#news К новостям из серии «С ИБ-днища постучали». Оказывается, при включённых резервных копиях в iCloud в облако сохраняются сид-фразы от горячих криптокошельков. Ага.
Это оказалось верно для кошелька MetaMask, и пользователи, не добавившие его в исключения для яблочного облака, рискуют криптой в случае взлома их аккаунта. Один бедолага так уже лишился $655 тысяч после простенькой фишинговой атаки: пара смс и подставной звонок с просьбой сменить пароль от «скомпрометированного» Apple-аккаунта, и злоумышленники вытащили из его хранилища сид-фразу от кошелька.
Спецы ожидают взрывного роста таких атак на пользователей MetaMask, рекомендуют отключать кошелёк от облака и не распространяться о своих цифровых капиталах. Молчи, скрывайся и таи все крипто-ассеты свои, так сказать. В цифровую эпоху деньги по-прежнему любят тишину.
@tomhunter
Это оказалось верно для кошелька MetaMask, и пользователи, не добавившие его в исключения для яблочного облака, рискуют криптой в случае взлома их аккаунта. Один бедолага так уже лишился $655 тысяч после простенькой фишинговой атаки: пара смс и подставной звонок с просьбой сменить пароль от «скомпрометированного» Apple-аккаунта, и злоумышленники вытащили из его хранилища сид-фразу от кошелька.
Спецы ожидают взрывного роста таких атак на пользователей MetaMask, рекомендуют отключать кошелёк от облака и не распространяться о своих цифровых капиталах. Молчи, скрывайся и таи все крипто-ассеты свои, так сказать. В цифровую эпоху деньги по-прежнему любят тишину.
@tomhunter
🔥14
#news Децентрализованная финансовая платформа Beanstalk сообщила о взломе. Атака через флэш-кредит обошлась компании в $182 миллиона. На фоне этого стоимость их стейблкойна просела с доллара до пяти центов.
Злоумышленник использовал уязвимость в новом протоколе ликвидности и, взяв флэш-кредит, закупил токены управления Stalk на Beanstalk. Владение ими позволило внести изменения в протокол и высосать платформу досуха на свой личный ETH-кошелёк. Токены, использующиеся для голосования на платформе, можно было получить таким флеш-кредитом, и на их силу для голосования это не влияло, что и сделало атаку возможной.
Атаки на DeFi-платформы всё так же в тренде, и будущее Beanstalk довольно туманно. Что занятно, хакер пожертвовал 250 тысяч долларов на криптосчёт Украины. Такой вот, кхм, этичный хакинг.
@tomhunter
Злоумышленник использовал уязвимость в новом протоколе ликвидности и, взяв флэш-кредит, закупил токены управления Stalk на Beanstalk. Владение ими позволило внести изменения в протокол и высосать платформу досуха на свой личный ETH-кошелёк. Токены, использующиеся для голосования на платформе, можно было получить таким флеш-кредитом, и на их силу для голосования это не влияло, что и сделало атаку возможной.
Атаки на DeFi-платформы всё так же в тренде, и будущее Beanstalk довольно туманно. Что занятно, хакер пожертвовал 250 тысяч долларов на криптосчёт Украины. Такой вот, кхм, этичный хакинг.
@tomhunter
😱13💩5🔥3
#news А мы начинаем КодИБ. От T.Hunter в мероприятии участвует Владимир Макаров, главный специалист департамента аудита ИБ. В холле есть наш стенд, будем рады пообщаться.
@tomhunter
@tomhunter
🔥8💩2
Новая статья о нетипичных приемах логирования и идентификации пользователей сети Интернет. Приемы всегда привлекали особе внимание со стороны правоохранительных органов, частных детективов и представителей служб безопасности. Сегодня мы расскажем о них. Приятного чтения!
🔥11💩3
#news Совершив недавнюю рекордную криптокражу, корейцы из Lazarus не собираются останавливаться на достигнутом. Сейчас они ведут рассылку троянцев в фишинговых атаках на работников блокчейн- и крипто-компаний.
