#news OpenAI выкатила фичу для ChatGPT под названием “Библиотека”. Это библиотека файлов для их хранения в облаке, чтобы жпт про них не забывал. Лица по СБ-отделам по случаю релиза представили?
По умолчанию ChatGPT будет сохранять подгруженные в чаты и созданные файлы в отдельную папочку. Так что теперь сотрудники могут сливать информацию не только в чаты, для удобства расшаренные с коллегами и проиндексированные поисковиками, но и в постоянную папку. Для удобства. Удобства пользователя, утечек, обучения моделей OpenAI. Сплошные удобства, в общем. OpenAI будет удалять файлы с серверов спустя 30 дней после их удаления юзером, честное девелоперское. Пользователи в восторге от новой фичи, а то, что в куче компаний с творческим подходом к безопасности данных будут регулярно ловить юзеров с полными жпт-папками конфиденциальных доков — это уже так, издержки.
@tomhunter
По умолчанию ChatGPT будет сохранять подгруженные в чаты и созданные файлы в отдельную папочку. Так что теперь сотрудники могут сливать информацию не только в чаты, для удобства расшаренные с коллегами и проиндексированные поисковиками, но и в постоянную папку. Для удобства. Удобства пользователя, утечек, обучения моделей OpenAI. Сплошные удобства, в общем. OpenAI будет удалять файлы с серверов спустя 30 дней после их удаления юзером, честное девелоперское. Пользователи в восторге от новой фичи, а то, что в куче компаний с творческим подходом к безопасности данных будут регулярно ловить юзеров с полными жпт-папками конфиденциальных доков — это уже так, издержки.
@tomhunter
😁12💯5
#news В Штатах вынесли приговор гражданину России за участие в рансомварь-атаках. 26-летний Алексей Волков, он же chubaka.kor, отправился на пенитенциарные курорты США почти на семь лет.
Волков проходил по делу как брокер начального доступа, в частности для Yanluowang. Его арестовали в Италии в январе 2024-го, что уже само по себе говоряще. Особенно с учётом того, что ФБР перехватило серверы Yanluowang, отследило Apple ID Волкова, а также аккаунты в соцсетях, подвязанные на его телефонный номер и паспорт. В ноябре мы писали, что чубаку ждут 5-10 лет, так и вышло. Не всякий IAB уезжает на такие сроки, но где прямая работа на группировку и ущерб на миллионы долларов, там и соответствующие приговоры. Казалось бы, зачем с такими вводными ехать в ЕС? А “Помнишь, ты мечтала об Италии, милая” никто не отменял — и здесь уже одна ошибка, и ты ошибся.
@tomhunter
Волков проходил по делу как брокер начального доступа, в частности для Yanluowang. Его арестовали в Италии в январе 2024-го, что уже само по себе говоряще. Особенно с учётом того, что ФБР перехватило серверы Yanluowang, отследило Apple ID Волкова, а также аккаунты в соцсетях, подвязанные на его телефонный номер и паспорт. В ноябре мы писали, что чубаку ждут 5-10 лет, так и вышло. Не всякий IAB уезжает на такие сроки, но где прямая работа на группировку и ущерб на миллионы долларов, там и соответствующие приговоры. Казалось бы, зачем с такими вводными ехать в ЕС? А “Помнишь, ты мечтала об Италии, милая” никто не отменял — и здесь уже одна ошибка, и ты ошибся.
@tomhunter
😁7👍3
#news По сети разлетаются заголовки про запрещённый в США импорт иностранных роутеров. На деле всё, конечно, скучнее: вендоры будут получать разрешение на импорт от федеральной комиссии по связи. Так что вместо роутерной автаркии обычная бюрократия.
Для получения разрешения производители должны раскрыть корпоративную структуру и владельцев, включая влияние и финансирование от правительств, цепочку производства компонентов и прошивки и планы по её переносу в США. Вендоры уже готовятся проходить дальше, показав бумаги, недобитые китайцы прощаются с рыночком, продавцы затягивают пояса. По итогам это давление на цепочку поставок и принуждение к прозрачности. Краткосрочно ничего не изменится, в долгосрочной перспективе подорожают роутеры. Поможет ли это с ИБ? Разве что самую малость — проблема штатовских сетей явно не в троянизированных китайских девайсах. Зато комиссия может нарисовать красивые отчёты. Затем и принимали, собственно.
