоторых сервисов — остальные зоны работали без перебоев, и работа была оперативно восстановлена. Не модуль на Rust, кладущий полсети одним неловким unwrap’ом, но тоже ничего. Тем временем в Яндексе два джуна спорили о даунтайме. “Лежит сервер!” — говорит один. “Нет, лежит соединение!” — парирует второй. Мимо проходил сеньор: “Ни сервер, ни соединение — лежат старшие разрабы”. Утро понедельника же.
@tomhunter
Вместе со всем прочим залагали оплата и переводы в “Яндекс Пэй”, сбои затронули и наше всё “Яндекс Такси”. Остальные приложения компании тоже приболели. Ну а вместе с ними и сайты, размещённые в так называемом облаке компании. Из облака сообщили, что в зоне ru-central-1b возник инцидент с недоступностью части сетевых дисков. Позже в Яндексе также добавили, что это был локальный сбой некоторых сервисов — остальные зоны работали без перебоев, и работа была оперативно восстановлена. Не модуль на Rust, кладущий полсети одним неловким unwrap’ом, но тоже ничего. Тем временем в Яндексе два джуна спорили о даунтайме. “Лежит сервер!” — говорит один. “Нет, лежит соединение!” — парирует второй. Мимо проходил сеньор: “Ни сервер, ни соединение — лежат старшие разрабы”. Утро понедельника же.
@tomhunter
😁17👍3🔥3❤1
#news CrowdStrike поймала у себя инсайдера. Человек с сомнительной рабочей этикой и плохо просчитанными рисками сдал злоумышленникам скриншоты внутренних систем и не только. Они ранее вспыли в чатиках неугомонного хакерского тройничка из ShinyHunters, Scattered Spider и Lapsus$.
Утверждают, что инсайдер сдал и SSO-куки, но его поймали и обрубили доступ раньше, чем получили доступ. Триумвират также пытался прикупить отчёты CrowdStrike по группировкам, но и их не получили. Между тем цена вопроса якобы 25к долларов. Казалось бы, кто станет ломать карьеру в западном инфобезе за такую скромную сумму? Но ларчик просто открывается, если вспомнить волшебное слово “офшоринг”. В Индии у CrowdStrike на одном только LinkedIn 369 позиций. Средняя годовая там по компании, судя по агрегаторам, около 70к, джуны — в лучшем случае те самые ~25к. Вот и цифры понятнее. Да и отложенная гратификация — не шутки. Справляется не каждый, извольте заложить в риски по офшорингу вместе с зарплатой в виде ветки.
@tomhunter
Утверждают, что инсайдер сдал и SSO-куки, но его поймали и обрубили доступ раньше, чем получили доступ. Триумвират также пытался прикупить отчёты CrowdStrike по группировкам, но и их не получили. Между тем цена вопроса якобы 25к долларов. Казалось бы, кто станет ломать карьеру в западном инфобезе за такую скромную сумму? Но ларчик просто открывается, если вспомнить волшебное слово “офшоринг”. В Индии у CrowdStrike на одном только LinkedIn 369 позиций. Средняя годовая там по компании, судя по агрегаторам, около 70к, джуны — в лучшем случае те самые ~25к. Вот и цифры понятнее. Да и отложенная гратификация — не шутки. Справляется не каждый, извольте заложить в риски по офшорингу вместе с зарплатой в виде ветки.
@tomhunter
😁7💯4👍2😱2
#news Если Shai-Hulud на npm был настолько хорош, то где Shai-Hulud 2? Так на npm. Снова. И в этот раз с продвинутыми масштабами, функциональностью и возможными последствиями для экосистемы. Отчёты о новой кампании пошли вчера, сегодня всё стоит на ушах.
Счёт компрометаций идёт на десятки тысяч, во многом за счёт заражения популярнейших пакетов. Проекты от ENS Domains, PostHog и Postman — пишут, они в зависимостях у четверти просканированных сред. Соответственно, масштабы компрометации — моё почтение. На момент первых репортов это были 700 пакетов у ~500 юзеров и 27+ тысяч вредоносных репозиториев. С оговорками, что заражения шли со скоростью в ~1000 репов каждые полчаса. При этом в автоматизации тоже новинка: малварь идёт в preinstall’e со всем из этого вытекающим. Иными словами, сиквел удался. Осталось дождаться реакции GitHub: такими темпами дойдёт до того, что токены под свои пайплайны разрабы будут получать под роспись с временем жизни от коммита и до обеда.
@tomhunter
Счёт компрометаций идёт на десятки тысяч, во многом за счёт заражения популярнейших пакетов. Проекты от ENS Domains, PostHog и Postman — пишут, они в зависимостях у четверти просканированных сред. Соответственно, масштабы компрометации — моё почтение. На момент первых репортов это были 700 пакетов у ~500 юзеров и 27+ тысяч вредоносных репозиториев. С оговорками, что заражения шли со скоростью в ~1000 репов каждые полчаса. При этом в автоматизации тоже новинка: малварь идёт в preinstall’e со всем из этого вытекающим. Иными словами, сиквел удался. Осталось дождаться реакции GitHub: такими темпами дойдёт до того, что токены под свои пайплайны разрабы будут получать под роспись с временем жизни от коммита и до обеда.
@tomhunter
😁7🔥4❤2👍1
#news Больше креатива от мира ClickFix-атак. В свежей вариации засветилась стеганография для доставки, но интереснее в ней новинка по части социнженерии. Атака замаскирована под экран обновления Windows. В этом варианте вместо капчи полноэкранные окна.
Пользователю достаточно залететь на вредоносный сайт, тот переводит его в полный экран, и дальше всё по стандартной ClickFix-схеме. Курсор скрыт, нажать esc догадается не каждый. По нагрузке инфостилеры, запрятанные в png-файлы. За октябрь команда Huntress изучила 76 инцидентов по всему миру, так что в десятках компаний довольные коллеги удачно обновившегося сотрудника ранним осенним утром отправляются на тренинг, где усталый ибшник расскажет им, что никто не хочет подарить им айфон, а обновления Windows не просят вручную вставлять команды. Взгляните на этот переливающийся синеньким знакомый экранчик глазами доверчивого юзера. Сразу ведь захотелось понажимать всякое, правда?
@tomhunter
Пользователю достаточно залететь на вредоносный сайт, тот переводит его в полный экран, и дальше всё по стандартной ClickFix-схеме. Курсор скрыт, нажать esc догадается не каждый. По нагрузке инфостилеры, запрятанные в png-файлы. За октябрь команда Huntress изучила 76 инцидентов по всему миру, так что в десятках компаний довольные коллеги удачно обновившегося сотрудника ранним осенним утром отправляются на тренинг, где усталый ибшник расскажет им, что никто не хочет подарить им айфон, а обновления Windows не просят вручную вставлять команды. Взгляните на этот переливающийся синеньким знакомый экранчик глазами доверчивого юзера. Сразу ведь захотелось понажимать всякое, правда?
@tomhunter
😁13❤2👍1🤯1