Замаскированные под заманчивые предложения о работе письма засылают набитые малварью приложения для торговли криптой, условно обозначаемые как TraderTraitor. В качестве нагрузки у них идут новые варианты Manuscrypt под винду и макось — трояна для удалённого доступа, используемого группировкой для заражения устройств в сети и поиска приватных ключей от криптокошельков.
Видимо, солнцеликому корейскому лидеру пришлись по нраву $620 миллионов с сайдчейна Ronin. И теперь бедолагам из Lazarus предстоит выполнить пятилетку по краже крипты в три года.
@tomhunter
Замаскированные под заманчивые предложения о работе письма засылают набитые малварью приложения для торговли криптой, условно обозначаемые как TraderTraitor. В качестве нагрузки у них идут новые варианты Manuscrypt под винду и макось — трояна для удалённого доступа, используемого группировкой для заражения устройств в сети и поиска приватных ключей от криптокошельков.
Видимо, солнцеликому корейскому лидеру пришлись по нраву $620 миллионов с сайдчейна Ronin. И теперь бедолагам из Lazarus предстоит выполнить пятилетку по краже крипты в три года.
@tomhunter
🔥13
#news ФБР выпустило предупреждение об активности рансомварь-группировки Black Cat. Согласно отчёту, этим хакерам удалось взломать 60 организаций меньше чем за последние полгода.
Группировка, судя по всему, является BlackMatter под новой вывеской, ушедшей в тень, после того как в конце 2021-го в их рансомвари нашли уязвимость и выкатили декриптор. Из примечательного, используемый ими зловред написан на RUST, первый в своём роде. Спецы отмечают высокую адаптируемость приблуды от Black Cat и несколько методов шифрования. Так что, глядишь, в этот раз они не сольются так же быстро, как в прошлый.
ФБР традиционно призывает не выплачивать выкупы злоумышленникам и помочь любителям чертовски хорошего кофе поймать чёрную кошку в тёмном мире киберпреступности.
@tomhunter
Группировка, судя по всему, является BlackMatter под новой вывеской, ушедшей в тень, после того как в конце 2021-го в их рансомвари нашли уязвимость и выкатили декриптор. Из примечательного, используемый ими зловред написан на RUST, первый в своём роде. Спецы отмечают высокую адаптируемость приблуды от Black Cat и несколько методов шифрования. Так что, глядишь, в этот раз они не сольются так же быстро, как в прошлый.
ФБР традиционно призывает не выплачивать выкупы злоумышленникам и помочь любителям чертовски хорошего кофе поймать чёрную кошку в тёмном мире киберпреступности.
@tomhunter
🔥5
#news Возвращение, которого никто не хотел, но многие ждали. Тор-сервера REvil ожили и ведут на новый сайт. И на нём набирают русских хакеров!
Новоявленная площадка предлагает RaaS-услуги и приводит длинный список жертв REvil в качестве гарантий, а в коде обнаруживается немало отсылочек на фишки других группировок. Пока не проведён анализ рансомвари, впрочем, невозможно установить, действительно ли за новой операцией стоят связанные с REvil — или кем-то ещё — люди. Никаких заявлений от них также не было.
Так что пока остаётся лишь спекулировать: либо это и правда возвращение легенды, либо просто шельмецы, паразитирующие на громком имени, либо замануха для кандидатов на роль лычки на погонах майора. Будем следить за развитием событий.
@tomhunter
Новоявленная площадка предлагает RaaS-услуги и приводит длинный список жертв REvil в качестве гарантий, а в коде обнаруживается немало отсылочек на фишки других группировок. Пока не проведён анализ рансомвари, впрочем, невозможно установить, действительно ли за новой операцией стоят связанные с REvil — или кем-то ещё — люди. Никаких заявлений от них также не было.
Так что пока остаётся лишь спекулировать: либо это и правда возвращение легенды, либо просто шельмецы, паразитирующие на громком имени, либо замануха для кандидатов на роль лычки на погонах майора. Будем следить за развитием событий.