@tomhunter
Для получения разрешения производители должны раскрыть корпоративную структуру и владельцев, включая влияние и финансирование от правительств, цепочку производства компонентов и прошивки и планы по её переносу в США. Вендоры уже готовятся проходить дальше, показав бумаги, недобитые китайцы прощаются с рыночком, продавцы затягивают пояса. По итогам это давление на цепочку поставок и принуждение к прозрачности. Краткосрочно ничего не изменится, в долгосрочной перспективе подорожают роутеры. Поможет ли это с ИБ? Разве что самую малость — проблема штатовских сетей явно не в троянизированных китайских девайсах. Зато комиссия может нарисовать красивые отчёты. Затем и принимали, собственно.
@tomhunter
👍7😁3❤2💯1
#news Сегодня пошли новости о задержании админа LeakBase. Но есть интересный нюанс: арестовали его не в условной Испании. А прямиком в Таганроге. Просчитался, но где? Как станет понятно дальше, много где.
LeakBase был активен с 2021-го, набрал юзеров после перехвата BF и сам был перехвачен в начале марта. Западные безопасники владельца по имени не называли, но его и искать особо не надо было: достаточно оценить чудеса опсека в исполнении Chucky. В контактах на LeakBase аккаунт в TG на его личный номер, светившийся в пабликах Таганрога, никнейм с форума в основной почте с Apple ID, он же в почте на xakep, и “Darknet” в графе “Вдохновение” на странице в VK. Нарочно не придумаешь. С таким опсеком этого сказочного персонажа стоило арестовать, просто чтобы другим неповадно было. Гоните его, насмехайтесь над ним и не будьте как он, даже если в послужном списке только стянутый с торрентов сериальчик.
@tomhunter
LeakBase был активен с 2021-го, набрал юзеров после перехвата BF и сам был перехвачен в начале марта. Западные безопасники владельца по имени не называли, но его и искать особо не надо было: достаточно оценить чудеса опсека в исполнении Chucky. В контактах на LeakBase аккаунт в TG на его личный номер, светившийся в пабликах Таганрога, никнейм с форума в основной почте с Apple ID, он же в почте на xakep, и “Darknet” в графе “Вдохновение” на странице в VK. Нарочно не придумаешь. С таким опсеком этого сказочного персонажа стоило арестовать, просто чтобы другим неповадно было. Гоните его, насмехайтесь над ним и не будьте как он, даже если в послужном списке только стянутый с торрентов сериальчик.
@tomhunter
😁19🤬1
#news У “Лаборатории Касперского” отчёт по эксплойт-киту Coruna. Судя по его содержимому, в нём обновлённая версия той же цепочки, которую использовали в пресловутой “Операции Триангуляция”.
Когда Coruna только всплыл, у Касперского заявили, что с операцией кит может быть не связан — одни и те же уязвимости не подтверждают общего разработчика. Но в Google всё же были правы: те же уязвимости, один и тот же разраб, L3Harris. Эксплойты ядра собраны на одном фреймворке, у них общий код, и в Coruna четыре новых эксплойта, добавленные уже после Триангуляции. Так что по итогам загадочный инструмент из 2023-го на острие шпионажа в 2026-м одной удачной сделкой топ-менеджера с гибкими моральными принципами превратился в игрушку для киберпреступников. Перед заманчивыми предложениями пресловутых русских хакеров устоит не каждый.
@tomhunter
Когда Coruna только всплыл, у Касперского заявили, что с операцией кит может быть не связан — одни и те же уязвимости не подтверждают общего разработчика. Но в Google всё же были правы: те же уязвимости, один и тот же разраб, L3Harris. Эксплойты ядра собраны на одном фреймворке, у них общий код, и в Coruna четыре новых эксплойта, добавленные уже после Триангуляции. Так что по итогам загадочный инструмент из 2023-го на острие шпионажа в 2026-м одной удачной сделкой топ-менеджера с гибкими моральными принципами превратился в игрушку для киберпреступников. Перед заманчивыми предложениями пресловутых русских хакеров устоит не каждый.
@tomhunter
😁5❤2🤡2
#news Любопытная новость из США: в понедельник там арестовали одного из админов RedLine Stealer. Амбарцум Минасян предстал перед судом после экстрадиции в Штаты, его обвиняют в обслуживании инфраструктуры инфостилера.
Откуда Минасян попал в США, неясно — подробностей от DOJ нет, но одно издание утверждает, что арестовали его прямиком в Армении. Если у него армянское гражданство, то уехать до пункта финального назначения с родины были все шансы — сотрудничество по этой линии у Армении идёт. Минасяну предъявили регистрацию инфры RedLine и криптокошелька для выплат по партнёрке. В общем, классика: мошенничество в сфере компьютерной информации плюс отмывание денег, осталось только идти на сделку и отправляться на заслуженный отдых. Заезжает русский киберпреступник в американскую кутузку, а там армяне за администрирование инфостилера сидят. (Извините.)
@tomhunter
Откуда Минасян попал в США, неясно — подробностей от DOJ нет, но одно издание утверждает, что арестовали его прямиком в Армении. Если у него армянское гражданство, то уехать до пункта финального назначения с родины были все шансы — сотрудничество по этой линии у Армении идёт. Минасяну предъявили регистрацию инфры RedLine и криптокошелька для выплат по партнёрке. В общем, классика: мошенничество в сфере компьютерной информации плюс отмывание денег, осталось только идти на сделку и отправляться на заслуженный отдых. Заезжает русский киберпреступник в американскую кутузку, а там армяне за администрирование инфостилера сидят. (Извините.)
@tomhunter
😁19❤1🤬1
#news Threat Intelligence Group от Google официально объявила о запуске подразделения, которое будет активно противостоять киберугрозам. Обещают перехватывать инфраструктуру злоумышленников, но от наступательных операций открещиваются.
Разговоры о создании подразделения пошли в прошлом году, когда США решили пересмотреть стратегию кибербезопасности и добавить огоньку, сместив фокус в сторону активных действий. Но быстро выяснилось, что частный сектор на апэтэшечки и киберпреступников не спустишь — и юридически сложно, и частники с добром на ответные взломы госухе не нужны. Так что по случаю анонса все дружно заявляют, что это всё ещё оборонительная инициатива. Но со звёздочкой. Из ключевого перехват инфры и сотрудничество с органами по этой части. Веселиться в формате “Pwned by Mandiant” на сайте условной LockBit не дадут, но хотя бы можно не только отчётики писать и передавать куда следует.
@tomhunter
Разговоры о создании подразделения пошли в прошлом году, когда США решили пересмотреть стратегию кибербезопасности и добавить огоньку, сместив фокус в сторону активных действий. Но быстро выяснилось, что частный сектор на апэтэшечки и киберпреступников не спустишь — и юридически сложно, и частники с добром на ответные взломы госухе не нужны. Так что по случаю анонса все дружно заявляют, что это всё ещё оборонительная инициатива. Но со звёздочкой. Из ключевого перехват инфры и сотрудничество с органами по этой части. Веселиться в формате “Pwned by Mandiant” на сайте условной LockBit не дадут, но хотя бы можно не только отчётики писать и передавать куда следует.
@tomhunter
😁4❤2👍2
#news Еврокомиссия расследует взлом своей облачной инфраструктуры. Злоумышленники скомпрометировали админский аккаунт от инфры и утверждают, что стянули 350 GB данных.
Официальных заявлений на этот счёт нет, но ответственные за взлом вышли на связь и скинули скриншоты с информацией сотрудников и с её почтового сервера. Говорят, вымогательством заниматься не будут и сольют стянутое в открытый доступ. Год для Еврокомиссии не задался: это уже второй взлом — в январе у неё скомпрометировали платформу для менеджмента мобильных устройств. ЕС на днях наложил санкции на три китайских и иранских компании за атаки, но, увы, санкции и выражение глубокой обеспокоенности имеют волшебный эффект только в воображении евробюрократов, имитирующих бурную деятельность. А вот дырявая инфра — вещь более чем реальная.
@tomhunter
Официальных заявлений на этот счёт нет, но ответственные за взлом вышли на связь и скинули скриншоты с информацией сотрудников и с её почтового сервера. Говорят, вымогательством заниматься не будут и сольют стянутое в открытый доступ. Год для Еврокомиссии не задался: это уже второй взлом — в январе у неё скомпрометировали платформу для менеджмента мобильных устройств. ЕС на днях наложил санкции на три китайских и иранских компании за атаки, но, увы, санкции и выражение глубокой обеспокоенности имеют волшебный эффект только в воображении евробюрократов, имитирующих бурную деятельность. А вот дырявая инфра — вещь более чем реальная.