@tomhunter
🤔8🔥5
#news Неутешительные новости для пользователей криптобиржи Binance. На Reuters вышла обзорная статья по истории работы биржи в России. А приурочена она к тому, что, судя по всему, Binance решил выдать Росфинмониторингу данные пользователей из России.
В статье утверждается, что представитель биржи Глеб Костарев по требованию Росфина согласился передать данные клиентов вплоть до имён и адресов. Позже он якобы написал партнёру по бизнесу, что ему не оставили выбора.
Между маховиком санкций, раскручиваемых Binance против пользователей из России, и ужесточающимися требованиями законодательства пространства для манёвра у рядового криптомонетчика остаётся всё меньше.
@tomhunter
В статье утверждается, что представитель биржи Глеб Костарев по требованию Росфина согласился передать данные клиентов вплоть до имён и адресов. Позже он якобы написал партнёру по бизнесу, что ему не оставили выбора.
Между маховиком санкций, раскручиваемых Binance против пользователей из России, и ужесточающимися требованиями законодательства пространства для манёвра у рядового криптомонетчика остаётся всё меньше.
@tomhunter
❤6💩2🤯1
T.Hunter
#news Неутешительные новости для пользователей криптобиржи Binance. На Reuters вышла обзорная статья по истории работы биржи в России. А приурочена она к тому, что, судя по всему, Binance решил выдать Росфинмониторингу данные пользователей из России. В статье…
Тем не менее, сам представитель биржи Глеб Костарев сейчас утверждает, что в Reuters наврали. Говорит, никаких данных не сливали ни Росфину, ни ФСБ. Будем следить за развитием событий.
💩18🤯6
#news Брайан Кребс написал лонгрид про Lapsus$. Из любопытного, опубликованы слитые переписки группировки.
В целом, всё выглядит именно так, как можно ожидать от хаотичной группы хакеров-подростков. Их достижения в основном строились на купленных по дешёвке учётных данных и неуклюжей социнженерии. Globant и вовсе был взломан из-за случайно слитого 5 лет назад на их Гитлабе ключа, который так и не сменили.
В статье также упомянуто, что в марте Lapsus$ стянули исходный код нескольких проектов у T-Mobile. И на волне их одержимостью сливом исходников взломали больше компаний, чем хвалились публично. Но что забавно, всё украденное ребятки потеряли, когда ФБР отжало их сервер. И бэкапов у них не было. Ах, ирония.
@tomhunter
В целом, всё выглядит именно так, как можно ожидать от хаотичной группы хакеров-подростков. Их достижения в основном строились на купленных по дешёвке учётных данных и неуклюжей социнженерии. Globant и вовсе был взломан из-за случайно слитого 5 лет назад на их Гитлабе ключа, который так и не сменили.
В статье также упомянуто, что в марте Lapsus$ стянули исходный код нескольких проектов у T-Mobile. И на волне их одержимостью сливом исходников взломали больше компаний, чем хвалились публично. Но что забавно, всё украденное ребятки потеряли, когда ФБР отжало их сервер. И бэкапов у них не было. Ах, ирония.
@tomhunter
🔥12
#news Неугомонные северные корейцы продолжают свои атаки. На этот раз речь об APT37 и их новой малвари.
Приблуду, названную спецами Goldbackdoor, APT37 использует в многоступенчатых фишинговых атаках на журналистов. Цель операции — раскрытие их источников и кража информации, так что вредонос заточен под слив файлов и кейлоггинг.
Интересен используемый метод доставки малвари. Рассылку ведут со взломанного ящика бывшего южнокорейского директора разведки. Архив содержит файл, который открывает документ, интересующий журналиста, а фоном уже исполняет скрипт для скачивания зловреда. Сам файл раздут почти до 300 метров и тянет нагрузку с Microsoft OneDrive, чтобы затруднить анализ и детектирование вредоносного кода. Такая вот северокорейская изобретательность.
@tomhunter
Приблуду, названную спецами Goldbackdoor, APT37 использует в многоступенчатых фишинговых атаках на журналистов. Цель операции — раскрытие их источников и кража информации, так что вредонос заточен под слив файлов и кейлоггинг.
Интересен используемый метод доставки малвари. Рассылку ведут со взломанного ящика бывшего южнокорейского директора разведки. Архив содержит файл, который открывает документ, интересующий журналиста, а фоном уже исполняет скрипт для скачивания зловреда. Сам файл раздут почти до 300 метров и тянет нагрузку с Microsoft OneDrive, чтобы затруднить анализ и детектирование вредоносного кода. Такая вот северокорейская изобретательность.
@tomhunter
❤10🤔3
#news Генпрокурор РФ Краснов предложил признать криптовалюту предметом преступных посягательств. Что бы эта занятная формулировка ни значила.
Как утверждает Краснов, на крипту должны накладываться ограничительные меры — видимо, как на прочие финансовые активы. Можно предположить, речь идёт о том, чтобы разработать правовые основы и меры для контроля криптовалюты, подобные тем, что применяются к банковским счетам определённого круга лиц.
С учётом свежих слухов о работе Binance в России и того, что местный представитель биржи на днях заявил-де «У меня не было правовых отношений с этой структурой, мистером Росфинмониторингом», нетрудно понять, куда дует криптовалютный ветер.
@tomhunter
Как утверждает Краснов, на крипту должны накладываться ограничительные меры — видимо, как на прочие финансовые активы. Можно предположить, речь идёт о том, чтобы разработать правовые основы и меры для контроля криптовалюты, подобные тем, что применяются к банковским счетам определённого круга лиц.
С учётом свежих слухов о работе Binance в России и того, что местный представитель биржи на днях заявил-де «У меня не было правовых отношений с этой структурой, мистером Росфинмониторингом», нетрудно понять, куда дует криптовалютный ветер.
@tomhunter
🤬11🔥1🤔1
#news Гугл обяжет компании в своём магазине приложений чётко указывать, какие данные они собирают с клиентов.
Вместо ссылки на юридический документ, который никто не читает, пользователь теперь будет получать информативное меню по всему, к чему и с какой целью приложение запрашивает доступ. В том числе данные, передаваемые третьим лицам.
Подобную систему Apple уже пару лет как выкатил для своего магазина, так что Гугл нагоняет конкурентов. Теперь у однотипной малвари, кормившейся на диких прериях гугломагазина, жизнь слегка усложнится.
@tomhunter
Вместо ссылки на юридический документ, который никто не читает, пользователь теперь будет получать информативное меню по всему, к чему и с какой целью приложение запрашивает доступ. В том числе данные, передаваемые третьим лицам.
Подобную систему Apple уже пару лет как выкатил для своего магазина, так что Гугл нагоняет конкурентов. Теперь у однотипной малвари, кормившейся на диких прериях гугломагазина, жизнь слегка усложнится.
@tomhunter
❤12🤮2🔥1🤔1
#news Тревожные новости о китайской группировке Mustang Panda. Известные своими фишинговыми атаками хакеры переключились с европейских госслужащих на российских.
Спецы из Secureworks сообщают о рассылке файлов, замаскированных под пдф-ки с документами Евросоюза. Сам исполняемый файл скрывает под собой загрузчик, тянущий вредонос PlugX. Троянец сам по себе распространённый, но Secureworks удалось связать операцию с китайскими хакерами по используемой ими инфраструктуре.
Самая мякотка, засылаемый пандой файл назван Blagoveshchensk. Город на границе в полукилометре от Китая. Что позволяет предположить, на кого нацелена фишинговая кампания. Что, в свою очередь, заставляет задуматься…
@tomhunter
Спецы из Secureworks сообщают о рассылке файлов, замаскированных под пдф-ки с документами Евросоюза. Сам исполняемый файл скрывает под собой загрузчик, тянущий вредонос PlugX. Троянец сам по себе распространённый, но Secureworks удалось связать операцию с китайскими хакерами по используемой ими инфраструктуре.