@tomhunter
😁8
#news В новую неделю с новостями хактивизма. Иранские хакеры взломали почту директора ФБР. “Так называемые “непробиваемые” системы ФБР скомпрометированы” — борцы с американским империализмом торжествуют, гражданин? Ну, не совсем.
Как обычно, всё скромнее: вскрыли старую личную почту Пателя на Gmail. Никаких хитроумных взломов, нет даже фишинга: похоже, у товарища директора почта была в утечках, с повторно используемым паролем и без 2FA. В сливе переписка до того, как он занял должность, и фото, на которых корчит рожи. А брифинг “Основы инфобеза для самых маленьких директоров ФБР” состоялся уже позже. Таких унижений Патель иранцам простить не мог: уже через пять часов за головы Handala выставили стандартную награду в $10 миллионов. Так уж совпало. Между тем вопрос для иранских хакеров не праздный: американцы с коллегами их бомбят, прецеденты имеются. Так что ставки высокие — за шутеечки над ФБР может и ракета в окошко от наносящих демократию прилететь.
@tomhunter
Как обычно, всё скромнее: вскрыли старую личную почту Пателя на Gmail. Никаких хитроумных взломов, нет даже фишинга: похоже, у товарища директора почта была в утечках, с повторно используемым паролем и без 2FA. В сливе переписка до того, как он занял должность, и фото, на которых корчит рожи. А брифинг “Основы инфобеза для самых маленьких директоров ФБР” состоялся уже позже. Таких унижений Патель иранцам простить не мог: уже через пять часов за головы Handala выставили стандартную награду в $10 миллионов. Так уж совпало. Между тем вопрос для иранских хакеров не праздный: американцы с коллегами их бомбят, прецеденты имеются. Так что ставки высокие — за шутеечки над ФБР может и ракета в окошко от наносящих демократию прилететь.
@tomhunter
😁11🔥2
#news В Штатах пошла критика закона о "запрете" импорта иностранных роутеров. Чересчур умная профессура заявляет, что это промышленная политика под видом кибербезопасности и бан только ухудшит ситуацию, расширив поверхность атаки.
Среди аргументов очевидные вещи: роутеры взламывают не через теоретические бэкдоры, а вполне реальные непатченные уязвимости, кривую настройку и дефолтные креды. У американского роутера всё ещё будет ОС от линуксоидов, прошивка из Тайваня и опенсорс со всего мира; старые роутеры никуда не денутся, а на новые подскочит ценник, и вообще это всё продукт лоббизма Netgear и сопричастных. В результате запрет только снизит готовность юзера и бизнеса покупать новые роутеры и подтолкнет к тому, чтобы сидеть с легаси-устройствами, которые и являются основной целью атак. В общем, раздался голос со стороны рассудка. Китайский иностранный агент, не иначе.
@tomhunter
Среди аргументов очевидные вещи: роутеры взламывают не через теоретические бэкдоры, а вполне реальные непатченные уязвимости, кривую настройку и дефолтные креды. У американского роутера всё ещё будет ОС от линуксоидов, прошивка из Тайваня и опенсорс со всего мира; старые роутеры никуда не денутся, а на новые подскочит ценник, и вообще это всё продукт лоббизма Netgear и сопричастных. В результате запрет только снизит готовность юзера и бизнеса покупать новые роутеры и подтолкнет к тому, чтобы сидеть с легаси-устройствами, которые и являются основной целью атак. В общем, раздался голос со стороны рассудка. Китайский иностранный агент, не иначе.
@tomhunter
👍10😁4
#news Axios скомпрометировали! Версии 1.14.1 и 0.30.4 сегодня ночью обзавелись вредоносной зависимостью, подтягивающей мультиплатформенный RAT под macOS, Windows и Linux. Проверяйте свои среды.
Axios — одна из ключевых библиотек на npm, она практически в любом приложении/решении на JavaScript. Злоумышленник скомпрометировал аккаунт основного мейнтейнера, судя по всему, стянув токен доступа. За счёт акка удалось обойти CI/CD пайплайн GutHub Actions и опубликовать троянизированные версии. Атака была хорошо спланирована, но компрометацию оперативно засекли — малварь снесли с npm через несколько часов. Но первые заражения пошли уже через минуту, и интернет ожидаемо стоит на ушах. 100 миллионов загрузок в неделю — это не шутки, постэксплуатация будет солидной. Из плюсов, могло быть гораздо хуже. Из минусов, ещё обязательно будет. И токены опять порежут. Здесь видео с обзором и ссылками на отчёты. С первой катастрофической атакой на цепочку поставок весны!
@tomhunter
Axios — одна из ключевых библиотек на npm, она практически в любом приложении/решении на JavaScript. Злоумышленник скомпрометировал аккаунт основного мейнтейнера, судя по всему, стянув токен доступа. За счёт акка удалось обойти CI/CD пайплайн GutHub Actions и опубликовать троянизированные версии. Атака была хорошо спланирована, но компрометацию оперативно засекли — малварь снесли с npm через несколько часов. Но первые заражения пошли уже через минуту, и интернет ожидаемо стоит на ушах. 100 миллионов загрузок в неделю — это не шутки, постэксплуатация будет солидной. Из плюсов, могло быть гораздо хуже. Из минусов, ещё обязательно будет. И токены опять порежут. Здесь видео с обзором и ссылками на отчёты. С первой катастрофической атакой на цепочку поставок весны!
@tomhunter
🔥5😱4❤2🤡2
#news У Citrix и её пользователей флешбэки в 2023-й: компания закрыла критическую уязвимость в NetScaler, снова протекает память в духе CitrixBleed2, с прошлой недели идёт эксплуатация. Попутно выясняются интересные подробности.
Исследователи ковыряются в выписанной уязвимости CVE и обнаруживают, что это не одна уязвимость на buffer over-read, а две — они затрагивают два разных эндпоинта, но их записали под одну CVE. Потому что одна критическая уязвимость в продукте лучше новых двух! Так что шутники из WatchTowr в своих лучших традициях тыкают палочкой в Citrix за изворотливость, попутно репортят им ещё одну схожую уязвимость и показывают утечку ID сессий от админки. А заодно постят инфу из своего ханипота об активно идущем эксплойте. Исследователям весело, у юзеров дёргается глаз от протекающей в очередной раз памяти, а Citrix молчит. Иными словами, обычные будни в кибербезе.
@tomhunter
Исследователи ковыряются в выписанной уязвимости CVE и обнаруживают, что это не одна уязвимость на buffer over-read, а две — они затрагивают два разных эндпоинта, но их записали под одну CVE. Потому что одна критическая уязвимость в продукте лучше новых двух! Так что шутники из WatchTowr в своих лучших традициях тыкают палочкой в Citrix за изворотливость, попутно репортят им ещё одну схожую уязвимость и показывают утечку ID сессий от админки. А заодно постят инфу из своего ханипота об активно идущем эксплойте. Исследователям весело, у юзеров дёргается глаз от протекающей в очередной раз памяти, а Citrix молчит. Иными словами, обычные будни в кибербезе.
@tomhunter
😁6
#news У Cisco стянули исходники. Злоумышленники клонировали больше 300 репозиториев с исходным кодом, включая невыпущенные продукты и ИИ-разработки. Всё это результат недавней атаки на цепочку поставок через Trivy.
У Trivy пару недель назад скомпрометировали сканер уязвимостей и через гитхабовский пайплайн стянули CI/CD креды использующих его компаний, включая Cisco. Ушли креды от среды разработки, были скомпрометированы устройства разработчиков и в лаборатории, несколько аккаунтов на AWS. Часть стянутых репозиториев, судя по всему, принадлежат клиентам, включая банки и американскую госуху; при этом в сетях Cisco орудовали сразу несколько злоумышленников — объяснять придётся многое. В итоге не очень успешная компрометация Axios проигрывает Trivy по последствиям, но ещё только среда, так что можно не загадывать: атаки на цепочку поставок рискуют стать самой горячей темой сезона весна 2026.
@tomhunter
У Trivy пару недель назад скомпрометировали сканер уязвимостей и через гитхабовский пайплайн стянули CI/CD креды использующих его компаний, включая Cisco. Ушли креды от среды разработки, были скомпрометированы устройства разработчиков и в лаборатории, несколько аккаунтов на AWS. Часть стянутых репозиториев, судя по всему, принадлежат клиентам, включая банки и американскую госуху; при этом в сетях Cisco орудовали сразу несколько злоумышленников — объяснять придётся многое. В итоге не очень успешная компрометация Axios проигрывает Trivy по последствиям, но ещё только среда, так что можно не загадывать: атаки на цепочку поставок рискуют стать самой горячей темой сезона весна 2026.