Самая мякотка, засылаемый пандой файл назван Blagoveshchensk. Город на границе в полукилометре от Китая. Что позволяет предположить, на кого нацелена фишинговая кампания. Что, в свою очередь, заставляет задуматься…
@tomhunter
🔥10🤔3❤1💩1
#news Подававшие заявку на федеральную стипендию студенты в США ненароком делились личной инфой с Meta — всё благодаря трекеру Meta Pixel, который стоял на сайте с формой заявки.
В слитые данные входили имена студентов, электронная почта, номера телефонов, старшая школа и почтовый индекс. В заявке на эту стипендию также указывают финансовое положение студента и данные его родителей, но у The Markup нет пруфов, что Meta Pixel собирал и эту инфу. После того как команда направила запрос в Минобр США, трекер отключили, но он всё ещё частично активен на сайте, и успел собрать данные миллионов студентов.
Meta Pixel установлен на трети популярных сайтов и печально известен своей вездесущностью — владельцы сайтов могут и не догадываться, что собирают информацию для Meta. Сейчас The Markup проводят масштабное исследование трекера, результаты ближе к осени обещают быть весьма любопытными.
@tomhunter
В слитые данные входили имена студентов, электронная почта, номера телефонов, старшая школа и почтовый индекс. В заявке на эту стипендию также указывают финансовое положение студента и данные его родителей, но у The Markup нет пруфов, что Meta Pixel собирал и эту инфу. После того как команда направила запрос в Минобр США, трекер отключили, но он всё ещё частично активен на сайте, и успел собрать данные миллионов студентов.
Meta Pixel установлен на трети популярных сайтов и печально известен своей вездесущностью — владельцы сайтов могут и не догадываться, что собирают информацию для Meta. Сейчас The Markup проводят масштабное исследование трекера, результаты ближе к осени обещают быть весьма любопытными.
@tomhunter
❤10😱2
#news Рансомварь от Onyx, чью активность заметили на прошлой неделе, уничтожает крупные файлы, вместо того чтобы их шифровать.
Спецы из MalwareHunterTeam изучили их шифровальщик и обнаружили, что файлы весом больше 2 метров тот просто перезаписывает случайным набором данных. Судя по исходникам, это не баг, а фича. Так что шансов на восстановление этих файлов с помощью декриптора у жертв нет даже после уплаты выкупа.
Максимум, на что они могут рассчитывать — это что предварительно стянутые данные не окажутся в публичном доступе и не будут проданы третьим лицам. Да и это для экстремалов, желающих проверить рансомварьщика на честность.
@tomhunter
Спецы из MalwareHunterTeam изучили их шифровальщик и обнаружили, что файлы весом больше 2 метров тот просто перезаписывает случайным набором данных. Судя по исходникам, это не баг, а фича. Так что шансов на восстановление этих файлов с помощью декриптора у жертв нет даже после уплаты выкупа.
Максимум, на что они могут рассчитывать — это что предварительно стянутые данные не окажутся в публичном доступе и не будут проданы третьим лицам. Да и это для экстремалов, желающих проверить рансомварьщика на честность.
@tomhunter
😢6😱3❤1
#news Одна из тем Комиссии по информационной политике, информационным технологиям и инвестициям Совета Законодателей РФ – борьба с киберпреступностью. Она стремительно молодеет. Все чаще за кибератаками стоят подростки. Участники заседания отметили: работать по этой теме с молодежью нужно больше.
Парламентариям поступило предложение создать единый центр компетенций по борьбе с правонарушениями в интернете. Этот вопрос законодатели планируют обсудить в мае в рамках круглого стола в Совете Федерации, с приглашением представителей МВД, ФСБ, прокуратуры и других структур, которые занимаются борьбой с фейками в интернете.
▶️ https://youtu.be/re4qyZdL2pI
@tomhunter
Парламентариям поступило предложение создать единый центр компетенций по борьбе с правонарушениями в интернете. Этот вопрос законодатели планируют обсудить в мае в рамках круглого стола в Совете Федерации, с приглашением представителей МВД, ФСБ, прокуратуры и других структур, которые занимаются борьбой с фейками в интернете.