@tomhunter
🔥5🤯2❤1
#announcement 9 апреля в 11:00 по Москве пройдёт вебинар о новой версии межсетевого экрана Ideco NGFW Novum.
Разработчик расскажет о ключевых изменениях в брандмауэре, среди которых централизованное управление политиками и конфигурациями, развитие ZTNA с трёхфакторной аутентификацией, SLA-маршрутизация в SD-WAN и другие фичи.
Так что если вы руководите ИБ- или ИТ-подразделениями, занимаетесь сетевой безопасностью или просто интересуетесь отечественными решениями в этой сфере, присоединяйтесь, будет интересно! Регистрация на вебинар по ссылке.
@tomhunter
Разработчик расскажет о ключевых изменениях в брандмауэре, среди которых централизованное управление политиками и конфигурациями, развитие ZTNA с трёхфакторной аутентификацией, SLA-маршрутизация в SD-WAN и другие фичи.
Так что если вы руководите ИБ- или ИТ-подразделениями, занимаетесь сетевой безопасностью или просто интересуетесь отечественными решениями в этой сфере, присоединяйтесь, будет интересно! Регистрация на вебинар по ссылке.
@tomhunter
👍3
#news У Claude Code утёкли исходники. Причём утечка максимально неловкая: вместе со свежей версией пакета на npm запаковали sourcemap. А в нём 500к строк кода на TypeScript — вся внутренняя кухня приложения.
Саму модельку утечка не затронула, но слив исходников одного из своих ключевых продуктов Anthropic явно не планировала. Конкуренты ликуют, неожиданный децентрализованный бэкап форкают по всему GitHub и сторонним платформам. Особо любознательные вовсю ковыряются в коде и находят интересные фичи в духе самовосстанавливающейся памяти для обхода ограничений контекстного окна, постоянной активности агентов в фоновом режиме, и контрибуции в опенсорс с промптом “Скрывай, что ты, ИИ-модель”, чтобы не раскрыть лишнего в коммитах. Иронично, не правда ли? Anthropic уже заявила, что это их ошибка, а не взлом, но кому в компании от этого легче? Уж лучше бы взломали.
@tomhunter
Саму модельку утечка не затронула, но слив исходников одного из своих ключевых продуктов Anthropic явно не планировала. Конкуренты ликуют, неожиданный децентрализованный бэкап форкают по всему GitHub и сторонним платформам. Особо любознательные вовсю ковыряются в коде и находят интересные фичи в духе самовосстанавливающейся памяти для обхода ограничений контекстного окна, постоянной активности агентов в фоновом режиме, и контрибуции в опенсорс с промптом “Скрывай, что ты, ИИ-модель”, чтобы не раскрыть лишнего в коммитах. Иронично, не правда ли? Anthropic уже заявила, что это их ошибка, а не взлом, но кому в компании от этого легче? Уж лучше бы взломали.
@tomhunter
😁6🔥2❤1
#news Соскучились по громким криптокражам? De-Fi платформа Drift заморозила депозиты и вывод средств после взлома. Сообщения о подозрительной активности появились вчера вечером, сегодня пошли подробности по суммам.
По оценкам, украдено больше $280 миллионов — так что это не только крупнейшая кража крипты 2026-го, но и кандидат в топ-10 за всю историю. Drift выкатила первые объяснения: за болтовней про “новую, очень сложную атаку” скрывается банальная социнженерия: двух из пяти подписантов обдурили, те одобрили вредоносные транзакции, готово, IT-солдат, вы ослепительны. Остальное уже нюансы. В комментариях привычный вой юзеров, потерявших сбережения, кого-то накрывает прозрениями: “Все протоколы хвалятся своей защищённостью и аудитами, а вас всё равно взламывают. Как так-то?” Первый шаг на пути к пониманию крипторыночка сделан, теперь только повторять эту мантру до полного просветления.
@tomhunter
По оценкам, украдено больше $280 миллионов — так что это не только крупнейшая кража крипты 2026-го, но и кандидат в топ-10 за всю историю. Drift выкатила первые объяснения: за болтовней про “новую, очень сложную атаку” скрывается банальная социнженерия: двух из пяти подписантов обдурили, те одобрили вредоносные транзакции, готово, IT-солдат, вы ослепительны. Остальное уже нюансы. В комментариях привычный вой юзеров, потерявших сбережения, кого-то накрывает прозрениями: “Все протоколы хвалятся своей защищённостью и аудитами, а вас всё равно взламывают. Как так-то?” Первый шаг на пути к пониманию крипторыночка сделан, теперь только повторять эту мантру до полного просветления.
@tomhunter
👍7😁7❤2
#news Редкое удовольствие от Apple: компания расширила поддержку части недавних патчей до версии iOS 18. Всё это, как можно догадаться, для защиты от утёкших на вторичный рынок эксплойтов в составе DarkSword.
Darksword — один из эксплойт-китов, всплывших в марте у широкого круга лиц, предположительно, проданный самим же разрабом. Патчи к эксплойтам в нём выпустили в 2025-м под более свежие версии iOS, но сейчас ситуация поменялась: вместо эксклюзива для госухи DarkSword аудитория демократизировалась — там и киберпреступники, и турецкий разраб спайвари, и апэтэшечки. Поддержка iOS 18 закончилась под конец 2025-го, но ситуация требует решительных мер — получите iOS 18.7.7, распишитесь. И юзер доволен, и вендорам эксплойтов лишний раз ткнули в лицо утечкой, напомнив и о некомпетентности СБ у одних, и о сомнительности индустрии в целом. Сплошные репутационные плюсы, в общем.
@tomhunter
Darksword — один из эксплойт-китов, всплывших в марте у широкого круга лиц, предположительно, проданный самим же разрабом. Патчи к эксплойтам в нём выпустили в 2025-м под более свежие версии iOS, но сейчас ситуация поменялась: вместо эксклюзива для госухи DarkSword аудитория демократизировалась — там и киберпреступники, и турецкий разраб спайвари, и апэтэшечки. Поддержка iOS 18 закончилась под конец 2025-го, но ситуация требует решительных мер — получите iOS 18.7.7, распишитесь. И юзер доволен, и вендорам эксплойтов лишний раз ткнули в лицо утечкой, напомнив и о некомпетентности СБ у одних, и о сомнительности индустрии в целом. Сплошные репутационные плюсы, в общем.
@tomhunter
😁7❤3
#news Мастер-класс по реакции на взломы от Еврокомиссии: на днях её представитель заявил, что ничего серьёзного не произошло, всё оперативно засекли, и вообще это публичные данные. Но затем с комментарием выступил CERT-EU…
О подозрительной активности подразделению сообщили только спустя пять дней после взлома, а компрометация произошла ещё за две недели до этого. Стянуты 340 GB у 30 организаций в ЕС, местами может быть чувствительное. По версии ЕК они “немедленно засекли активность” — по стандартам европейской бюрократии можно и так это назвать, пожалуй. Но здесь следим за руками: система триггернулась — среагировали, а абьюз API-ключа две недели оставим за скобками. Внутреннее не затронуто, только наша публичная платформа, а то, что это облако на шару со всеми организациями — это уже так, нюансы. Следов движения по сети и глубокой компрометации пока действительно нет, но так дипломатично выражаться дано не каждому. Что сказать, старая школа.
@tomhunter
О подозрительной активности подразделению сообщили только спустя пять дней после взлома, а компрометация произошла ещё за две недели до этого. Стянуты 340 GB у 30 организаций в ЕС, местами может быть чувствительное. По версии ЕК они “немедленно засекли активность” — по стандартам европейской бюрократии можно и так это назвать, пожалуй. Но здесь следим за руками: система триггернулась — среагировали, а абьюз API-ключа две недели оставим за скобками. Внутреннее не затронуто, только наша публичная платформа, а то, что это облако на шару со всеми организациями — это уже так, нюансы. Следов движения по сети и глубокой компрометации пока действительно нет, но так дипломатично выражаться дано не каждому. Что сказать, старая школа.
@tomhunter
😁8
#news Утечка исходников Claude Code не могла обойтись без доставки малвари по горячим следам. На GItHub закинули вредонос под видом исходного кода, вместо Клода в комплекте Vidar и GhostSocks.
К распространению подошли творчески: в readme упомянута утечка исходников через .map, но есть нюанс: анонимные благодетели собрали их в рабочий форк с разблокированными энтерпрайз-фичами и без ограничений по лимиту сообщений. Каким образом это всё должно работать? Попадающиеся на такую замануху не задают лишних вопросов. Не было их и к архиву с ClaudeCode_x64.exe внутри: 793 форка и 564 звезды у одного из репозиториев. Помогло и то, что они были в топе выдачи по запросу “leaked Claude Code” — добрый друг Google в этом деле никогда не подведёт. Не раздавал ссылки на репы с малварью через своего ИИ-болванчика — уже добро. Прецеденты-то имеются.