▶️ https://youtu.be/re4qyZdL2pI
@tomhunter
💩11❤1🔥1
#news Binance блокирует аккаунты родственников российских чиновников, попавших под санкции.
Так, в начале марта был заблокирован аккаунт дочери Пескова, когда она пыталась воспользоваться биржей через стороннего брокера. В числе лишённых доступа пользователей ещё несколько громких имён. Судя по заявлению Binance, блокировки носят упреждающий характер: их цель — не дать определённому кругу лиц обойти санкции.
В стремлении Бинанса усидеть на двух стульях между ограничениями в адрес России и сотрудничеством с нашими госструктурами остаётся только делать ставки, что рискует произойти раньше: уход биржи с российского рынка на очередном витке санкций или её блокировка за чрезмерную недружественность.
@tomhunter
Так, в начале марта был заблокирован аккаунт дочери Пескова, когда она пыталась воспользоваться биржей через стороннего брокера. В числе лишённых доступа пользователей ещё несколько громких имён. Судя по заявлению Binance, блокировки носят упреждающий характер: их цель — не дать определённому кругу лиц обойти санкции.
В стремлении Бинанса усидеть на двух стульях между ограничениями в адрес России и сотрудничеством с нашими госструктурами остаётся только делать ставки, что рискует произойти раньше: уход биржи с российского рынка на очередном витке санкций или её блокировка за чрезмерную недружественность.
@tomhunter
🔥13🤔2❤1😁1
#OSINT #Monitoring Предлагаю обсудить сегодня такой вопрос, как организация мониторинга социальных страниц сотрудников. В противном случае, велик риск пропустить публикацию какой-нибудь фейковой новости...
├Distill
├Fetcher
├Changedetection
├Follow That Page
├FileForFiles & SiteSputnik
└AximoBot
З.Ы. Решения, безусловно, непрофессиональные и много профилей вы тут не промониторите. Однако для небольшой фирмы этого будет вполне достаточно.
@tomhunter
├Distill
├Fetcher
├Changedetection
├Follow That Page
├FileForFiles & SiteSputnik
└AximoBot
З.Ы. Решения, безусловно, непрофессиональные и много профилей вы тут не промониторите. Однако для небольшой фирмы этого будет вполне достаточно.
@tomhunter
❤4💩4🤯1
#news Борьба голливудских воротил с VPN-сервисами набирает обороты. Помимо борьбы с пиратством начали подтягивать обвинения посерьёзнее.
В США сейчас идут разбирательства по делу, ответчиками в котором выступают ExpressVPN и Private Internet Access. И судя по судебным материалам, обвинители давят на то, что VPN-сервисы используют не только для пиратства, но и для хакинга, распространения ЦП, угроз о минировании и прочих сомнительных дел. Огоньку обвинениям добавляет то, что в PIA работал Рикард Фальквинге, глава ПП Швеции, не понаслышке знающий о некоторых из этих вещей.
Пока это материалы одного дела, но тенденция занятная. С учётом того, что противостояние сильных медийного мира сего с VPN-сервисами идёт довольно успешно вплоть до продавливания ведения логов на серверах, стоит ждать дальнейших ударов по стремительно истончающейся приватности.
@tomhunter
В США сейчас идут разбирательства по делу, ответчиками в котором выступают ExpressVPN и Private Internet Access. И судя по судебным материалам, обвинители давят на то, что VPN-сервисы используют не только для пиратства, но и для хакинга, распространения ЦП, угроз о минировании и прочих сомнительных дел. Огоньку обвинениям добавляет то, что в PIA работал Рикард Фальквинге, глава ПП Швеции, не понаслышке знающий о некоторых из этих вещей.
Пока это материалы одного дела, но тенденция занятная. С учётом того, что противостояние сильных медийного мира сего с VPN-сервисами идёт довольно успешно вплоть до продавливания ведения логов на серверах, стоит ждать дальнейших ударов по стремительно истончающейся приватности.
@tomhunter
😢8💩5🤬3