@tomhunter
К распространению подошли творчески: в readme упомянута утечка исходников через .map, но есть нюанс: анонимные благодетели собрали их в рабочий форк с разблокированными энтерпрайз-фичами и без ограничений по лимиту сообщений. Каким образом это всё должно работать? Попадающиеся на такую замануху не задают лишних вопросов. Не было их и к архиву с ClaudeCode_x64.exe внутри: 793 форка и 564 звезды у одного из репозиториев. Помогло и то, что они были в топе выдачи по запросу “leaked Claude Code” — добрый друг Google в этом деле никогда не подведёт. Не раздавал ссылки на репы с малварью через своего ИИ-болванчика — уже добро. Прецеденты-то имеются.
@tomhunter
😁7👍2
#news Пятничная классика историй из серии “Пошантажирую работодателя, все сядут, а я один умный с битками в закат уйду красивый”. На этот раз в исполнении 57-летнего инженера инфраструктуры из США.
План был продуман: наш герой закинул на контроллер домена таски по удалению админских аккаунтов и смене паролей на остальных. Тысячи рабочих устройств и сотни серверов превратились в кирпич, коллегам пришло письмо с угрозами отключать 40 серверов в день, если ему не дадут 20 битков — на тот момент ~750к долларов. Злоумышленника быстро вычислили, и на его устройствах нашли запросы по атаке — на скрытой виртуалке, но со своего аккаунта. С рабочего ноута. И у себя из дома. Его риски были просчитаны, но как же у него плохо с математикой! Зато по судебным документам можно изучать опсек для начинающих. Увы, горе-шантажисты вместо них гуглят “командная строка смена пароля”. На том и погорают.
@tomhunter
План был продуман: наш герой закинул на контроллер домена таски по удалению админских аккаунтов и смене паролей на остальных. Тысячи рабочих устройств и сотни серверов превратились в кирпич, коллегам пришло письмо с угрозами отключать 40 серверов в день, если ему не дадут 20 битков — на тот момент ~750к долларов. Злоумышленника быстро вычислили, и на его устройствах нашли запросы по атаке — на скрытой виртуалке, но со своего аккаунта. С рабочего ноута. И у себя из дома. Его риски были просчитаны, но как же у него плохо с математикой! Зато по судебным документам можно изучать опсек для начинающих. Увы, горе-шантажисты вместо них гуглят “командная строка смена пароля”. На том и погорают.
@tomhunter
😁10❤1🤡1
#news Немецкая полиция сдеанонила UNKN. Согласно им, за позывным скрывался 31-летний Даниил Максимович Щукин из Краснодара, плюс он обозначен как главарь и REvil, и GandCrab. Бонусом раскрыли их разработчика из Украины. Что называется, привет из прошлого.
GandCrab свернулась в 2019-м с пафосным анонсом формата “Мы доказательство того, что можно творить зло, заработать на жизнь за год и уйти безнаказанными”. А вскоре всплыла REvil с интервью UNKN того же содержания. Имя Щукина уже светилось в 2023-м, когда американцы перехватили его кошелёк с криптой, полученной от атак REvil. Что интересно, Кребс связей Щукина с UNKN не нашёл, зато в архивах с форумов он якобы обнаружился под ником Ger0in, где гонял ботнеты ещё в 2010-м — на тот момент ему было 16 лет. Так что персонаж с богатой историей. Безнаказанный или нет, время рассудит: как показывает практика, у служб на западе память по таким делам долгая, а международные отношения — девка капризная.
@tomhunter
GandCrab свернулась в 2019-м с пафосным анонсом формата “Мы доказательство того, что можно творить зло, заработать на жизнь за год и уйти безнаказанными”. А вскоре всплыла REvil с интервью UNKN того же содержания. Имя Щукина уже светилось в 2023-м, когда американцы перехватили его кошелёк с криптой, полученной от атак REvil. Что интересно, Кребс связей Щукина с UNKN не нашёл, зато в архивах с форумов он якобы обнаружился под ником Ger0in, где гонял ботнеты ещё в 2010-м — на тот момент ему было 16 лет. Так что персонаж с богатой историей. Безнаказанный или нет, время рассудит: как показывает практика, у служб на западе память по таким делам долгая, а международные отношения — девка капризная.
@tomhunter
🔥9👍3😁3